條件式存取見解和報告活頁簿可讓您了解條件式存取原則一段時間內對貴組織的影響。 登入期間,可能會套用一或多個條件式存取原則,若已滿足特定授與控制項,則授與存取權,否則拒絕存取。 每次登入時可能會評估多個條件式存取原則,而洞察與報告工作簿能讓您檢視單一原則或特定部分原則的影響。
必要條件
若要啟用分析和報告活頁簿,您的租用戶必須具有:
- 用來保留登入記錄資料的 Log Analytics 工作區。
- Microsoft Entra ID P1 授權來使用條件式存取。
使用者必須同時獲指派「安全性讀取者」角色和「Log Analytics 工作區參與者」角色。
從 Microsoft Entra ID 將登入記錄串流至 Azure 監視器記錄
如果您尚未將 Microsoft Entra 記錄與 Azure 監視器記錄整合,則必須先執行下列步驟,才會載入活頁簿:
運作方式
若要存取見解和報告活頁簿:
- 至少以安全性讀取者的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]>[見解和報告]。
入門:選取參數
見解和報告儀表板可讓您查看一或多個條件式存取原則在指定期間內的影響。 首先,在活頁簿頂端設定每個參數。
條件式存取原則:選取一或多個條件式存取原則以檢視其合併影響。 原則分成兩個群組: 已啟用 和 僅限報表 的原則。 根據預設,會選取所有 已啟用 的政策。 這些政策是目前在您的租戶中強制執行的政策。
時間範圍:選取從 4 小時到回溯為 90天的時間範圍。 如果您選取的時間範圍比將 Microsoft Entra 日誌與 Azure 監視器整合的時間還早,則只會顯示整合時間之後的登入記錄。
使用者:根據預設,儀表板會顯示所選原則對所有使用者的影響。 若要依個別使用者篩選,請在文字欄位中輸入使用者的名稱。 若要依所有使用者篩選,請在文字欄位中輸入「所有使用者」,或將參數保留空白。
應用程式:根據預設,儀表板會顯示所選原則對所有應用程式的影響。 若要依個別應用程式篩選,請在文字欄位中輸入應用程式的名稱。 若要依所有應用程式篩選,請在文字欄位中輸入「所有應用程式」,或將參數保留空白。
資料檢視:選取您要讓儀表板根據使用者數目或登入數目來顯示結果。在指定的時間範圍內,個別使用者可能會登入許多應用程式數百次,而有許多不同的結果。 如果您選擇數據檢視為使用者,則某個使用者可能會同時包含在成功和失敗計數中。 例如,如果有 10 個使用者,其中 8 個使用者在過去 30 天內可能成功過,其中 9 個使用者在過去 30 天內可能失敗過。
影響摘要
設定參數之後, [影響摘要 ] 就會載入。 此摘要會顯示在評估所選原則時,在此時間範圍內有多少使用者或登入的結果是成功、失敗、需要使用者採取動作或未套用。
總計:在至少評估其中一個所選原則的期間內,使用者或登入的數目。
成功:所選原則的合併結果為「成功」或「報告專用:成功」的期間內,使用者或登入的數目。
失敗:在至少一項所選原則的結果為「失敗」或「僅報告:失敗」的時間段內,使用者或登入的數量。
需要使用者採取動作:所選原則的合併結果為「報告專用:需要使用者採取動作」的期間內,使用者或登入的數目。 當需要互動式授與控制項 (例如多重要素驗證) 時,則需要使用者採取動作。 由於報告專用的原則不會強制執行互動式授與控制項,因此無法判斷成功或失敗。
未套用:在未套用任何所選原則的期間內,使用者或登入的數目。
了解影響
針對每個條件檢視使用者或登入的明細。 您可以點選活頁簿頂端的其中一個摘要圖格,以篩選特定結果的登入,例如成功或失敗。 您可以查看每個條件式存取條件的登入明細:裝置狀態、裝置平台、用戶端應用程式、位置、應用程式和登入風險。
登入詳細資料
您也可以在儀表板底部搜尋特定使用者的登入紀錄,以調查該使用者的登入活動。 查詢會顯示最常出現的使用者。 選擇使用者以篩選查詢。
注意
下載登入記錄時,選擇 JSON 格式以包含條件式存取報告專用的結果資料。
改善活頁簿效能
標準的 Conditional Access 分析和報告工作簿可以透過預設設定收集大量數據。 擷取的數據量可能會影響活頁簿的效能,因此某些查詢可能需要較長的時間才能載入,甚至逾時。若要改善效能,您可以在 Azure 監視器中建立轉換。
