Visualizzare i criteri di accesso condizionale applicati nei log di accesso di Microsoft Entra

Con i criteri di accesso condizionale, è possibile controllare come gli utenti ottengono l'accesso alle risorse del tenant di Azure. In qualità di amministratore del tenant, è necessario essere in grado di determinare quale effetto hanno gli accessi ai criteri di accesso condizionale al tenant, in modo da poter intervenire, se necessario.

I log di accesso in Microsoft Entra ID forniscono le informazioni necessarie per valutare l'effetto dei criteri. Questo articolo illustra come visualizzare i criteri di accesso condizionale applicati in tali log.

Prerequisiti

Per visualizzare i criteri di accesso condizionale applicati nei log di accesso, gli amministratori devono disporre delle autorizzazioni per visualizzare sia i log che i criteri. Il ruolo predefinito con privilegi minimi che concede entrambe le autorizzazioni è Security Reader. Come procedura consigliata, è necessario aggiungere il ruolo con autorizzazioni di lettura per la sicurezza agli account amministratore correlati.

I ruoli predefiniti seguenti concedono le autorizzazioni per leggere i criteri di accesso condizionale:

• Ruolo con autorizzazioni di lettura per la sicurezza
• Lettore globale
• Amministratore della sicurezza
• Amministratore accesso condizionale

I ruoli predefiniti seguenti concedono l'autorizzazione per visualizzare i log di accesso:

• Amministratore che legge i report
• Ruolo con autorizzazioni di lettura per la sicurezza
• Lettore globale
• Amministratore della sicurezza

Autorizzazioni per le app client

Se si usa un'app client per eseguire il pull dei log di accesso da Microsoft Graph, l'app deve disporre delle autorizzazioni per ricevere la appliedConditionalAccessPolicy risorsa da Microsoft Graph. Come procedura consigliata, assegnare Policy.Read.ConditionalAccess perché è l'autorizzazione con privilegi minimi.

Una delle autorizzazioni seguenti è sufficiente per un'app client per accedere ai criteri di accesso condizionale applicati nei log di accesso tramite Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All

Autorizzazioni per PowerShell

Analogamente a qualsiasi altra app client, il modulo PowerShell di Microsoft Graph richiede autorizzazioni client per accedere ai criteri di accesso condizionale applicati nei log di accesso. Per eseguire correttamente il pull dei criteri di accesso condizionale applicati nei log di accesso, è necessario fornire il consenso alle autorizzazioni necessarie con l'account amministratore per Microsoft Graph PowerShell. Come procedura consigliata, fornire il consenso a:

• Policy.Read.ConditionalAccess
• AuditLog.Read.All
• Directory.Read.All

Le autorizzazioni seguenti sono le autorizzazioni con privilegi minimi con l'accesso necessario:

• Per fornire il consenso alle autorizzazioni necessarie: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Per visualizzare i log di accesso: Get-MgAuditLogSignIn

Per altre informazioni su questo cmdlet, vedere Get-MgAuditLogSignIn.

Scenari di accesso condizionale e log di accesso

Gli amministratori di Microsoft Entra possono usare i log di accesso per:

• Risolvere i problemi di accesso.
• Controllare le prestazioni delle funzionalità.
• Valutare la sicurezza di un tenant.

Alcuni scenari richiedono di comprendere il modo in cui i criteri di accesso condizionale sono stati applicati a un evento di accesso. Esempi comuni prevedono:

• Amministratori del supporto tecnico che devono esaminare i criteri di accesso condizionale applicati per comprendere se un criterio è la causa radice di un ticket aperto da un utente.

• Gli amministratori tenant che devono verificare che i criteri di accesso condizionale abbiano l'effetto previsto sugli utenti di un tenant.

È possibile accedere ai log di accesso usando l'interfaccia di amministrazione di Microsoft Entra, il portale di Azure, Microsoft Graph e PowerShell.

Visualizzare i criteri di accesso condizionale nei log di accesso di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

I dettagli dell'attività dei log di accesso contengono diverse schede. Nella scheda Accesso condizionale sono elencati i criteri di accesso condizionale applicati a tale evento di accesso.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore globale.
2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
3. Selezionare un elemento di accesso dalla tabella per visualizzare il riquadro dei dettagli di accesso.
4. Selezionare la scheda Accesso condizionale.

Se non vengono visualizzati i criteri di accesso condizionale, verificare di usare un ruolo che fornisca l'accesso sia ai log di accesso che ai criteri di accesso condizionale.

Passaggi successivi

• Risolvere i problemi di accesso correlati all'accesso condizionale
• Esaminare le domande frequenti sui log di accesso condizionale
• Informazioni sui log di accesso