Inzichten en rapportage voor voorwaardelijke toegang

Met de werkmap inzichten en rapportage voor voorwaardelijke toegang kunt u inzicht krijgen in de impact van beleid voor voorwaardelijke toegang in uw organisatie gedurende een bepaalde periode. Tijdens het aanmelden kunnen een of meer beleidsregels voor voorwaardelijke toegang van toepassing zijn, waarbij toegang wordt toegekend als aan bepaalde toekenningsbesturingselementen wordt voldaan of anders de toegang wordt weigert. Omdat er tijdens elke aanmelding meerdere beleidsregels voor voorwaardelijke toegang kunnen worden geëvalueerd, kunt u met de werkmap inzichten en rapportage de impact van een afzonderlijk beleid of een subset van alle beleidsregels onderzoeken.

Vereisten

Als u de werkmap inzichten en rapportage wilt inschakelen, moet uw tenant een Log Analytics-werkruimte hebben om aanmeldingslogboekgegevens te kunnen bewaren. Gebruikers moeten een Azure AD Premium P1 of P2-licenties hebben om voorwaardelijke toegang te kunnen gebruiken.

De volgende rollen hebben toegang tot inzichten en rapportage:

  • Beheerder van voorwaardelijke toegang
  • Beveiligingslezer
  • Beveiligingsbeheerder
  • Globale lezer
  • Globale beheerder

Gebruikers hebben ook een van de volgende Log Analytics-werkruimterollen nodig:

  • Inzender
  • Eigenaar

Aanmeldingslogboeken van Azure AD streamen naar Azure Monitor logboeken

Als u Azure AD-logboeken niet hebt geïntegreerd met Azure Monitor logboeken, moet u de volgende stappen uitvoeren voordat de werkmap wordt geladen:

  1. Maak een Log Analytics-werkruimte in Azure Monitor.
  2. Integreer Azure AD-logboeken met Azure Monitor logboeken.

Uitleg

Voor toegang tot de werkmap voor inzichten en rapportage:

  1. Meld u aan bij de Azure-portal.
  2. Blader naar Azure Active Directory > security > conditional access Insights en > reporting.

Aan de slag: Parameters selecteren

Met het dashboard inzichten en rapportage kunt u de impact van een of meer beleidsregels voor voorwaardelijke toegang gedurende een bepaalde periode bekijken. Begin met het instellen van elk van de parameters bovenaan de werkmap.

Dashboard voor voorwaardelijke Insights en rapportage in de Azure Portal

Beleid voor voorwaardelijke toegang: selecteer een of meer beleidsregels voor voorwaardelijke toegang om de gecombineerde impact ervan weer te geven. Beleidsregels worden gescheiden in twee groepen: ingeschakeld en beleid voor alleen-rapporteren. Standaard worden alle ingeschakelde beleidsregels geselecteerd. Deze ingeschakelde beleidsregels zijn de beleidsregels die momenteel worden afgedwongen in uw tenant.

Tijdsbereik: selecteer een tijdsbereik van 4 uur tot 90 dagen. Als u een tijdsbereik verder terug selecteert dan toen u de Azure AD-logboeken integreerde met Azure Monitor, worden alleen aanmeldingen na de integratie weergegeven.

Gebruiker: het dashboard toont standaard de impact van het geselecteerde beleid voor alle gebruikers. Als u wilt filteren op een afzonderlijke gebruiker, typt u de naam van de gebruiker in het tekstveld. Als u wilt filteren op alle gebruikers, typt u Alle gebruikers in het tekstveld of laat u de parameter leeg.

App: het dashboard toont standaard de impact van het geselecteerde beleid voor alle apps. Als u wilt filteren op een afzonderlijke app, typt u de naam van de app in het tekstveld. Als u wilt filteren op alle apps, typt u 'Alle apps' in het tekstveld of laat u de parameter leeg.

Gegevensweergave: selecteer of u wilt dat in het dashboard resultaten worden weergeven in termen van het aantal gebruikers of het aantal aanmeldingen. Een afzonderlijke gebruiker kan honderden aanmeldingen hebben bij veel apps met veel verschillende resultaten gedurende een bepaald tijdsbereik. Als u de gegevensweergave als gebruikers selecteert, kan een gebruiker worden opgenomen in zowel het aantal geslaagden als mislukte gebruikers (als er bijvoorbeeld 10 gebruikers zijn, kan 8 van hen in de afgelopen 30 dagen een resultaat van succes hebben gehad en 9 van deze gebruikers het gevolg kunnen zijn van een storing in de afgelopen 30 dagen).

Samenvatting van impact

Zodra de parameters zijn ingesteld, wordt het impactoverzicht geladen. In de samenvatting ziet u hoeveel gebruikers of aanmeldingen tijdens het tijdsbereik hebben geleid tot 'Geslaagd', 'Fout', 'Gebruikersactie vereist' of 'Niet toegepast' toen het geselecteerde beleid werd geëvalueerd.

Samenvatting van impact in de werkmap voor voorwaardelijke toegang

Totaal: het aantal gebruikers of aanmeldingen gedurende de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

Geslaagd: het aantal gebruikers of aanmeldingen gedurende de periode waarin het gecombineerde resultaat van het geselecteerde beleid 'Geslaagd' of 'Alleen-rapporteren: geslaagd' was.

Fout: het aantal gebruikers of aanmeldingen gedurende de periode waarin het resultaat van ten minste één van de geselecteerde beleidsregels 'Mislukt' of 'Alleen-rapporteren: Fout' was.

