Classeur Analyseur des différences d’accès conditionnel

  • Article

Dans Microsoft Entra ID, vous pouvez protéger l'accès à vos ressources en configurant des stratégies d'accès conditionnel. En tant qu’administrateur informatique, vous souhaitez garantir que vos stratégies d’accès conditionnel fonctionnent comme prévu pour garantir que vos ressources sont correctement protégées. Le classeur Analyseur des différences d’Accès conditionnel vous permet de détecter les écarts dans votre implémentation de l’accès conditionnel.

Cet article vous donne une vue d’ensemble du classeur de l’analyseur d’écart d’accès conditionnel.

Prérequis

Pour utiliser Azure Workbooks pour Microsoft Entra ID, vous avez besoin de :

  • Un locataire Microsoft Entra avec une licence Premium P1
  • Un espace de travail Log Analytics et accède à cet espace de travail
  • Les rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analyticsavant de pouvoir utiliser Microsoft Entra Workbooks. plusieurs facteurs déterminent l’accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et les ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de supervision. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles Log Analytics intégrés qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics

  • Afficher et modifier les paramètres :

    • Contributeur d’analyse
    • Contributeur Log Analytics

Rôles Microsoft Entra

L'accès en lecture seule vous permet d'afficher les données du journal Microsoft Entra ID dans un classeur, d'interroger les données de Log Analytics ou de lire les journaux dans le centre d'administration Microsoft Entra. L'accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général

  • Mettre à jour :

    • Administrateur de la sécurité

Pour plus d'informations sur les rôles intégrés Microsoft Entra, voir Rôles intégrés Microsoft Entra.

Pour plus d’informations sur les rôles RBAC pour Log Analytics, consultez Rôles intégrés Azure.

Description

Workbook category

En tant qu’administrateur informatique, vous souhaitez vous assurer que seules les personnes appropriées peuvent accéder à vos ressources. L’accès conditionnel Microsoft Entra vous aide à atteindre cet objectif.

Le classeur Analyseur des différences d’Accès conditionnel vous permet de vérifier que vos stratégies d’accès conditionnel fonctionnent comme prévu.

Ce classeur :

  • Met en surbrillance les connexions utilisateur pour lesquelles aucune stratégie d’Accès conditionnel n’est appliquée.
  • S’assure qu’aucun utilisateur, application ou emplacement n’a été exclu intentionnellement des stratégies d’Accès conditionnel.

Comment accéder au classeur

  1. Connectez-vous au centre d’administration Microsoft Entra à l’aide de la combinaison de rôles appropriée.

  2. Accédez à Identité>Surveillance et intégrité>Classeurs.

  3. Sélectionnez le classeur Conditional Access Gap Analyzer dans la section Accès conditionnel.

Sections du classeur

Le classeur comporte quatre sections :

  • Utilisateurs se connectant à l'aide de l'authentification héritée

  • Nombre de connexions par applications qui ne sont pas affectées par les stratégies d’Accès conditionnel

  • Événements de connexion à haut risque ignorant les stratégies d’Accès conditionnel

  • Nombre de connexions par emplacement qui n’ont pas été affectées par les stratégies d’Accès conditionnel

Conditional Access coverage by location

Chacune de ces tendances offre une répartition des connexions au niveau utilisateur, afin que vous puissiez voir quels utilisateurs par scénario contournent l’Accès conditionnel.

Filtres

Ce classeur prend en charge la définition d’un filtre d’intervalle de temps.

Time range filter

Bonnes pratiques

Utilisez ce classeur pour vous assurer que votre locataire est configuré sur les meilleures pratiques suivantes en matière d’accès conditionnel :

  • Bloquer toutes les connexions avec l’authentification héritée

  • Appliquer au moins une stratégie d’accès conditionnel à chaque application

  • Bloquer toutes les connexions à haut risque

  • Bloquer les connexions provenant d’emplacements non approuvés