O que é o modo somente relatórios do Acesso Condicional?

O Acesso Condicional é amplamente usado por nossos clientes para manter a segurança, aplicando os controles de acesso certos nas circunstâncias certas. No entanto, um dos desafios da implantação de uma política de Acesso Condicional em uma organização é determinar o impacto para os usuários finais. Pode ser difícil prever o número e os nomes de usuários afetados por iniciativas comuns de implantação, como o bloqueio de autenticação herdada, exigindo a autenticação multifator para uma população de usuários ou a implementação de políticas de risco de entrada.

O modo somente relatório é um novo estado de política de Acesso condicional que permite aos administradores avaliar o impacto das políticas de Acesso condicional antes de habilitá-las em seu ambiente. Com a versão do modo somente relatório:

  • As políticas de Acesso Condicional podem ser habilitadas no modo somente relatório. Isso não é aplicável com o escopo "Ações do Usuário".
  • Durante a entrada, as políticas no modo somente relatório são avaliadas, mas não impostas.
  • Os resultados são registrados nas guias Acesso Condicional e Somente relatórios dos detalhes do log de entrada.
  • Os clientes com uma assinatura do Azure Monitor podem monitorar o impacto de suas políticas de Acesso condicional usando a pasta de trabalho de informações de Acesso condicional.

Aviso

As políticas no modo somente relatórios que exigem dispositivos compatíveis podem solicitar que os usuários de Mac, iOS e Android selecionem um certificado de dispositivo durante a avaliação da política, mesmo que a conformidade do dispositivo não seja imposta. Esses prompts podem ser repetidos até que o dispositivo esteja em conformidade. Para impedir que os usuários finais recebam prompts durante o credenciamento, exclua plataformas de dispositivo Mac, iOS e Android de políticas somente de relatório que executam verificações de conformidade do dispositivo. Observe que o modo somente relatório não é aplicável a políticas de Acesso Condicional com o escopo "Ações do usuário".

Report-only tab in Azure AD sign-in log

Resultados da política

Quando uma política no modo somente de relatório é avaliada para uma determinada credencial, há quatro novos valores de resultado possíveis:

Result Descrição
Somente relatório: Êxito Todas as condições de política predefinidas, controles de concessão não interativa e controles de sessão necessários foram atendidas. Por exemplo, um requisito de autenticação multifator é atendido por uma declaração de MFA já presente no token ou uma política de dispositivo compatível é satisfeita com a execução de uma verificação de dispositivo em um dispositivo compatível.
Somente relatório: Falha Todas as condições de política pré-definidas foram satisfeitas, mas nem todos os controles de concessão ou controles de sessão não interativos necessários foram satisfeitos. Por exemplo, uma política se aplica a um usuário em que um controle de bloco está configurado ou um dispositivo falha em uma política de dispositivo em conformidade.
Somente relatório: Ação do usuário necessária Todas as condições de política pré-definidas foram atendidas, mas a ação do usuário seria necessária para confirmar os controles de concessão ou controles de sessão necessários. Com o modo somente relatório, o usuário não precisa confirmar tais controles. Por exemplo, os usuários não são solicitados a resolver desafios de autenticação de múltiplos fatores ou termos de uso.
Somente relatório: Não aplicado Nem todas as condições de política pré-definidas foram satisfeitas. Por exemplo, o usuário é excluído da política ou a política só se aplica a determinados locais determinados confiáveis.

Pasta de trabalho das informações de Acesso Condicional

Os administradores têm a capacidade de criar várias políticas no modo somente relatório, portanto, é necessário entender o impacto individual de cada política e o impacto combinado de várias políticas avaliadas juntas. A nova pasta de trabalho de informações de Acesso Condicional permite que os administradores visualizem consultas de Acesso Condicional e monitorem o impacto de uma política em um determinado intervalo de tempo, conjunto de aplicativos, e usuários.

Próximas etapas

Configurar o modo somente de relatório em uma política de Acesso Condicional