Gebruikersactie vereist: het aantal gebruikers of aanmeldingen gedurende de periode waarin het gecombineerde resultaat van het geselecteerde beleid 'Alleen-rapport: Vereiste gebruikersactie' was. Gebruikersactie is vereist wanneer een interactief besturingselement voor toekenning, zoals meervoudige verificatie, is vereist door een beleid voor voorwaardelijke toegang dat alleen voor een rapport geldt. Omdat interactieve toekenningsbesturingselementen niet worden afgedwongen door beleidsregels voor alleen-rapporteren, kan het slagen of mislukken niet worden bepaald.

Niet toegepast: het aantal gebruikers of aanmeldingen gedurende de periode waarin geen van de geselecteerde beleidsregels is toegepast.

Inzicht in de impact

Uitsplitsing van werkmap per voorwaarde en status

Bekijk de uitsplitsing van gebruikers of aanmeldingen voor elk van de voorwaarden. U kunt de aanmeldingen van een bepaald resultaat filteren (bijvoorbeeld Geslaagd of Mislukt) door te selecteren op de overzichttegels boven aan de werkmap. U kunt de uitsplitsing van aanmeldingen bekijken voor elk van de voorwaarden voor voorwaardelijke toegang: apparaattoestand, apparaatplatform, client-app, locatie, toepassing en aanmeldingsrisico.

Details van de aanmelding

Aanmeldingsdetails voor werkmap

U kunt ook de aanmeldingen van een specifieke gebruiker onderzoeken door te zoeken naar aanmeldingen onder aan het dashboard. De query aan de linkerkant geeft de meest frequente gebruikers weer. Als u een gebruiker selecteert, wordt de query rechts gefilterd.

Notitie

Wanneer u de aanmeldingslogboeken downloadt, kiest u JSON-indeling om alleen resultaatgegevens van het rapport voor voorwaardelijke toegang op te nemen.

Een beleid voor voorwaardelijke toegang configureren in de modus alleen-rapporteren

Een beleid voor voorwaardelijke toegang configureren in de modus alleen-rapporteren:

  1. Meld u aan bij Azure Portal beheerder van voorwaardelijke toegang, beveiligingsbeheerder of globale beheerder.
  2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
  3. Selecteer een bestaand beleid of maak een nieuw beleid.
  4. Stel onder Beleid inschakelen de schakelknop in op de modus Alleen rapport.
  5. Selecteer Opslaan.

Tip

Als u de beleidstoestand Inschakelen van een bestaand beleid van Aan naar Alleen rapport bewerkt, wordt het afdwingen van bestaand beleid uitgeschakeld.

Problemen oplossen

Waarom mislukken query's vanwege een machtigingsfout?

Voor toegang tot de werkmap hebt u de juiste Azure AD-machtigingen en Log Analytics-werkruimtemachtigingen nodig. Als u wilt testen of u de juiste werkruimtemachtigingen hebt door een voorbeeld van een Log Analytics-query uit te voeren:

  1. Meld u aan bij de Azure-portal.
  2. Blader naar Azure Active Directory > logboeken.
  3. Typ SigninLogs in het queryvak en selecteer Uitvoeren.
  4. Als de query geen resultaten retourneert, is uw werkruimte mogelijk niet juist geconfigureerd.

Problemen met mislukte query's oplossen

Zie het artikel Integrate Azure AD logs with Azure Monitor logs (Azure AD-logboeken integreren met logboeken) voor meer informatie over het streamen van Azure AD-aanmeldingslogboeken naar Azure Monitor Log Analytics-werkruimte.

Waarom mislukken de query's in de werkmap?

Klanten hebben gemerkt dat query's soms mislukken als de verkeerde of meerdere werkruimten aan de werkmap zijn gekoppeld. Om dit probleem op te lossen, klikt u op Bewerken boven aan de werkmap en vervolgens op Instellingen tandwiel. Selecteer en verwijder werkruimten die niet aan de werkmap zijn gekoppeld. Aan elke werkmap mag slechts één werkruimte zijn gekoppeld.

Waarom is de parameter beleid voor voorwaardelijke toegang leeg?

De lijst met beleidsregels wordt gegenereerd door te kijken naar de beleidsregels die zijn geëvalueerd voor de meest recente aanmeldingsgebeurtenis. Als er geen recente aanmeldingen in uw tenant zijn, moet u mogelijk een paar minuten wachten totdat de werkmap de lijst met beleidsregels voor voorwaardelijke toegang heeft geladen. Dit kan onmiddellijk gebeuren na het configureren van Log Analytics of kan langer duren als een tenant geen recente aanmeldingsactiviteit heeft.

Waarom duurt het lang voordat de werkmap is geladen?

Afhankelijk van het geselecteerde tijdsbereik en de grootte van uw tenant, evalueert de werkmap mogelijk een uitzonderlijk groot aantal aanmeldingsgebeurtenissen. Voor grote tenants kan het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijden. Probeer het tijdsbereik in te korten tot vier uur om te zien of de werkmap wordt geladen.

Waarom retourneren de werkmap na een paar minuten laden geen resultaten?

Wanneer het aantal aanmeldingen groter is dan de querycapaciteit van Log Analytics, retourneert de werkmap geen resultaten. Probeer het tijdsbereik in te korten tot vier uur om te zien of de werkmap wordt geladen.

Kan ik mijn parameterselecties opslaan?

U kunt uw parameterselecties bovenaan de werkmap opslaan door naar Azure Active Directory > Workbooks Conditional Access te gaan Insights > en te rapporteren. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of Gedeelde rapporten.

Kan ik de werkmap bewerken en aanpassen met aanvullende query's?

U kunt de werkmap bewerken en aanpassen door naar Azure Active Directory > Workbooks Voorwaardelijke toegang te Insights > en te rapporteren. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of Gedeelde rapporten. Klik bovenaan de werkmap op Bewerken om de query's te bewerken.

Volgende stappen