Plánování nasazení podmíněného přístupu
Plánování nasazení podmíněného přístupu je důležité pro dosažení strategie přístupu vaší organizace pro aplikace a prostředky.
V mobilním cloudovém světě mají uživatelé přístup k prostředkům organizace odkudkoli pomocí různých zařízení a aplikací. V důsledku toho už nestačí soustředit se na to, kdo má přístup k prostředku. Musíte také zvážit, kde se uživatel nachází, používané zařízení, prostředek, ke kterým se přistupuje, a další.
Azure Active Directory podmíněného přístupu (Azure AD) analyzuje signály, jako je uživatel, zařízení a umístění, a automatizuje tak rozhodování a vynucuje zásady přístupu organizace pro prostředky. Zásady podmíněného přístupu můžete použít k použití řízení přístupu, jako je vícefaktorové ověřování (MFA). Zásady podmíněného přístupu umožňují vyzvat uživatele k více ověřování v případě potřeby z bezpečnostních opatření a v případě potřeby se jim nevěnovat.
Microsoft poskytuje standardní podmíněné zásady nazývané výchozí nastavení zabezpečení, které zajišťují základní úroveň zabezpečení. Vaše organizace ale může potřebovat větší flexibilitu, než nabízí výchozí nastavení zabezpečení. Podmíněný přístup můžete použít k přizpůsobení výchozích hodnot zabezpečení s větší členitostí a ke konfiguraci nových zásad, které splňují vaše požadavky.
Learn
Než začnete, ujistěte se, že rozumíte tomu, jak podmíněný přístup funguje a kdy byste ho měli použít.
Výhody
Výhody nasazení podmíněného přístupu:
Zvýšení produktivity. Uživatele přerušíte pomocí přihlašovací podmínky, jako je MFA, pouze pokud to jeden nebo více signálů zaručuje. Zásady podmíněného přístupu umožňují řídit, kdy se uživatelům zobrazí výzva k více ověřování, kdy je přístup blokovaný a kdy musí používat důvěryhodné zařízení.
Řízení rizik. Automatizace posouzení rizik s podmínkami zásad znamená, že riziková přihlášení se identifikují a opravují nebo blokují. Párování podmíněného přístupu s Identity Protection,které detekuje anomálie a podezřelé události, umožňuje cílit na zablokování nebo bránu přístupu k prostředkům.
Řešení dodržování předpisů a zásad správného řízení Podmíněný přístup umožňuje auditovat přístup k aplikacím, prezentovat podmínky použití pro vyjádření souhlasu a omezit přístup na základě zásad dodržování předpisů.
Správa nákladů. Přesunutí zásad přístupu do Azure AD snižuje závislost na vlastních nebo místních řešeních pro podmíněný přístup a jejich náklady na infrastrukturu.
Licenční požadavky
Viz Licenční požadavky podmíněného přístupu.
Pokud jsou vyžadovány další funkce, možná budete potřebovat také související licence. Další informace najdete v tématu Azure Active Directory ceny.
Požadavky
Funkční tenant Azure AD s povolenou Azure AD Premium nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
Účet s oprávněními správce podmíněného přístupu.
Uživatel bez oprávnění správce s heslem, které znáte, například testuser. Pokud potřebujete vytvořit uživatele, projděte si rychlý start: Přidání nových uživatelůdo Azure Active Directory .
Skupina, do které je uživatel bez oprávnění správce členem. Pokud potřebujete vytvořit skupinu, podívejte se na stránku Vytvoření skupiny a přidání členů do Azure Active Directory.
Školicí materiály
Při seznamech s podmíněným přístupem mohou být užitečné následující zdroje informací:
Videa
- Co je podmíněný přístup?
- Jak nasadit podmíněný přístup?
- Jak u koncových uživatelů zakončíte zásady podmíněného přístupu?
- Zahrnutí nebo vyloučení uživatelů ze zásad podmíněného přístupu
- Podmíněný přístup pomocí ovládacích prvků zařízení
- Podmíněný přístup s azure AD MFA
- Podmíněný přístup v Enterprise Mobility + Security
Online kurzy na PluralSightu
- Návrh správy identit v Microsoft Azure
- Ověřování návrhu pro Microsoft Azure
- Autorizace návrhu pro Microsoft Azure
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby své organizace.
Zapojení správných účastníků
Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, ujistěte se, že zapojujte správné účastníky a aby byly jasné role projektu.
