條件式存取深入解析和報告

  • 文章

條件式存取深入解析和報告活頁簿可讓您瞭解一段時間內組織中條件式存取原則的影響。 在登入期間,可能會套用一或多個條件式存取原則,如果滿足特定授與控件或拒絕存取權,則授與存取權。 由於每個登入期間可能會評估多個條件式存取原則,因此深入解析和報告活頁簿可讓您檢查個別原則或所有原則子集的影響。

必要條件

若要啟用深入解析和報告活頁簿,您的租用戶必須具有:

  • 用來保留登入記錄數據的Log Analytics工作區。
  • Microsoft Entra ID P1 授權以使用條件式存取。

使用者至少必須獲指派安全性讀取者角色,且已指派Log Analytics工作區參與者角色。

將登入記錄從 Microsoft Entra ID 串流至 Azure 監視器記錄

如果您尚未整合 Microsoft Entra 記錄與 Azure 監視器記錄,您必須在活頁簿載入之前執行下列步驟:

  1. 在 Azure 監視器中建立 Log Analytics 工作區。
  2. 整合 Microsoft Entra 記錄與 Azure 監視器記錄

運作方式

若要存取深入解析和報告活頁簿:

  1. 以至少安全性讀取者分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取>深入解析] 和 [報告]。

開始使用:選取參數

深入解析和報告儀錶板可讓您查看一或多個條件式存取原則在指定期間的影響。 首先,在活頁簿頂端設定每個參數。

Screenshot showing the Conditional Access insights and reporting workbook.

條件式存取原則:若要檢視其合併的影響,請選取一或多個條件式存取原則。 原則分成兩個群組:已啟用和僅限報表的原則。 根據預設,會選取所有已啟用的原則。 這些啟用的原則是您租使用者中目前強制執行的原則。

時間範圍:選取從 4 小時到 90 天的時間範圍。 如果您選取的時間範圍比將 Microsoft Entra 記錄與 Azure 監視器整合時還遠,則只會在整合時間出現之後登入。

用戶:根據預設,儀錶板會顯示所有使用者所選原則的影響。 若要依個別用戶篩選,請在文字欄位中輸入使用者的名稱。 若要依所有使用者篩選,請在文字欄位中輸入 [所有使用者 ],或將參數保留空白。

應用程式:根據預設,儀錶板會顯示所有應用程式所選原則的影響。 若要依個別應用程式進行篩選,請在文字欄位中輸入應用程式的名稱。 若要依所有應用程式進行篩選,請在文字欄位中輸入 [所有應用程式 ],或將參數保留空白。

數據檢視:選取您想要儀錶板顯示用戶數目或登入次數的結果。個別使用者可能會有數百個登入許多應用程式,且在特定時間範圍內有許多不同結果。 如果您選取要成為使用者的數據檢視,則使用者可以同時包含在成功和失敗計數中。 例如,如果有10個使用者,其中8個使用者在過去30天內可能會成功,其中9個使用者在過去30天內可能會失敗。

影響摘要

設定參數之後,影響摘要就會載入。 摘要會顯示在時間範圍內造成成功、失敗、使用者動作或評估所選原則時未套用的使用者或登入數目。

Screenshot showing an example impact summary in the Conditional Access workbook.

總計:在評估至少一個所選原則的時段內,使用者或登入的數目。

成功:所選原則合併結果為 SuccessReport-only:Success 的時段內使用者或登入次數。

失敗:在至少一個所選原則的結果為 [失敗 ] 或 [僅報告: 失敗] 的時段內,使用者或登入次數。

需要使用者動作:所選原則合併結果的時段內使用者或登入次數為 [僅報告:需要用戶動作]。 當需要互動式授與控件時,需要用戶動作,例如多重要素驗證。 由於僅限報表原則不會強制執行互動式授與控件,因此無法判斷成功或失敗。

未套用:在未套用所選原則的期間內,使用者或登入的數目。

了解影響

Screenshot showing a workbook breakdown per condition and status.

