多重身份验证差距工作簿

多重身份验证差距工作簿有助于识别不受多重身份验证 (MFA) 要求保护的用户登录和应用程序。 此工作簿:

  • 识别不受 MFA 要求保护的用户登录。
  • 使用各种透视表(例如应用程序、操作系统和位置)提供进一步的向下钻取选项。
  • 提供多个筛选器,例如受信任的位置和设备状态,以缩小用户/应用程序的范围。
  • 提供筛选器以针对一部分用户和应用程序确定工作簿的范围。

本文概述了多重身份验证差异工作簿。

先决条件

若要将 Azure 工作簿用于 Microsoft Entra ID,需要:

  • 使用 Premium P1 许可证的 Microsoft Entra 租户
  • 一个 Log Analytics 工作区和对该工作区的访问权限
  • Azure Monitor 和 Microsoft Entra ID 的相应角色

Log Analytics 工作区

必须先创建 Log Analytics 工作区,然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息,请参阅管理对 Log Analytics 工作区的访问权限

Azure Monitor 角色

Azure Monitor 提供两个内置角色,用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。

  • 视图

    • 监视查阅者
    • Log Analytics 读者
  • 查看和修改设置

    • 监视参与者
    • Log Analytics 参与者

Microsoft Entra 角色

只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能,以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。

  • “读取”

    • 报告读者
    • 安全读取者
    • 全局读取者
  • 更新

    • 安全管理员

有关 Microsoft Entra 内置角色的详细信息,请参阅 Microsoft Entra 内置角色

有关 Log Analytics RBAC 角色的详细信息,请参阅 Azure 内置角色

如何导入工作簿

MFA 差距工作簿当前不可用作模板,但可以从 Microsoft Entra 工作簿 GitHub 存储库导入它。

  1. 使用适当的角色组合登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“工作簿”。

  3. 选择“+ 新建” 。

  4. 从页面顶部选择“高级编辑器”按钮。 此时会打开 JSON 编辑器。

    新工作簿页上的“高级编辑器”按钮的屏幕截图。

  5. 使用以下链接访问包含多重身份验证差距工作簿的 JSON 文件的 GitHub 存储库:

  6. 从 GitHub 存储库复制整个 JSON 文件。

    GitHub 存储库的屏幕截图,其中突出显示了痕迹导航和复制文件按钮。

  7. 返回到工作簿“高级编辑器”窗口,粘贴该 JSON 文件并覆盖现有文本。

  8. 选择“应用”按钮。 填充工作簿可能需要片刻时间。

  9. 选择“完成编辑”,然后选择“保存”按钮并提供所需的信息。

    • 提供“标题”、“订阅”、“资源组”(你必须能够为所选资源组保存工作簿)以及“位置”。
    • (可选)选择将工作簿内容保存到 Azure 存储帐户
  10. 选择“应用”按钮。

总结

摘要小组件提供与多重身份验证相关的登录的详细视图。

登录不受应用程序的 MFA 要求保护

  • 不受应用程序的多重身份验证要求保护的用户登录数:此小组件以基于时间的条形图来表示不受应用程序的 MFA 要求保护的用户登录数。
  • 不受应用程序的多重身份验证要求保护的用户登录百分比:此小组件以基于时间的条形图来表示不受应用程序的 MFA 要求保护的用户登录百分比。
  • 选择应用程序和用户以了解详细信息:此小组件将没有应用程序 MFA 要求的最多登录用户进行分组。 选择应用程序以查看用户名列表和没有 MFA 的登录计数。

登录不受用户的 MFA 要求保护

  • 登录不受用户的多重身份验证要求保护:此小组件显示排名靠前的用户和不受 MFA 要求保护的登录计数。
  • 身份验证百分比最高的用户不受多重身份验证要求保护:此小组件显示身份验证百分比最高但不受 MFA 要求保护的用户。

登录不受操作系统的 MFA 要求保护

  • 不受操作系统的多重身份验证要求保护的登录数:此小组件提供不受设备操作系统 MFA 保护的基于时间的登录计数条形图。
  • 不受操作系统的多重身份验证要求保护的登录百分比:此小组件提供不受设备操作系统 MFA 保护的基于时间的登录百分比条形图。

登录不受位置的 MFA 要求保护

  • 不受位置多重身份验证要求保护的登录数:此小组件在世界地图上的地图气泡图中显示不受 MFA 要求保护的登录数。