Plán komunikace
Komunikace je zásadní pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli o tom, jak se jejich prostředí změní, kdy se změní a jak získat podporu v případě problémů.
Plánování pilotního projektu
Až budou nové zásady připravené pro vaše prostředí, nasaďte je ve fázích v produkčním prostředí. Nejprve použijte zásadu pro malou sadu uživatelů v testovacím prostředí a ověřte, jestli se zásady chovají podle očekávání. Viz Osvědčené postupy pro pilotní projekt.
Poznámka
Pokud chcete zavádět nové zásady, které nejsou specifické pro správce, vylučte všechny správce. Tím se zajistí, že správci budou mít stále přístup k zásadám a budou provádět změny nebo je odvolá, pokud to bude mít významný dopad. Před použitím u všech uživatelů vždy ověřte zásadu s menšími skupinami uživatelů.
Principy komponent zásad podmíněného přístupu
Zásady podmíněného přístupu jsou příkazy if-then: Pokud je přiřazení splněné, použijte tyto řízení přístupu.
Při konfiguraci zásad podmíněného přístupu se podmínky nazývají přiřazení. Zásady podmíněného přístupu umožňují vynutit řízení přístupu v aplikacích vaší organizace na základě určitých přiřazení.
Další informace najdete v tématu Vytvoření zásad podmíněného přístupu.
Uživatelé a skupiny, na které mají zásady mít vliv
Cloudové aplikace nebo akce, na které se zásady budou vztahovat
Podmínky, za kterých se zásada použije.
Nastavení řízení přístupu určuje, jak vynutit zásadu:
Udělení nebo blokování přístupu ke cloudovým aplikacím
Řízení relací umožňuje omezené prostředí v rámci konkrétních cloudových aplikací.
Poklást správné otázky k vytváření zásad
Zásady zodpovídá otázky týkající se toho, kdo má mít přístup k vašim prostředkům, ke kterým prostředkům by měl přistupovat a za jakých podmínek. Zásady je možné navrhovat tak, aby udělují přístup nebo blokují přístup. Položte si správné otázky ohledně toho, čeho se vaše zásady snaží dosáhnout.
Zdokumentování odpovědí na otázky týkající se jednotlivých zásad před jejich vytvořením
Běžné dotazy k přiřazením
Kteří uživatelé a skupiny budou do zásad zahrnuti nebo vyloučeni?
Zahrnuje tato zásada všechny uživatele, konkrétní skupinu uživatelů, role adresáře nebo externí uživatele?
Na které aplikace se zásady budou vztahovat?
Jaké akce uživatelů budou touto zásadou podléhat?
Které platformy zařízení budou do zásad zahrnuté nebo vyloučené?
Jaká jsou důvěryhodná umístění organizace?
Která umístění se do zásad zahrnou nebo která z toho budou vyloučená?
Jaké typy klientských aplikací (prohlížeč, mobilní, desktopové klienti, aplikace se staršími metodami ověřování) budou do zásad zahrnuté nebo vyloučené?
Máte zásady, které vyloučují zařízení připojená k Azure AD nebo hybridní zařízení připojená k Azure AD ze zásad?
Pokud používáte Identity Protection,chcete začlenit ochranu před riziky přihlašování?
Běžné otázky týkající se řízení přístupu
Chcete udělit přístup k prostředkům tím, že budete vyžadovat jednu nebo více z následujících možností?
Vyžadování MFA
Vyžadovat, aby zařízení bylo označené jako vyhovující
Vyžadování hybridního zařízení připojeného k Azure AD
Vyžadování schválené klientské aplikace
Vyžadování zásad ochrany aplikací
Chcete u cloudových aplikací vynutit některé z následujících řízení přístupu?
Použití vynucených oprávnění aplikace
Použití Řízení podmíněného přístupu k aplikacím
Vynucení frekvence přihlašování
Použití trvalých relací prohlížeče
Vystavování přístupového tokenu
Je důležité pochopit, jak se vydávají přístupové tokeny.
Poznámka
Pokud není přiřazení potřeba a nejsou v platnosti žádné zásady podmíněného přístupu, je výchozím chováním vydání přístupového tokenu.
Představte si například zásadu, ve které:
Pokud je uživatel ve skupině 1, vynutí vícefa pro přístup k aplikaci 1.
