Informazioni dettagliate e report di Accesso condizionale

  • Articolo

La cartella di lavoro Informazioni dettagliate e report di Accesso condizionale consente di conoscere l'impatto dei criteri di accesso condizionale dell'organizzazione nel tempo. Durante l'accesso, è possibile applicare uno o più criteri di accesso condizionale, concedendole l'accesso se determinati controlli di concessione sono soddisfatti o negano l'accesso in caso contrario. Poiché più criteri di accesso condizionale possono essere valutati durante ogni accesso, le informazioni dettagliate e la cartella di lavoro per la creazione di report consentono di esaminare l'impatto di un singolo criterio o di un subset di tutti i criteri.

Prerequisiti

Per abilitare le informazioni dettagliate e la cartella di lavoro per la creazione di report, il tenant deve avere:

  • Un'area di lavoro Log Analytics per conservare i dati dei log di accesso.
  • Licenze di Microsoft Entra ID P1 per l'uso dell'accesso condizionale.

Agli utenti deve essere assegnato almeno il ruolo con autorizzazioni di lettura per la sicurezza e i ruoli collaboratore dell'area di lavoro Log Analytics.

Trasmettere i log di accesso da Microsoft Entra ID ai log di Monitoraggio di Azure

Se i log di Microsoft Entra non sono stati integrati con i log di Monitoraggio di Azure, è necessario eseguire i passaggi seguenti prima del caricamento della cartella di lavoro:

  1. Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
  2. Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Funzionamento

Per accedere alla cartella di lavoro Informazioni dettagliate e report:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
  2. Passare a Protezione>dati analitici e report per l'accesso>condizionale.

Introduzione: Selezionare i parametri

Il dashboard Informazioni dettagliate e report consente di visualizzare l'impatto di uno o più criteri di accesso condizionale in un periodo di tempo specificato. Per iniziare, impostare ognuno dei parametri nella parte superiore della cartella di lavoro.

Screenshot showing the Conditional Access insights and reporting workbook.

Criteri di accesso condizionale: per visualizzare l'impatto combinato, selezionare uno o più criteri di accesso condizionale. I criteri sono separati in due gruppi: abilitato e solo report. Per impostazione predefinita, sono selezionati tutti i criteri abilitati, che sono i criteri attualmente applicati nel tenant.

Intervallo di tempo: selezionare un intervallo di tempo compreso tra 4 ore e 90 giorni. Se è stato selezionato un intervallo di tempo più indietro rispetto a quando sono stati integrati i log di Microsoft Entra con Monitoraggio di Azure, vengono visualizzati solo gli accessi dopo l'ora di integrazione.

Utente: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutti gli utenti. Per filtrare un singolo utente, digitarne il nome nel campo di testo. Per filtrare in base a tutti gli utenti, digitare Tutti gli utenti nel campo di testo o lasciare vuoto il parametro.

App: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutte le app. Per filtrare una singola app, digitarne il nome nel campo di testo. Per filtrare in base a tutte le app, digitare Tutte le app nel campo di testo o lasciare vuoto il parametro.

Visualizzazione dati: selezionare se si vuole che il dashboard visualizzi i risultati in termini di numero di utenti o numero di accessi. Un singolo utente potrebbe avere centinaia di accessi a molte app con molti risultati diversi durante un determinato intervallo di tempo. Se si seleziona la visualizzazione dati per essere utenti, è possibile includere un utente sia nel conteggio delle operazioni riuscite che in quello degli errori. Ad esempio, se sono presenti 10 utenti, 8 di essi potrebbero avere esito positivo negli ultimi 30 giorni e 9 di essi potrebbero avere un errore negli ultimi 30 giorni.

Riepilogo dell'impatto

Una volta impostati i parametri, viene caricato il riepilogo dell'impatto. Il riepilogo mostra il numero di utenti o accessi durante l'intervallo di tempo con esito positivo, negativo, azione utente richiesta o Non applicata quando i criteri selezionati sono stati valutati.

Screenshot showing an example impact summary in the Conditional Access workbook.

Totale: numero di utenti o accessi durante il periodo di tempo in cui è stato valutato almeno uno dei criteri selezionati.

Operazione riuscita: numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati è Riuscito o Solo report: Operazione riuscita.

Errore: numero di utenti o accessi durante il periodo di tempo in cui il risultato di almeno uno dei criteri selezionati è Errore o Solo report: Errore.

Azione dell'utente obbligatoria: numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati era Solo report: azione utente richiesta. L'azione dell'utente è necessaria quando è necessario un controllo di concessione interattivo, ad esempio l'autenticazione a più fattori. Poiché i controlli di concessione interattiva non vengono applicati dai criteri solo report, non è possibile determinare l'esito positivo o negativo.

Non applicato: numero di utenti o accessi durante il periodo di tempo in cui nessuno dei criteri selezionati è stato applicato.

Informazioni sull'impatto

Screenshot showing a workbook breakdown per condition and status.

