在 Microsoft Entra 登入記錄中檢視套用的條件式存取原則
使用條件式存取原則,您可以控制使用者如何存取 Azure 租使用者的資源。 身為租用戶系統管理員,您必須能夠判斷條件式存取原則對租使用者的登入有何影響,以便在必要時採取動作。
Microsoft Entra ID 中的登入記錄可提供您評估原則效果所需的資訊。 本文說明如何在這些記錄中檢視已套用的條件式存取原則。
必要條件
若要查看登入記錄中已套用的條件式存取原則,系統管理員必須具有檢視記錄和原則的許可權。 授與這兩個許可權的最低特殊許可權內建角色為安全性讀取者。 最佳做法是,您的全域 管理員 istrator 應該將安全性讀取者角色新增至相關的系統管理員帳戶。
下列內建角色會授與 讀取條件式存取原則的許可權:
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員
- 條件式存取系統管理員
下列內建角色會授與 檢視登入記錄的許可權:
- 報告讀取者
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員
用戶端應用程式的許可權
如果您使用用戶端應用程式從 Microsoft Graph 提取登入記錄,您的應用程式需要許可權才能從 Microsoft Graph 接收 appliedConditionalAccessPolicy 資源。 最佳做法是指派 Policy.Read.ConditionalAccess ,因為它是最低許可權許可權。
下列任何許可權都足以讓用戶端應用程式透過 Microsoft Graph 存取登入記錄中套用的條件式存取原則:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
PowerShell 的許可權
如同任何其他用戶端應用程式,Microsoft Graph PowerShell 模組需要客戶端許可權,才能存取登入記錄中已套用的條件式存取原則。 若要在登入記錄中成功提取套用的條件式存取原則,您必須同意 Microsoft Graph PowerShell 系統管理員帳戶的必要許可權。 最佳做法是同意:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
下列許可權是具有必要存取權的最低特殊許可權:
- 若要同意必要的許可權:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - 若要檢視登入記錄:
Get-MgAuditLogSignIn
如需此 Cmdlet 的詳細資訊,請參閱 Get-MgAuditLogSignIn。
條件式存取和登入記錄案例
身為 Microsoft Entra 系統管理員,您可以使用登入記錄來:
- 針對登入問題進行疑難解答。
- 檢查功能效能。
- 評估租用戶的安全性。
某些案例會要求您了解條件式存取原則如何套用至登入事件。 常見的範例包括:
需要查看已套用條件式存取原則的技術支援中心系統管理員,以了解原則是否為用戶開啟票證的根本原因。
需要確認條件式存取原則對租用戶使用者有預期效果的租用戶系統管理員。
您可以使用 Microsoft Entra 系統管理中心、Azure 入口網站、Microsoft Graph 和 PowerShell 來存取登入記錄。
在 Microsoft Entra 登入記錄中檢視條件式存取原則
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
登入記錄的活動詳細數據包含數個索引標籤。 [條件式存取] 索引卷標會列出套用至該登入事件的條件式存取原則。
- 以至少全域讀者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別監視與健康情況>登入記錄]。
- 從數據表中選取登入專案,以檢視登入詳細數據窗格。
- 選取 [ 條件式存取] 索引標籤。
如果您沒有看到條件式存取原則,請確認您使用的是提供登入記錄和條件式存取原則存取權的角色。