Feltételes hozzáférési megállapítások és jelentéskészítés

A feltételes hozzáférési elemzések és jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. A bejelentkezés során egy vagy több feltételes hozzáférési szabályzat alkalmazható, amely hozzáférést biztosít, ha bizonyos engedélyezési vezérlők teljesülnek, vagy más módon megtagadják a hozzáférést. Mivel az egyes bejelentkezések során több feltételes hozzáférési szabályzat is kiértékelhető, az elemzések és a jelentéskészítési munkafüzet segítségével megvizsgálhatja az egyes szabályzatok vagy az összes szabályzat egy részhalmazának hatását.

Előfeltételek

Az elemzési és jelentéskészítési munkafüzet engedélyezéséhez a bérlőnek log Analytics-munkaterületet kell használnia a bejelentkezési naplók adatainak megőrzéséhez. A feltételes hozzáférés használatához a felhasználóknak Prémium szintű Azure AD P1 vagy P2 licenccel kell rendelkezniük.

A következő szerepkörök férhetnek hozzá az elemzésekhez és a jelentéskészítéshez:

  • Feltételes hozzáférés rendszergazdája
  • Biztonsági olvasó
  • Biztonsági rendszergazda
  • Globális olvasó
  • Globális rendszergazda

A felhasználóknak a következő Log Analytics-munkaterületi szerepkörök egyikére is szükségük van:

  • Közreműködő
  • Tulajdonos

Bejelentkezési naplók streamelése az Azure AD-ből az Azure Monitor naplóiba

Ha nem integrálta az Azure AD-naplókat az Azure Monitor-naplókkal, a munkafüzet betöltése előtt a következő lépéseket kell elvégeznie:

  1. Log Analytics-munkaterület létrehozása az Azure Monitorban.
  2. Azure AD-naplók integrálása az Azure Monitor-naplókkal.

Működés

Az elemzési és jelentéskészítési munkafüzet elérése:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférési>elemzéseket és jelentéskészítést.

Első lépések: Paraméterek kiválasztása

Az elemzési és jelentéskészítési irányítópulton egy vagy több feltételes hozzáférési szabályzat adott időszakra gyakorolt hatását láthatja. Először állítsa be az egyes paramétereket a munkafüzet tetején.

Conditional Access Insights and Reporting dashboard in the Azure portal

Feltételes hozzáférési szabályzat: Válasszon ki egy vagy több feltételes hozzáférési szabályzatot az együttes hatásuk megtekintéséhez. A szabályzatok két csoportra vannak osztva: engedélyezett és csak jelentésalapú szabályzatok. Alapértelmezés szerint az összes engedélyezett házirend ki van jelölve. Ezek az engedélyezett szabályzatok a bérlőben jelenleg érvényben lévő szabályzatok.

Időtartomány: Válasszon ki egy 4 óra és 90 nap közötti időtartományt. Ha egy időtartományt választ vissza, mint amikor az Azure AD-naplókat integrálta az Azure Monitorral, csak az integráció időpontja után jelennek meg a bejelentkezések.

Felhasználó: Alapértelmezés szerint az irányítópult a kiválasztott szabályzatok hatását jeleníti meg az összes felhasználóra vonatkozóan. Ha egyéni felhasználó alapján szeretne szűrni, írja be a felhasználó nevét a szövegmezőbe. Ha az összes felhasználó alapján szeretne szűrni, írja be a "Minden felhasználó" szöveget a szövegmezőbe, vagy hagyja üresen a paramétert.

Alkalmazás: Alapértelmezés szerint az irányítópult az összes alkalmazásra vonatkozóan megjeleníti a kiválasztott szabályzatok hatását. Ha egy alkalmazás alapján szeretne szűrni, írja be az alkalmazás nevét a szövegmezőbe. Ha az összes alkalmazás alapján szeretne szűrni, írja be a "Minden alkalmazás" kifejezést a szövegmezőbe, vagy hagyja üresen a paramétert.

