條件式存取見解和報告

  • 文章

條件式存取見解和報告活頁簿可讓您了解條件式存取原則一段時間內對貴組織的影響。 登入期間,可能會套用一或多個條件式存取原則,若已滿足特定授與控制項,則授與存取權,否則拒絕存取。 每次登入期間都可能會評估多個條件式存取原則,因為見解和報告活頁簿可讓您檢查個別原則或所有原則子集的影響。

Prerequisites

若要啟用見解和報告活頁簿,您的租用戶必須具有 Log Analytics 工作區,才能保留登入記錄資料。 使用者必須具有 Azure AD Premium P1 或 P2 授權,才能使用條件式存取。

下列角色可存取見解和報告:

  • 條件式存取系統管理員
  • 安全性讀取者
  • 安全性系統管理員
  • 全域讀者
  • 全域管理員

使用者也需要下列其中一個 Log Analytics 工作區角色:

  • 參與者
  • 擁有者

從 Azure AD 將登入記錄串流至 Azure 監視器記錄

如果您尚未整合 Azure AD 記錄與 Azure 監視器記錄,您必須先執行下列步驟,活頁簿才會載入:

  1. 在 Azure 監視器中建立 Log Analytics 工作區
  2. 整合 Azure AD 記錄與 Azure 監視器記錄

運作方式

若要存取見解和報告活頁簿:

  1. 登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]>[見解和報告]。

開始使用:選取參數

見解和報告儀表板可讓您查看一或多個條件式存取原則在指定期間內的影響。 首先,在活頁簿頂端設定每個參數。

Azure 入口網站中的條件式存取見解和報告儀表板

條件式存取原則:選取一或多個條件式存取原則以檢視其合併影響。 原則分成兩個群組:[已啟用] 和 [報告專用] 原則。 預設會選取所有 [已啟用] 原則。 這些已啟用原則是目前在您租用戶中強制執行的原則。

時間範圍:選取從 4 小時到回溯為 90天的時間範圍。 如果您選取的時間範圍回推超出將 Azure AD 記錄與 Azure 監視器整合時,則只會顯示整合時間之後的登入。

使用者:根據預設,儀表板會顯示所選原則對所有使用者的影響。 若要依個別使用者篩選,請在文字欄位中輸入使用者的名稱。 若要依所有使用者篩選,請在文字欄位中輸入「所有使用者」,或將參數保留空白。

應用程式:根據預設,儀表板會顯示所選原則對所有應用程式的影響。 若要依個別應用程式篩選,請在文字欄位中輸入應用程式的名稱。 若要依所有應用程式篩選,請在文字欄位中輸入「所有應用程式」,或將參數保留空白。

資料檢視:選取您要讓儀表板根據使用者數目或登入數目來顯示結果。在指定的時間範圍內,個別使用者可能會登入許多應用程式數百次,而有許多不同的結果。 如果您選取使用者的資料檢視,則使用者可能會包含在成功和失敗計數中 (例如,如果有 10 個使用者,其中 8 個在過去 30 天內可能有成功的結果,而其中 9 個在過去 30 天內可能有失敗的結果)。

影響摘要

一旦設定參數,就會載入影響摘要。 此摘要會顯示在評估所選的原則時,在此時間範圍內有多少使用者或登入導致「成功」、「失敗」、「需要使用者採取動作」或「未套用」。

條件式存取活頁簿中的影響摘要

Total:在至少評估其中一個所選原則的期間內,使用者或登入的數目。

成功:所選原則的合併結果為「成功」或「報告專用:成功」的期間內,使用者或登入的數目。

失敗:所選原則的合併結果為「失敗」或「報告專用:失敗」的期間內,使用者或登入的數目。

需要使用者採取動作:所選原則的合併結果為「報告專用:需要使用者採取動作」的期間內,使用者或登入的數目。 只有報表的條件式存取原則需要互動式授與控制項時,例如多重要素驗證時,需要使用者動作。 由於僅限報表原則不會強制執行互動式授與控制項,因此無法判斷成功或失敗。