Pokud se uživatel, který není ve skupině 1, pokusí získat přístup k aplikaci bez podmínky "if" a vydá se token. Vyloučení uživatelů mimo skupinu 1 vyžaduje samostatnou zásadu, která zablokuje všechny ostatní uživatele.
Dodržujte osvědčené postupy
Rozhraní podmíněného přístupu poskytuje skvělou flexibilitu konfigurace. Velká flexibilita ale také znamená, že byste měli pečlivě zkontrolovat každou zásadu konfigurace, než ji uvolníte, abyste se vyhnuli nežádoucím výsledkům.
Použití zásad podmíněného přístupu u každé aplikace
Přístupové tokeny se ve výchozím nastavení vystaví, pokud podmínka zásad podmíněného přístupu nespouštěl řízení přístupu. Ujistěte se, že pro každou aplikaci platí alespoň jedna zásada podmíněného přístupu.
Důležité
Při používání blokových a všech aplikací v jedné zásadách buďte velmi opatrní. Správci tak mohou být mimo portál pro správu Azure a vyloučení není možné nakonfigurovat pro důležité koncové body, jako je například microsoft Graph.
Minimalizace počtu zásad podmíněného přístupu
Vytvoření zásady pro každou aplikaci není efektivní a vede ke složité správě. V každém tenantovi Azure AD může být maximálně 195 podmíněných přístupů. Doporučujeme, abyste své aplikace analyzovali a seskupili do zásad, které mají stejné požadavky na přístup. Pokud například všechny aplikace Microsoft 365 nebo všechny aplikace personálního oddělení mají stejné požadavky na stejné uživatele, vytvořte jednu zásadu a místo přidání zásady pro každou aplikaci zahr přidejte všechny tyto aplikace.
Nastavení účtů pro nouzový přístup
Pokud zásadu nakonfigurujete špatně, může organizace vyzamknout z Azure Portal. Zmírníte dopad náhodného uzamčení správce vytvořením dvou nebo více účtů pro nouzový přístup ve vaší organizaci.
- Vytvořte uživatelský účet vyhrazený pro správu zásad, který je vyloučený ze všech vašich zásad.
Nastavení režimu pouze sestav
Může být obtížné předpovědět počet a jména uživatelů ovlivněných běžnými iniciativami nasazení, jako jsou:
- blokování starší verze ověřování
- vyžadování MFA
- implementace zásad rizik přihlašování
Režim pouze sestav umožňuje správcům vyhodnotit dopad zásad podmíněného přístupu před jejich povolením ve svém prostředí.
Zjistěte, jak nakonfigurovat režim pouze sestav pro zásady podmíněného přístupu.
Plánování přerušení
Pokud se při zabezpečení it systémů spoléháte na jedno řízení přístupu, jako je MFA nebo síťové umístění, můžete být náchylní k selhání přístupu, pokud toto jedno řízení přístupu přestane být dostupné nebo je špatně nakonfigurované. Pokud chcete snížit riziko uzamčení během nepředvídatelných výpadků, naplánujte strategie, které se mají pro vaši organizaci přijmout.
Nastavení standardů pro vytváření názvů pro zásady
Standard pro vytváření názvů vám pomůže najít zásady a porozumět jejich účelu, aniž byste je otevřeli na portálu pro správu Azure. Doporučujeme, abyste zásady pojmech mohli zobrazit:
Pořadové číslo
Cloudové aplikace, na které se vztahuje
Odpověď
Kdo, na které se vztahuje
Kdy to platí (pokud je to dostupné)
Příklad; Zásady, které vyžadují MFA pro uživatele marketingu přistupující k aplikaci Dynamics CRP z externích sítí, může být následující:
Popisný název vám pomůže udržet si přehled o implementaci podmíněného přístupu. Pořadové číslo je užitečné, pokud potřebujete v konverzaci odkazovat na zásadu. Když například mluvíte na telefonu se správcem, můžete je požádat, aby otevřeli zásady CA01 a problém vyřešili.
Standardy pojmenování pro řízení nouzového přístupu
Kromě aktivních zásad implementujte zakázané zásady, které v případě výpadků nebo nouzových scénářů vystupují jako sekundární odolné řízení přístupu. Mezi standardy pojmenování pro zásady nepředvídaných nepředvídaných chvostů patří:
POVOLTE V NOUZOVÉM STAVU na začátku, aby název vynikl mezi ostatními zásadami.
Název přerušení, na který by se mělo vztahovat.