Visualizzare il dettaglio degli utenti o degli accessi per ognuna delle condizioni. È possibile filtrare gli accessi di un determinato risultato (ad esempio, Operazione riuscita o Errore) selezionando i riquadri di riepilogo nella parte superiore della cartella di lavoro. È possibile visualizzare il dettaglio degli accessi per ognuna delle condizioni di accesso condizionale: stato del dispositivo, piattaforma del dispositivo, app client, località, applicazione e rischio di accesso.

Dettagli di accesso

Screenshot showing workbook sign-in details.

È anche possibile esaminare gli accessi di un utente specifico cercando gli accessi nella parte inferiore del dashboard. La query visualizza gli utenti più frequenti. Se si seleziona un utente, la query viene filtrata.

Nota

Quando si scaricano i log di accesso, scegliere il formato JSON per includere i dati dei risultati del report solo per l'accesso condizionale.

Configurare criteri di accesso condizionale in modalità solo report

Per configurare un criterio di accesso condizionale in modalità solo report:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare un criterio esistente o creare un nuovo criterio.
  4. In Abilita criterio impostare l'interruttore su Modalità solo report.
  5. Seleziona Salva

Suggerimento

Se si modifica lo stato dei criteri Abilita criteri di un criterio esistente da Attivato a Solo report , l'applicazione dei criteri esistente viene disabilitata.

Risoluzione dei problemi

Perché le query hanno esito negativo a causa di un errore di autorizzazioni?

Per accedere alla cartella di lavoro, sono necessarie le autorizzazioni appropriate in Microsoft Entra ID e Log Analytics. Per verificare se si dispone delle autorizzazioni appropriate per l'area di lavoro eseguendo una query di Log Analytics di esempio:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
  2. Passare a Monitoraggio delle identità>e integrità>di Log Analytics.
  3. Digitare SigninLogs nella casella di query e selezionare Esegui.
  4. Se la query non restituisce risultati, l'area di lavoro potrebbe non essere configurata correttamente.

Screenshot showing how to troubleshoot failing queries.

Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Perché le query nella cartella di lavoro hanno esito negativo?

I clienti notano che le query talvolta hanno esito negativo se le aree di lavoro errate o più aree di lavoro sono associate alla cartella di lavoro. Per risolvere il problema, selezionare Modifica nella parte superiore della cartella di lavoro e quindi l'ingranaggio Impostazioni. Selezionare e quindi rimuovere le aree di lavoro non associate alla cartella di lavoro. A ogni cartella di lavoro deve essere associata una sola area di lavoro.

Perché il parametro dei criteri di accesso condizionale è vuoto?

L'elenco dei criteri viene generato esaminando i criteri valutati per l'evento di accesso più recente. Se non sono presenti accessi recenti nel tenant, potrebbe essere necessario attendere alcuni minuti prima che la cartella di lavoro carichi l'elenco dei criteri di accesso condizionale. I risultati vuoti possono verificarsi immediatamente dopo la configurazione di Log Analytics o se un tenant non ha attività di accesso recenti.

Perché il caricamento della cartella di lavoro richiede molto tempo?

A seconda dell'intervallo di tempo selezionato e delle dimensioni del tenant, la cartella di lavoro potrebbe valutare un numero straordinariamente elevato di eventi di accesso. Per i tenant di grandi dimensioni, il volume di accessi potrebbe superare la capacità di query di Log Analytics. Provare a abbreviare l'intervallo di tempo a 4 ore, quindi verificare se la cartella di lavoro viene caricata.

Perché, dopo un caricamento durato alcuni minuti, la cartella di lavoro restituisce zero risultati?

Quando il volume degli accessi supera la capacità di query di Log Analytics, la cartella di lavoro restituisce zero risultati. Provare a abbreviare l'intervallo di tempo a 4 ore, quindi verificare se la cartella di lavoro viene caricata.

È possibile salvare le selezioni dei parametri?

È possibile salvare le selezioni dei parametri nella parte superiore della cartella di lavoro passando a Identity Monitoring & health Workbooks Conditional Access Insights and reporting (Informazioni dettagliate sull'accesso condizionale e report delle cartelle di lavoro di identity>monitoring e integrità).>> Qui si trova il modello di cartella di lavoro, in cui è possibile modificare la cartella di lavoro e salvare una copia nell'area di lavoro, incluse le selezioni dei parametri, in Report personali o Report condivisi.

È possibile modificare e personalizzare la cartella di lavoro con altre query?

È possibile modificare e personalizzare la cartella di lavoro passando a Identity Monitoring & health Workbooks Conditional Access Insights and reporting (Informazioni dettagliate e report sull'accesso condizionale>delle cartelle di lavoro di identity>monitoring e integrità).> Qui si trova il modello di cartella di lavoro, in cui è possibile modificare la cartella di lavoro e salvare una copia nell'area di lavoro, incluse le selezioni dei parametri, in Report personali o Report condivisi. Per iniziare a modificare le query, selezionare Modifica nella parte superiore della cartella di lavoro.

Contenuto correlato