不適用:在未套用任何所選原則的期間內,使用者或登入的數目。

了解影響

依條件和狀態的活頁簿明細

針對每個條件檢視使用者或登入的明細。 您可選取活頁簿頂端的其中一個摘要圖格,以篩選特定結果的登入 (例如,成功或失敗)。 您可以查看每個條件式存取條件的登入明細:裝置狀態、裝置平台、用戶端應用程式、位置、應用程式和登入風險。

登入詳細資料

活頁簿登入詳細資料

您也可在儀表板底部搜尋登入,以調查特定使用者的登入。 左側的查詢會顯示最常出現的使用者。 選取使用者會篩選右側的查詢。

注意

下載登入記錄時,請選擇 [JSON 格式],以包含條件式存取報告專用的結果資料。

在報告專用模式中設定條件式存取原則

在報告專用模式中設定條件式存取原則:

  1. 以條件式存取管理員、安全性管理員或全域管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]。
  3. 選取現有原則或建立新原則。
  4. 在 [啟用原則] 下,將切換設為 [報告專用] 模式。
  5. 選取 [儲存]。

提示

將現有原則的 [啟用原則] 狀態從 [開啟] 編輯為 [報告專用] 會停用現有的原則強制執行。

疑難排解

為什麼查詢因為權限錯誤而失敗?

若要存取活頁簿,您需要適當的 Azure AD 許可權和 Log Analytics 工作區許可權。 若要透過執行樣本記錄分析查詢,測試您是否有適當的工作區權限:

  1. 登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory] > [Log Analytics]。
  3. 在 [查詢] 方塊中輸入 SigninLogs,然後選取 [執行]。
  4. 如果查詢未傳回任何結果,您的工作區可能尚未正確設定。

針對失敗的查詢進行疑難排解

如需如何將 Azure AD 登入記錄串流至 Log Analytics 工作區的詳細資訊,請參閱將 Azure AD 記錄與 Azure 監視器記錄整合一文。

活頁簿中的查詢為何失敗?

客戶注意到,如果有錯誤或多個與活頁簿相關聯的工作區,查詢有時會失敗。 若要修正這個問題,請按一下活頁簿頂端的 [編輯],然後按一下 [設定] 齒輪。 選取並移除未與活頁簿相關聯的工作區。 每個活頁簿只能有一個相關聯的工作區。

條件式存取原則參數為何是空的?

原則清單是藉由查看針對最近一次登入事件評估的原則所產生。 如果租用戶中沒有最近的登入,您可能需要等候幾分鐘,讓活頁簿載入條件式存取原則的清單。 這可能會在設定 Log Analytics 之後立即發生,如果租用戶最近沒有登入活動,可能需要較長的時間。

活頁簿為何需要很長的時間才能載入?

根據所選的時間範圍和您的租用戶大小而定,活頁簿可能會評估極為大量的登入事件。 對於大型租用戶,登入量可能會超過 Log Analytics 的查詢容量。 請嘗試將時間範圍縮短為 4 小時,以查看活頁簿是否載入。

載入幾分鐘後,活頁簿為何會傳回零筆結果?

當登入量超過 Log Analytics 的查詢容量時,活頁簿就會傳回零筆結果。 請嘗試將時間範圍縮短為 4 小時,以查看活頁簿是否載入。

我可以儲存參數選取項目嗎?

您可移至 [Azure Active Directory]>[活頁簿]>[條件式存取見解和報告],以儲存活頁簿頂端的參數選取項目。 您可以在這裡找到活頁簿範本,您可以在其中編輯活頁簿,並將複本儲存至工作區,包括 [ 我的報表 ] 或 [ 共用報表] 中的參數選取專案。

我可使用其他查詢來編輯和自訂活頁簿嗎?

您可移至 [Azure Active Directory]>[活頁簿]>[條件式存取見解和報告],以編輯和自訂活頁簿。 您可以在這裡找到活頁簿範本,您可以在其中編輯活頁簿,並將複本儲存至工作區,包括 [ 我的報表 ] 或 [ 共用報表] 中的參數選取專案。 若要開始編輯查詢,請按一下活頁簿頂端的 [編輯]。

後續步驟