Pořadové číslo objednávek, které správci pomůže vědět, v jakých zásadách pořadí by se měly povolit.
Příklad
Následující název označuje, že tato zásada je první ze čtyř zásad, které se povolí, pokud dojde k přerušení MFA:
EM01 – POVOLENÍ V NOUZOVÉM STAVU: Přerušení vícefa [1/4] – Exchange SharePoint: Vyžadovat hybridní připojení ke službě Azure AD pro uživatele vip.
Vylučte země, ze kterých se přihlášení nikdy neočekává.
Azure Active Directory umožňuje vytvářet pojmenovaná umístění. Vytvořte pojmenované umístění, které zahrnuje všechny země, ze kterých byste nikdy neočekáli přihlášení. Potom vytvořte zásadu pro Všechny aplikace, která zablokuje přihlášení z tohoto pojmenovaného umístění. Nezapomeňte z této zásady vyjmout správce.
Plánování nasazení zásad
Až budou nové zásady připravené pro vaše prostředí, nezapomeňte před jejich vydáním zkontrolovat jednotlivé zásady, abyste se vyhnuli nežádoucím výsledkům.
Běžné zásady
Při plánování řešení zásad podmíněného přístupu vyhodnoťte, jestli potřebujete vytvořit zásady, abyste dosáhli následujících výsledků.
- Vyžadování MFA
- Reakce na potenciálně ohrožené účty
- Vyžadování spravovaných zařízení
- Vyžadování schválených klientských aplikací
- Blokovat přístup
Vyžadování MFA
Běžné případy použití, které vyžadují přístup více ověřování:
Reakce na potenciálně ohrožené účty
Pomocí zásad podmíněného přístupu můžete implementovat automatizované odpovědi na přihlášení pomocí potenciálně ohrožených identit. Pravděpodobnost, že je účet ohrožen, je vyjádřena ve formě úrovní rizika. Identity Protection počítá dvě úrovně rizika: riziko přihlášení a riziko uživatelů. Následující tři výchozí zásady je možné povolit.
Vyžadování spravovaných zařízení
Rozšíření podporovaných zařízení pro přístup k vašim cloudovým prostředkům pomáhá zlepšit produktivitu vašich uživatelů. U zařízení s neznámou úrovní ochrany pravděpodobně nechcete mít k některým prostředkům ve vašem prostředí. U těchto prostředků vyžadují, aby k nim uživatelé měli přístup jenom pomocí spravovaného zařízení.
Vyžadování klientem schválených aplikací
Zaměstnanci používají mobilní zařízení pro osobní i pracovní úkoly. V případě scénářů BYOD se musíte rozhodnout, jestli chcete spravovat celé zařízení, nebo jenom data. Pokud spravujete jenom data a přístup, můžete vyžadovat schválené cloudové aplikace , které můžou chránit vaše firemní data. k e-mailu můžete například vyžadovat pøístup přes Outlook mobile, nikoli prostřednictvím obecného e-mailového programu.
Blokování přístupu
Možnost blokování veškerého přístupu je výkonná. Dá se použít například při migraci aplikace do služby Azure AD, ale nejsou připravené k tomu, aby se k nim ještě nikdo přihlásil. Blokovat přístup:
Přepíše všechna ostatní přiřazení pro uživatele.
Má zablokovat, aby se celá organizace mohla přihlásit ke svému tenantovi.
Důležité
Pokud vytvoříte zásadu pro blokování přístupu pro všechny uživatele, nezapomeňte vyloučit účty pro nouzový přístup a zvážit vyloučení všech správců ze zásad.
K dalším běžným scénářům, kde můžete zablokovat přístup pro uživatele:
Blokuje určitá síťová umístění pro přístup k vašim cloudovým aplikacím. Pomocí této zásady můžete blokovat určité země, ze kterých víte, že by provoz neměl přijít.
Azure AD podporuje starší verze ověřování. Starší verze ověřování však nepodporují MFA a mnoho prostředí vyžaduje, aby se zabezpečení identity vyvyžadovalo. V takovém případě můžete pro přístup k prostředkům tenanta blokovat aplikace pomocí staršího ověřování .
Zásady sestavení a testování
V každé fázi nasazení se ujistěte, že budete vyhodnocovat, že výsledky jsou očekávané.
Až budou nové zásady připravené, nasaďte je v produkčním prostředí do fází:
Poskytněte koncovým uživatelům interní změnu komunikace.