Adatnézet: Válassza ki, hogy az irányítópulton a felhasználók száma vagy a bejelentkezések száma alapján jelenjenek-e meg az eredmények. Az egyes felhasználók több száz bejelentkezéssel rendelkezhetnek számos alkalmazásba, amelyek számos különböző eredménnyel rendelkeznek egy adott időtartományban. Ha a felhasználóknak szánt adatnézetet választja, akkor a felhasználók a Sikeres és a Sikertelenség számba is belefoglalhatók (például ha 10 felhasználó van, 8 felhasználó az elmúlt 30 napban sikeres volt, 9 pedig az elmúlt 30 napban sikertelen volt).

Hatás összegzése

A paraméterek beállítása után a hatás összegzése betöltődik. Az összefoglalás azt mutatja be, hogy az időtartományban hány felhasználó vagy bejelentkezés eredményezte a "Sikeres", a "Sikertelen", a "Felhasználói művelet szükséges" vagy a "Nincs alkalmazva" állapotot a kiválasztott szabályzatok kiértékelésekor.

Impact summary in the Conditional Access workbook

Összesen: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább az egyiket kiértékelték.

Sikeresség: A felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye "Sikeres" vagy "Csak jelentés: Sikeres" volt.

Hiba: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább egy eredménye "Hiba" vagy "Csak jelentés: Hiba" volt.

Felhasználói művelet szükséges: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye "Csak jelentés: Felhasználói művelet szükséges" volt. Felhasználói műveletre akkor van szükség, ha egy csak jelentésalapú feltételes hozzáférési szabályzat interaktív hozzáférés-vezérlést, például többtényezős hitelesítést igényel. Mivel az interaktív engedélyezési vezérlőket nem kényszerítik csak jelentésalapú szabályzatok, a sikeresség vagy a hiba nem határozható meg.

Nincs alkalmazva: A felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok egyike sem volt alkalmazva.

A hatás megértése

Workbook breakdown per condition and status

Megtekintheti az egyes feltételekhez tartozó felhasználók vagy bejelentkezések lebontását. A munkafüzet tetején található összegző csempékre kattintva szűrheti egy adott eredmény (például sikeres vagy sikertelen) bejelentkezéseit. Megtekintheti a bejelentkezések lebontását az egyes feltételes hozzáférési feltételek esetében: eszközállapot, eszközplatform, ügyfélalkalmazás, hely, alkalmazás és bejelentkezési kockázat.

Bejelentkezési részletek

Workbook sign-in details

Az irányítópult alján található bejelentkezések keresésével egy adott felhasználó bejelentkezéseit is megvizsgálhatja. A bal oldali lekérdezés a leggyakoribb felhasználókat jeleníti meg. Ha kiválaszt egy felhasználót, a jobb oldalon szűri a lekérdezést.

Megjegyzés

A bejelentkezési naplók letöltésekor a JSON formátumot választva csak a feltételes hozzáférési jelentés eredményadatait is belefoglalhatja.

Feltételes hozzáférési szabályzat konfigurálása csak jelentés módban

Feltételes hozzáférési szabályzat konfigurálása csak jelentés módban:

  1. Jelentkezzen be az Azure Portalra feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
  3. Válasszon ki egy meglévő szabályzatot, vagy hozzon létre egy új szabályzatot.
  4. A Házirend engedélyezése területen állítsa a kapcsolót csak jelentés módra .
  5. Válassza a Mentés lehetőséget

Tipp

Ha egy meglévő házirend Házirendállapotának engedélyezése a Csakjelentés típusúra van kapcsolva, az letiltja a meglévő szabályzatkényszerítést.

Hibaelhárítás

Miért hiúsulnak meg a lekérdezések egy engedélyhiba miatt?