檢視每個條件的使用者或登入明細。 您可以選取活頁簿頂端的摘要磚,以篩選特定結果的登入(例如成功或失敗)。 您可以看到每個條件式存取條件的登入明細:裝置狀態、裝置平臺、用戶端應用程式、位置、應用程式和登入風險。

登入詳細資料

Screenshot showing workbook sign-in details.

您也可以在儀錶板底部搜尋登入,以調查特定使用者的登入。 此查詢會顯示最常見的使用者。 選取使用者篩選查詢。

注意

下載登入記錄時,選擇 JSON 格式以包含僅限條件式存取報告的結果數據。

在僅限報表模式中設定條件式存取原則

若要以僅限報表模式設定條件式存取原則:

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取現有的原則或建立新的原則。
  4. 在 [啟用原則] 底下,將切換開關設定為僅限報表模式。
  5. 選取儲存

提示

從 [開啟] 到 [僅報告] 編輯現有原則的 [啟用原則狀態] 會停用現有的原則強制執行。

疑難排解

為什麼查詢因為許可權錯誤而失敗?

若要存取活頁簿,您需要 Microsoft Entra ID 和 Log Analytics 中的適當許可權。 若要藉由執行範例記錄分析查詢來測試您是否具有適當的工作區許可權:

  1. 以至少安全性讀取者分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別監視與健康情況>Log Analytics]。
  3. 在查詢方塊中輸入 SigninLogs ,然後選取 [ 執行]。
  4. 如果查詢未傳回任何結果,您的工作區可能無法正確設定。

Screenshot showing how to troubleshoot failing queries.

如需如何將 Microsoft Entra 登入記錄串流至 Log Analytics 工作區的詳細資訊,請參閱將 Microsoft Entra 記錄與 Azure 監視器記錄整合一文

為什麼活頁簿中的查詢失敗?

如果錯誤或多個工作區與活頁簿相關聯,客戶會注意到查詢有時會失敗。 若要修正此問題,請選取活頁簿頂端的 [編輯],然後選取 設定 齒輪。 選取並移除未與活頁簿相關聯的工作區。 每個活頁簿應該只有一個相關聯的工作區。

為什麼條件式存取原則參數是空的?

藉由查看針對最近登入事件評估的原則,即可產生原則清單。 如果您的租用戶中沒有最近的登入,您可能需要等候幾分鐘,活頁簿才能載入條件式存取原則清單。 設定 Log Analytics 之後,或租用戶沒有最近的登入活動時,可能會立即發生空的結果。

為什麼活頁簿需要很長的時間才能載入?

視選取的時間範圍和租使用者大小而定,活頁簿可能會評估非常大量的登入事件。 對於大型租使用者,登入量可能會超過Log Analytics的查詢容量。 請嘗試將時間範圍縮短為 4 小時,然後查看活頁簿是否載入。

載入幾分鐘之後,為什麼活頁簿會傳回零個結果?

當登入量超過 Log Analytics 的查詢容量時,活頁簿會傳回零個結果。 請嘗試將時間範圍縮短為 4 小時,然後查看活頁簿是否載入。

我可以儲存參數選取專案嗎?

您可以移至 [身分識別監視與健康情況>>活頁簿條件式>存取深入解析] 和 [報告],將參數選取專案儲存在活頁簿頂端。 您可以在這裡找到活頁簿範本,您可以在其中編輯活頁簿,並將復本儲存至工作區,包括 [我的報表] 或 [共用報表] 中的參數選取專案。

我可以使用其他查詢來編輯和自定義活頁簿嗎?

您可以移至身分識別>監視和健康>>情況活頁簿條件式存取深入解析和報告,來編輯和自定義活頁簿。 您可以在這裡找到活頁簿範本,您可以在其中編輯活頁簿,並將復本儲存至工作區,包括 [我的報表] 或 [共用報表] 中的參數選取專案。 若要開始編輯查詢,請選取活頁簿頂端的 [ 編輯 ]。

相關內容