Začněte s malou sadou uživatelů a ověřte, jestli se zásada chová podle očekávání.
Když rozbalíte zásadu, aby zahrnovala více uživatelů, pokračujte v vyloučení všech správců. Vyloučení správců zajistí, že někdo má stále přístup k zásadám, pokud je potřeba změnit.
Zásady můžete použít pro všechny uživatele až po důkladném otestování. Ujistěte se, že máte aspoň jeden účet správce, na který se zásady nevztahují.
Vytvoření testovacích uživatelů
Vytvořte sadu testovacích uživatelů, kteří odrážejí uživatele v produkčním prostředí. Vytváření testovacích uživatelů vám umožní ověřit, jestli zásady fungují podle očekávání, a pak ovlivnit reálné uživatele a potenciálně rušit přístup k aplikacím a prostředkům.
Některé organizace mají pro tento účel testovací klienty. Může však být obtížné znovu vytvořit všechny podmínky a aplikace v testovacím tenantovi pro kompletní testování výsledku zásad.
Vytvoření testovacího plánu
Testovací plán je důležitý pro porovnání očekávaných výsledků a skutečných výsledků. Před testováním byste měli vždycky očekávat. Následující tabulka popisuje příklady testovacích případů. Upravte scénáře a očekávané výsledky na základě toho, jak jsou nakonfigurované zásady podmíněného přístupu.
| Zásady | Scenario | Očekávaný výsledek |
|---|---|---|
| Vyžadovat MFA, pokud není v práci | Autorizovaný uživatel se přihlásí do aplikace v důvěryhodném umístění/v práci. | Uživatel není vyzván k MFA. |
| Vyžadovat MFA, pokud není v práci | Autorizovaný uživatel se přihlásí do aplikace, když není v důvěryhodném umístění/v práci. | Uživatel je vyzván k ověřování MFA a úspěšně se může přihlásit. |
| Vyžadovat MFA (pro správce) | Globální správce se přihlásí do aplikace. | Správce je vyzván k ověřování MFA. |
| Riziková přihlášení | Uživatel se přihlásí do aplikace pomocí neschváleného prohlížeče. | Správce je vyzván k ověřování MFA. |
| Správa zařízení | Autorizovaný uživatel se pokusí přihlásit z autorizovaného zařízení. | Udělen přístup |
| Správa zařízení | Autorizovaný uživatel se pokusí přihlásit z neautorizovaného zařízení. | Přístup zablokován |
| Změna hesla pro rizikové uživatele | Autorizovaný uživatel se pokusí přihlásit pomocí ohrožených přihlašovacích údajů (přihlašování s vysokým rizikem). | Uživateli se zobrazí výzva ke změně hesla nebo je přístup na základě vašich zásad zablokovaný. |
Konfigurovat zásady testování
v Azure Portalmůžete nakonfigurovat zásady podmíněného přístupu v části Azure Active Directory > zabezpečení > podmíněný přístup.
Pokud se chcete dozvědět víc o vytváření zásad podmíněného přístupu, přečtěte si tento příklad: zásady podmíněného přístupu, které se zobrazí při přihlášení uživatele k Azure Portal pro MFA. Tento rychlý Start vám pomůže:
Seznámení s uživatelským rozhraním
Získání prvního dojmu o tom, jak podmíněný přístup funguje
Povolit zásadu v režimu pouze sestavy
Chcete-li posoudit dopad zásady, začněte tím, že povolíte zásady v režimu pouze sestavy. Zásady pouze pro sestavy jsou vyhodnocovány během přihlašování, ale ovládací prvky a řízení relace nejsou vyhodnoceny. Když zásadu uložíte v režimu jenom pro sestavy, uvidíte dopad na přihlášení v reálném čase v protokolech přihlášení. V protokolech přihlášení vyberte událost a přejděte na kartu pouze sestavy a zobrazte výsledek jednotlivých zásad pouze pro sestavy.
Když vyberete zásadu, můžete si také prohlédnout, jak se úlohy a řízení přístupu zásady vyhodnotily pomocí obrazovky s podrobnostmi zásad. Aby se zásady daly použít pro přihlášení, musí být každé nakonfigurované přiřazení splněné.
pochopení dopadu zásad pomocí sešitu Přehledy a vytváření sestav
agregovaný dopad zásad podmíněného přístupu můžete zobrazit v sešitě Přehledy a vytváření sestav. Pro přístup k sešitu potřebujete předplatné Azure Monitor a budete muset streamovat protokoly přihlášení do pracovního prostoru Log Analytics.