A munkafüzet eléréséhez a megfelelő Azure AD-engedélyekre és a Log Analytics-munkaterület engedélyére van szükség. Egy log analytics-minta lekérdezés futtatásával tesztelheti, hogy rendelkezik-e a megfelelő munkaterületi engedélyekkel:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg az Azure Active Directory>Log Analyticset.
  3. Írja be SigninLogs a lekérdezésmezőbe, és válassza a Futtatás lehetőséget.
  4. Ha a lekérdezés nem ad vissza eredményt, előfordulhat, hogy a munkaterület nincs megfelelően konfigurálva.

Troubleshoot failing queries

Az Azure AD bejelentkezési naplóiNak Log Analytics-munkaterületre való streamelésére vonatkozó további információkért tekintse meg az Azure AD-naplók Azure Monitor-naplókkal való integrálását ismertető cikket.

Miért hiúsulnak meg a munkafüzetben lévő lekérdezések?

Az ügyfelek észrevették, hogy a lekérdezések néha meghiúsulnak, ha a munkafüzethez rossz vagy több munkaterület van társítva. A probléma megoldásához kattintson a Szerkesztés gombra a munkafüzet tetején, majd a Beállítások fogaskerék elemre. Jelölje ki, majd távolítsa el a munkafüzethez nem társított munkaterületeket. Minden munkafüzethez csak egy munkaterület tartozhat.

Miért üres a feltételes hozzáférési szabályzatok paramétere?

A szabályzatok listája a legutóbbi bejelentkezési eseményre kiértékelt szabályzatok alapján jön létre. Ha nincsenek legutóbbi bejelentkezések a bérlőben, előfordulhat, hogy várnia kell néhány percet, amíg a munkafüzet betölti a feltételes hozzáférési szabályzatok listáját. Ez közvetlenül a Log Analytics konfigurálása után történhet, vagy hosszabb időt is igénybe vehet, ha egy bérlő nem rendelkezik legutóbbi bejelentkezési tevékenységével.

Miért tart sokáig a munkafüzet betöltése?

A kiválasztott időtartománytól és a bérlő méretétől függően előfordulhat, hogy a munkafüzet rendkívül nagy számú bejelentkezési eseményt értékel ki. Nagy bérlők esetén a bejelentkezések mennyisége meghaladhatja a Log Analytics lekérdezési kapacitását. Próbálja meg lerövidíteni az időtartományt 4 órára, hogy lássa, betöltődik-e a munkafüzet.

Néhány perc betöltés után miért ad vissza a munkafüzet nulla eredményt?

Ha a bejelentkezések mennyisége meghaladja a Log Analytics lekérdezési kapacitását, a munkafüzet nulla eredményt ad vissza. Próbálja meg lerövidíteni az időtartományt 4 órára, hogy lássa, betöltődik-e a munkafüzet.

Menthetem a paraméterkijelöléseket?

A paraméterkijelöléseket a munkafüzet tetején mentheti az Azure ActiveDirectory-munkafüzetek>feltételes hozzáférési elemzéseinek> és jelentéseinek megtekintésével. Itt megtalálhatja a munkafüzetsablont, ahol szerkesztheti a munkafüzetet, és menthet egy másolatot a munkaterületre, beleértve a paraméterkijelöléseket is a Saját jelentésekben vagy a Megosztott jelentésekben.

Szerkeszthetem és testreszabhatom a munkafüzetet további lekérdezésekkel?

A munkafüzet szerkesztéséhez és testreszabásához nyissa meg az Azure ActiveDirectory-munkafüzetek>feltételes hozzáférési elemzéseit> és jelentéseit. Itt megtalálhatja a munkafüzetsablont, ahol szerkesztheti a munkafüzetet, és menthet egy másolatot a munkaterületre, beleértve a paraméterkijelöléseket a Saját jelentésekben vagy a Megosztott jelentésekben. A lekérdezések szerkesztésének megkezdéséhez kattintson a Szerkesztés gombra a munkafüzet tetején.

Következő lépések