条件访问见解和报告

  • 项目

使用条件访问见解和报告工作簿,可以了解条件访问策略在一定时间段内在组织中的影响。 在登录期间,可能会应用一个或多个条件访问策略;如果满足某些授权控制,就会授予访问权限,否则就会拒绝访问。 由于在每次登录期间可能会评估多个条件访问策略,因此见解和报告工作簿可便于检查单个策略或所有策略的子集的影响。

先决条件

若要启用见解和报告工作簿,租户必须具有:

  • 用于保留登录日志数据的 Log Analytics 工作区。
  • 用于使用条件访问的 Microsoft Entra ID P1 许可。

必须至少为用户分配安全读取者角色和 Log Analytics 工作区参与者角色。

将 Microsoft Entra ID 中的登录日志流式传输到 Azure Monitor 日志

如果还没有将 Microsoft Entra 日志与 Azure Monitor 日志集成,那么在加载工作簿之前,需要按照以下步骤操作:

  1. 在 Azure Monitor 中创建 Log Analytics 工作区
  2. 将 Microsoft Entra 日志与 Azure Monitor 日志集成

工作原理

若要访问见解和报告工作簿,请执行以下操作:

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”>“见解和报告”。

入门:选择参数

通过见解和报告仪表板,可以查看一个或多个条件访问策略在指定时间段内的影响。 首先,设置工作簿顶部的每个参数。

Screenshot showing the Conditional Access insights and reporting workbook.

条件访问策略:若要查看其综合影响,请选择一项或多项条件访问策略。 策略分为两组:“已启用”和“仅限报告”策略。 默认选择的是所有“已启用”策略。 这些“已启用”策略是当前在租户中强制执行的策略。

时间范围:选择要追溯的时间范围,介于 4 个小时到 90 天之间。 如果你选择的时间范围早于你将 Microsoft Entra 日志与 Azure Monitor 集成的时间,只会显示在集成时间后发生的登录。

用户:默认情况下,仪表板显示所选策略对全部用户的影响。 若要按单个用户进行筛选,请在文本字段中键入用户名。 若要按所有用户进行筛选,请在文本字段中键入“所有用户”或将参数留空。

应用:默认情况下,仪表板显示所选策略对所有应用的影响。 若要按单个应用进行筛选,请在文本字段中键入应用名称。 若要按所有应用进行筛选,请在文本字段中键入“所有应用”或将参数留空。

数据视图:选择是否希望仪表板依据用户数或登录数来显示结果。在给定的时间范围内,单个用户可能有数百个不同结果的应用登录。 如果你选择按用户查看数据,则某个用户可能会同时包含在“成功”和“失败”计数中。 例如,如果有 10 个用户,其中有 8 个用户在过去 30 天内的结果可能为成功,有 9 个用户在过去 30 天内的结果可能为失败。

影响摘要

一旦设置了参数,影响摘要就会加载。 此摘要显示在评估所选策略时,在时间范围内有多少用户或登录的结果为“成功”、“失败”、“需要用户操作”或“未应用”。

Screenshot showing an example impact summary in the Conditional Access workbook.

Total:在评估至少一个所选策略的时间段内的用户数或登录数。

成功:在时间段内所选策略的合并结果为“成功”或“仅限报告:成功”的用户数或登录数。

失败:在时间段内至少一个所选策略的结果为“失败”或“仅限报告:失败”的用户数或登录数。

需要用户操作:在时间段内所选策略的合并结果为“仅限报告:需要用户操作”的用户数或登录数。 需要交互式授予控制(例如多重身份验证)时,需要执行用户操作。 由于交互式授权控制不是由“仅限报告”策略强制执行的,因此无法确定成功或失败。

未应用:在时间段内未应用任何所选策略的用户数或登录数。

了解影响

Screenshot showing a workbook breakdown per condition and status.

查看每个条件对应的用户或登录明细。 可以通过选择工作簿顶部的摘要磁贴之一来筛选特定登录结果(例如,“成功”或“失败”)。 可以查看每个条件访问条件对应的登录明细:设备状态、设备平台、客户端应用、位置、应用和登录风险。

登录详细信息

Screenshot showing workbook sign-in details.

也可以通过在仪表板底部搜索登录来调查特定用户的登录。 查询显示最常登录的用户。 选择某个用户会筛选查询。

注意

下载登录日志时,请选择 JSON 格式以包含条件访问仅限报告结果数据。

在仅限报告模式下配置条件访问策略

若要在仅限报告模式下配置条件访问策略,请执行以下操作:

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”。
  3. 选择现有策略或创建新策略。
  4. 在“启用策略”下将切换设置为“仅限报告”模式 。
  5. 选择“保存”

提示

将现有策略的“启用策略”状态从“打开”编辑为“仅限报告”,以禁止现有策略实施 。

疑难解答

由于权限错误导致查询失败的原因是什么?

为了访问工作簿,需要在 Microsoft Entra ID 和日志分析中拥有适当权限。 若要通过运行示例 Log Analytics 查询来测试你是否有适当的工作区权限,请完成以下步骤:

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“Log Analytics”。
  3. SigninLogs 键入查询框中,然后选择“运行”。
  4. 如果查询没有返回任何结果,则工作区可能配置不正确。

Screenshot showing how to troubleshoot failing queries.

若要详细了解如何将 Microsoft Entra 登录日志流式传输到 Log Analytics 工作区,请参阅将 Microsoft Entra ID 日志与 Azure Monitor 日志集成一文。

为什么工作簿中的查询失败了?

客户注意到,如果工作簿与错误工作区或多个工作区相关联,查询有时会失败。 若要解决此问题,请选择工作簿顶部的“编辑”,然后选择“设置”齿轮图标。 选择与工作簿无关的工作区,然后将其删除。 每个工作簿应该只有一个工作区与之关联。

为什么条件访问策略参数为空?

策略列表是通过查看针对最新登录事件进行评估的策略来生成的。 如果租户中没有最新的登录,则可能需要等待几分钟,以便工作簿加载条件访问策略的列表。 配置 Log Analytics 后或者当租户最近没有登录活动时,可能会立即出现空结果。

为什么工作簿需要很长时间才能加载?

工作簿可能会评估数量极大的登录事件,具体视所选的时间范围和租户大小而定。 对于大型租户,登录量可能会超出 Log Analytics 的查询容量。 请尝试将时间范围缩短至 4 个小时,然后查看工作簿是否加载。

加载几分钟后,为什么工作簿不返回任何结果?

如果登录量超出 Log Analytics 的查询容量,工作簿就不会返回任何结果。 请尝试将时间范围缩短至 4 个小时,然后查看工作簿是否加载。

我能否保存所选的参数?

若要保存你在工作簿顶部选择的参数,可以依次转到“标识”>“监视与运行状况”>“工作簿”>“条件访问见解和报告”。 在这里,你将找到工作簿模板,可以在其中编辑工作簿,并将副本(包括所选的参数)保存到“我的报告”或“共享报告”中的工作区。

我能否通过其他查询来编辑和自定义工作簿?

若要编辑和自定义工作簿,可以依次转到“标识”>“监视与运行状况”>“工作簿”>“条件访问见解和报告”。 在这里,你将找到工作簿模板,可以在其中编辑工作簿,并将副本(包括所选的参数)保存到“我的报告”或“共享报告”中的工作区。 若要开始编辑查询,请选择工作簿顶部的“编辑”。

相关内容