Simulace přihlášení pomocí nástroje co-if
Dalším způsobem, jak ověřit zásady podmíněného přístupu, je použití nástroje citlivostníinstalace, který simuluje to, které zásady se použijí pro uživatele, který se přihlašuje za hypotetické podmínky. Vyberte atributy přihlášení, které chcete testovat (například uživatele, aplikace, platforma zařízení a umístění) a zjistěte, které zásady budou platit.
Poznámka
I když simulované spuštění přináší dobrý nápad na dopad, který má zásada podmíněného přístupu, nenahrazuje skutečný testovací běh.
Testování zásad
Proveďte všechny testy v testovacím plánu s testovacími uživateli.
Ujistěte se, že testujete kritéria vyloučení zásady. Můžete například vyloučit uživatele nebo skupinu ze zásady, která vyžaduje MFA. Otestujte, jestli jsou vyloučení uživatelé vyzváni k ověřování MFA, protože kombinace jiných zásad může pro tyto uživatele vyžadovat MFA.
Vracení zásad zpátky
V případě, že potřebujete vrátit nově implementované zásady, použijte jednu z následujících možností:
- Zakažte tuto zásadu. Zakázáním zásady se zajistí, že se nepoužije, když se uživatel pokusí přihlásit. Kdykoli se můžete vrátit zpět a povolit zásadu, když ji chcete použít.
- Vylučte uživatele nebo skupinu ze zásad. Pokud uživatel nemá přístup k aplikaci, můžete se rozhodnout z této zásady vyloučit uživatele.
Poznámka
Tato možnost by se měla používat zřídka, jenom v situacích, kdy je uživatel důvěryhodný. Uživatel by měl být do zásady nebo skupiny co nejdříve přidán.
- Odstraňte zásadu. Pokud se už zásada nepožaduje, odstraňte ji.
Správa přístupu ke cloudovým aplikacím
Pomocí následujících možností správy můžete řídit a spravovat zásady podmíněného přístupu:
Pojmenovaná umístění
Podmínka umístění zásad podmíněného přístupu umožňuje propojení nastavení řízení přístupu k síťovým umístěním vašich uživatelů. Pomocí pojmenovaných umístěnímůžete vytvořit logická seskupení rozsahů IP adres nebo zemí a oblastí.
Vlastní ovládací prvky
Vlastní ovládací prvky přesměrují uživatele na kompatibilní službu, aby splnily požadavky na ověření mimo Azure AD. Aby bylo možné tento ovládací prvek vyhovět, bude prohlížeč uživatele přesměrován na externí službu, provede požadované ověření a pak bude přesměrován zpět do služby Azure AD. Azure AD ověří odpověď, a pokud byl uživatel úspěšně ověřen nebo ověřen, uživatel pokračuje v toku podmíněného přístupu.
Podmínky použití
Než budete mít přístup k určitým cloudovým aplikacím ve vašem prostředí, můžete získat souhlas od uživatelů tím, že přijmete Podmínky použití (podmínky použití). Podle tohoto rychlého startu vytvořte podmínek použití.
Řešení potíží s podmíněným přístupem
Pokud se uživateli vyskytne problém se zásadami podmíněného přístupu, shromážděte následující informace, které vám usnadní řešení potíží.
Hlavní název uživatele
Zobrazované jméno uživatele
Název operačního systému
Časové razítko (přibližná v pořádku)
Cílová aplikace
Typ klientské aplikace (prohlížeč vs Client)
ID korelace (Toto je jedinečné pro přihlášení)
Pokud uživatel obdržel zprávu s odkazem s dalšími podrobnostmi, může získat většinu těchto informací za vás.
Jakmile shromáždíte informace, podívejte se na následující zdroje informací:
Problémy s přihlašováním pomocí podmíněného přístupu – pochopení neočekávaných výsledků přihlašování souvisejících s podmíněným přístupem pomocí chybových zpráv a protokolu přihlášení k Azure AD.
Použití nástroje What-If – Pochopte, proč zásada byla nebo nebyla pro uživatele v konkrétní situaci použita nebo zda se zásada použila ve známém stavu.
Další kroky
Další informace o Multi-Factor Authentication
Další informace o identitě identity
Správa zásad podmíněného přístupu pomocí rozhraní Microsoft Graph API