條件式存取可藉由在適當的情況下套用適當的安全性存取控制,協助組織保持安全。 了解這些政策的影響具有挑戰性,尤其是在部署新政策時。 本文說明如何使用僅限報表模式和其他工具來分析條件式存取原則的影響。
管理員有多種選項可供選擇,這些選項基於僅報告模式。 僅限報告模式是一種原則狀態,可讓系統管理員在啟用條件式存取原則之前測試大部分的條件式存取原則。
- 系統管理員可以在僅限報表模式中評估條件式存取原則,但「使用者動作」範圍中包含的專案除外。
- 在登入期間,系統會以僅限報告模式評估原則,但不會強制執行原則。
- 結果會記錄在登入記錄詳細數據的 條件式存取 和 僅供報告使用 標籤中。
- 具有 Azure 監視器訂用帳戶的客戶可以使用條件式存取深入解析活頁簿來監視其條件式存取原則的影響。
警告
需要合規裝置的僅報告模式原則,可以提示 macOS、iOS 和 Android 設備上的使用者在原則評估期間選擇設備證書,即便不強制執行裝置合規性要求。 這些提示可以重複,直到裝置符合要求為止。 若要防止使用者在登入期間收到提示,請從執行裝置合規性檢查的僅報告原則中排除 Mac、iOS 和 Android 裝置平台。
政策評估結果
當針對特定的登入評估政策時,有幾種可能的結果:
| 結果 | 描述 |
|---|---|
| 僅限報告:成功 | 已滿足所有已設定的原則條件、必要的非互動式授權控製和會話控製。 例如,多因素驗證要求可以由令牌中已存在的 MFA 聲明來滿足,或者符合規範的裝置政策可以通過在合規的裝置上執行裝置檢查來滿足要求。 |
| 僅限報告:失敗 | 已滿足所有已設定的原則條件,但未滿足所有必要的非互動式授權控制或會話控制。 例如,原則會套用至被設置阻止控制的使用者,或者裝置未能符合設備合規原則。 |
| 僅供報告:需要用戶動作 | 所有已設定的原則條件均已滿足,但使用者需要進行操作以滿足必要的授權控制或會話控制。 使用僅限報表模式時,系統不會提示用戶滿足所需的控件。 例如,系統不會提示用戶進行多重要素驗證挑戰或使用規定。 |
| 僅報告用:未套用 | 並非所有已設定的原則條件都已滿足。 例如,使用者會被排除在原則之外,或者原則僅適用於某些受信任的命名地點。 |
| 成功 | 如果符合需求的登入事件套用了原則,則該原則會允許登入繼續進行。 登入可能仍會遭到不同的原則封鎖。 |
| 失敗 | 套用策略的登入事件中,如果不符合要求,該策略將會封鎖該次登入。 這可能是有意的,例如封鎖來自特定位置的登入,或是因為政策配置錯誤而意外阻止。 |
| 未套用 | 未套用原則的登入活動,例如使用者被排除的情況。 |
審查結果
系統管理員可以使用數個選項來檢閱其環境中原則的潛在結果:
- Workbooks
- 登入記錄
- 原則影響 (預覽)
政策影響
條件式存取的原則影響檢視可讓至少具有安全性讀取者角色的系統管理員查看原則對組織中互動式登入的潛在或現有影響的快照集。 您可以探索過去 24 小時、7 天或 1 個月的影響。 您也可以查看並連結至登入事件範例,以取得更多詳細資料。
Workbooks
系統管理員可以在僅限報告模式中建立多個原則,因此請務必瞭解每個原則的個別影響,以及一起評估的多個原則的合併影響。 條件式存取深入解析和報告活頁簿可讓系統管理員視覺化條件式存取原則、查詢和監視原則對特定時間範圍、應用程式集和使用者的影響。 管理員可以自訂活頁簿以符合其需求。
登入記錄
為了更深入地評估條件式存取原則及其應用程式在特定登入時,系統管理員可能會調查個別的登入事件。 每個事件都包含關於已啟用的條件式存取原則,是否處於僅限報告模式,已套用或未套用的詳細資料。
使用這些選項
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
相關內容
- 瞭解如何在 條件式存取原則上設定僅限報表模式。