繼續進行此選擇性步驟之前,請先檢閱 Azure 監視器中的轉換 一文,以取得一般概觀和成本考慮。
若要識別要保留或排除轉換的結果,請在Log Analytics中使用下列 Kusto 查詢:
SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies
查詢會特別查看導致成功或失敗的條件式存取原則。 您可以在查詢中包含的其他值包括notApplied、、reportOnlySuccessreportOnlyFailure、 reportOnlyNotApplied和 notEnabled。
若要建立登入記錄的數據收集規則 (DCR):
- 以至少 監視參與者 的身份登入 Azure 入口網站。
- 流覽至 Log Analytics 工作區 ,然後選取您的工作區。
- 移至 [ 設定>數據表> ] 選取 [SignInLogs]。
- 開啟右側的功能表,然後選取 [ 建立轉換]。
- 依照提示建立轉換,選取 [ 轉換編輯器 ] 以變更轉換中包含的任何詳細數據。
成功建立和部署轉換之後,條件式存取深入解析和報告活頁簿應該會更快載入。 轉換僅適用於在建立轉換之後匯入的新登入記錄。 其他拉取此表格數據的活頁簿也會受到此轉換的影響。
請記住,如果您從轉換中排除特定原則結果,在轉換執行之後,就不會在活頁簿中看到任何結果。
在報告專用模式中設定條件式存取原則
在報告專用模式中設定條件式存取原則:
- 以至少為條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
- 瀏覽至 保護>條件式存取>原則。
- 選取現有原則或建立新原則。
- 在 [啟用原則] 下,將切換設為 [報告專用] 模式。
- 選擇儲存
提示
將現有原則的 [啟用原則] 狀態從 [開啟] 編輯為 [報告專用] 會停用現有的原則強制執行。
疑難排解
為什麼查詢因為權限錯誤而失敗?
若要存取活頁簿,您需要 Microsoft Entra ID 和 Log Analytics 中的適當存取權限。 若要透過執行樣本記錄分析查詢,測試您是否有適當的工作區權限:
- 至少以安全性讀取者的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 身分識別>監控和健康>Log Analytics。
- 在 [查詢] 方塊中輸入
SigninLogs,然後選取 [執行]。 - 如果查詢未傳回任何結果,則工作區的設定可能不正確。
如需如何將 Microsoft Entra 登入記錄串流至 Log Analytics 工作區的詳細資訊,請參閱將 Microsoft Entra 記錄與 Azure 監視器記錄整合一文。
活頁簿中的查詢為何失敗?
客戶發現,如果工作區設定不正確或與活頁簿相關聯的工作區過多,查詢有時會失敗。 若要修正這個問題,請選取活頁簿頂端的 [編輯],然後選取 [設定] 齒輪。 選取並移除未與活頁簿相關聯的工作區。 每個活頁簿只能有一個相關聯的工作區。
為什麼條件式存取原則參數是空的?
政策清單是根據針對最近一次登入事件進行評估的政策所生成。 如果租戶中沒有最近的登入,您可能需要稍等幾分鐘,讓工作簿載入條件式存取原則的清單。 空白結果可能會在設定 Log Analytics 之後或租用戶最近沒有登入活動時立即發生。
為什麼活頁簿需要很長的時間才能載入或只顯示空白結果?
根據所選的時間範圍和您的租戶大小,活頁簿可能會評估異常大量的登入活動。 對於大型租用戶,登入量可能會超過 Log Analytics 的查詢容量。 嘗試將時間範圍縮短為4小時,然後確認活頁簿是否已載入。 如需如何改善效能的詳細資訊,請參閱 改善活頁簿效能 一節。
我可以儲存我的參數選擇或自訂活頁簿嗎?
您可以儲存參數選擇,並在活頁簿的上方自訂此活頁簿。 流覽至身份識別>監控與健康>活頁簿>條件式存取洞察和報告。 您會在此找到活頁簿範本,在範本中您可編輯活頁簿並將複本儲存到 [我的報告] 或 [共用報告]中的工作區,包括參數選取項目。 若要開始編輯查詢,請選取活頁簿頂端的 [編輯]。
相關內容
如需 Microsoft Entra 活頁簿的詳細資訊,請參閱如何使用 Azure 監視器活頁簿建立 Microsoft Entra 報告一文。