教學課程：建立Microsoft Entra ID 的自定義活頁簿

在本教學課程中，您將瞭解如何：

• 建立自訂活頁簿
• 將查詢加入至現有的活頁簿範本

先決條件

若要使用 Log Analytics 來分析活動記錄，您需要下列角色和需求：

• Microsoft Entra 監視與健康狀況授權

• 建立 Log Analytics 工作區的存取權

• Azure 監視器的適當角色：

  • 監視讀取器
  • Log Analytics 讀取器
  • 觀察參與者
  • Log Analytics 參與者

• Microsoft Entra ID 的合適角色：

  • 報表閱讀器
  • 安全讀取器
  • 全球閱讀器
  • 安全性系統管理員

如果您尚未建立Log Analytics工作區，請完成 設定Log Analytics工作區 教學課程。

建立自訂活頁簿

除了使用 Kusto 查詢語言 （KQL） 查詢數據之外，您還可以建立自定義活頁簿以進行進一步分析和警示。 建立或更新活頁簿的最低特殊許可權角色是 安全性系統管理員 角色。

1. 流覽至 Entra ID>監視與健康>活頁簿。

2. 在 [快速入門] 區段中，選取 [空白]。

   

3. 從 [新增] 功能表中，選取 [新增文字]。

   

4. 在文字方塊中，輸入 # Client apps used in the past week，然後選取 [完成編輯]。

   

5. 在文字視窗下方，開啟 [新增] 功能表，然後選取 [新增查詢]。

   

6. 在查詢文字方塊中，輸入：SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

7. 請選擇執行查詢。

   

8. 在工具列中，從 [視覺效果] 功能表中，選取 [圓形圖]。

   

9. 選取頁面頂端的 [完成編輯]。

10. 選取 [儲存] 圖示以儲存您的活頁簿。

11. 在出現的對話方塊中，輸入標題，並選取資源群組，然後選取 [套用]。

將查詢新增至活頁簿範本

您可以將 Kusto 查詢新增至活頁簿。 此範例是以查詢為基礎，其中顯示已套用條件式存取原則的成功和失敗登入分佈。 建立或更新活頁簿的最低特殊許可權角色是 安全性系統管理員 角色。

1. 流覽至 Entra ID>監視與健康>活頁簿。

2. 在 [條件式存取] 區段中，選取 [條件式存取深入解析和報告]。

   

3. 在工具列中，選取 [編輯]。

   

4. 在工具列中，選取 [編輯] 按鈕旁邊的三個點，並選取 [新增]，然後選取 [新增查詢]。

   

5. 在查詢文字方塊中，輸入：SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

6. 請選擇執行查詢。

   

7. 從 [時間範圍] 功能表中，選取 [在查詢中設定]。

8. 從 [視覺效果] 功能表中，選取 [橫條圖]。

9. 選取進階設定。

   

10. 在 [圖表標題] 欄位中，輸入 Conditional Access status over the last 20 days，然後選取 [完成編輯]。

    

您的條件式存取成功和失敗圖表會顯示您租戶的彩色編碼快照。

相關內容

• 設定 Log Analytics 工作區
• 設定診斷設定
• 整合活動記錄與Log Analytics