Insights e relatórios de acesso condicional

A pasta de trabalho de insights e relatórios de acesso condicional permite entender o impacto das políticas de Acesso Condicional em sua organização ao longo do tempo. Durante a entrada, uma ou mais políticas de Acesso Condicional podem ser aplicados, concedendo o acesso se determinados controles de concessão forem atendidos ou então negando o acesso. Como várias políticas de Acesso Condicional podem ser avaliadas durante cada entrada, a pasta de trabalho de insights e relatórios permite examinar o impacto de uma política individual ou de um subconjunto de todas as políticas.

Pré-requisitos

Para habilitar a pasta de trabalho de insights e relatórios, o locatário deve ter um workspace do Log Analytics para manter os dados de logs de entrada. Os usuários devem ter licenças P1 ou P2 do Microsoft Azure AD Premium para usar o Acesso Condicional.

As funções a seguir podem acessar os insights e relatórios:

  • Administrador de acesso condicional
  • Leitor de segurança
  • Administrador de segurança
  • Leitor global
  • Administrador global

Os usuários também precisam de uma das seguintes funções do workspace do Log Analytics:

  • Colaborador
  • Proprietário

Transmitir logs de entrada do Azure AD para os logs do Azure Monitor

Se você ainda não integrou os logs do Azure AD aos logs do Azure Monitor, é necessário realizar as seguintes etapas antes que a pasta de trabalho seja carregada:

  1. Criar um workspace do Log Analytics no Azure Monitor.
  2. Integrar logs do Azure AD aos logs do Azure Monitor.

Como ele funciona

Para acessar a pasta de trabalho de insights e relatórios:

  1. Entre no portal do Azure.
  2. Procure Azure Active Directory > Segurança > Acesso Condicional > Insights e relatórios.

Introdução: Selecione os parâmetros

O painel de insights e relatórios permite ver o impacto de uma ou mais políticas de Acesso Condicional durante um período especificado. Comece definindo cada um dos parâmetros na parte superior da pasta de trabalho.

Painel de insights e relatórios e de Acesso Condicional no portal do Azure

Política de Acesso Condicional: Selecione uma ou mais políticas de Acesso Condicional para ver a combinação de impactos delas. As políticas são separadas em dois grupos: Políticas habilitadas e somente relatório. Por padrão, todas as políticas Habilitadas são selecionadas. Essas políticas habilitadas são as políticas aplicadas no locatário atualmente.

Intervalo de tempo: Escolha um intervalo de tempo de 4 horas a 90 dias. Se você escolher um intervalo de tempo anterior à integração dos logs do Azure AD ao Azure Monitor, somente as entradas após o momento da integração serão exibidas.

Usuário: Por padrão, o painel mostra o impacto das políticas selecionadas para todos os usuários. Para filtrar por um usuário individual, digite o nome do usuário no campo de texto. Para filtrar por todos os usuários, digite "Todos os usuários" no campo de texto ou deixe o parâmetro vazio.

Aplicativo: Por padrão, o painel mostra o impacto das políticas selecionadas para todos os aplicativos. Para filtrar por um aplicativo individual, digite o nome do aplicativo no campo de texto. Para filtrar por todos os aplicativos, digite "Todos os aplicativos" no campo de texto ou deixe o parâmetro vazio.

Exibição de dados: Escolha se deseja que o painel mostre os resultados em termos de número de usuários ou número de entradas. Um usuário individual pode ter centenas de entradas para muitos aplicativos com muitos resultados diferentes durante determinado intervalo de tempo. Se você escolher a exibição de dados como usuários, um usuário pode ser incluído nas contagens de Êxito e Falha (por exemplo, se houver 10 usuários, 8 deles podem ter resultado de êxito nos últimos 30 dias e 9 deles podem ter resultado de falha nos últimos 30 dias).

Resumo de impacto

O resumo de impacto é carregado após definir os parâmetros. O resumo mostra quantos usuários ou entradas durante o intervalo de tempo resultaram em "Êxito", "Falha", "Requer ação do usuário" ou "Não aplicado", quando as políticas selecionadas foram avaliadas.

Resumo de impacto na pasta de trabalho de Acesso Condicional

Total: O número de usuários ou entradas durante o período em que pelo menos uma das políticas selecionadas foi avaliada.

Êxito: O número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi "Êxito" ou "Somente relatório: Êxito".

Falha: O número de usuários ou entradas durante o período em que o resultado de pelo menos uma das políticas selecionadas foi "Sucesso" ou "Somente relatório: Falha".

Requer ação do usuário: O número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi "Somente relatório: Requer ação do usuário". A ação do usuário é necessária quando um controle de concessão interativo, como a autenticação multifator, é exigido por uma política de Acesso Condicional somente relatório. Como os controles de concessão interativos não são aplicados por políticas somente relatório, não é possível determinar o êxito ou a falha.

Não aplicado: O número de usuários ou entradas durante o período em que nenhuma das políticas selecionadas foi aplicada.

Reconhecimento do impacto

Detalhamento da pasta de trabalho por condição e status

Veja o detalhamento de usuários ou entradas de cada uma das condições. Você pode filtrar as entradas de um resultado específico (por exemplo, êxito ou falha), selecionando os blocos de resumo na parte superior da pasta de trabalho. Você pode conferir o detalhamento das entradas de cada uma das condições de Acesso Condicional: estado do dispositivo, plataforma do dispositivo, aplicativo cliente, local, aplicativo e risco de entrada.

Detalhes de entrada

Detalhes de entrada da pasta de trabalho

Você também pode investigar as entradas de um usuário específico procurando as entradas na parte inferior do painel. A consulta à esquerda exibe os usuários mais frequentes. Selecionar um usuário filtra a consulta à direita.

Observação

Ao baixar os logs de entradas, escolha o formato JSON para incluir os dados de resultados somente relatório do Acesso Condicional.

Configurar uma política de Acesso Condicional no modo somente relatório

Para configurar uma política de Acesso Condicional no modo somente relatório:

  1. Entre no portal do Azure como administrador global, administrador de segurança ou administrador de Acesso Condicional.
  2. Procure Azure Active Directory > Segurança > Acesso Condicional.
  3. Selecione uma política existente ou crie uma nova.
  4. Em Habilitar política, defina alternar para o modo Somente relatório.
  5. Selecione Salvar

Dica

Editar o estado de Habilitar política de uma política existente de Ativado para Somente relatório desabilita a imposição de política existente.

Solução de problemas

Por que as consultas falham devido a um erro de permissões?

Para acessar a pasta de trabalho, você precisa das permissões adequadas doAzure Active Directory, bem como permissões de espaço de trabalho do Log Analytics. Para testar se você tem as permissões apropriadas do espaço de trabalho executando uma consulta de exemplo do Log Analytics:

  1. Entre no portal do Azure.
  2. Navegue até Azure Active Directory > Logs.
  3. Digite SigninLogs na caixa de consulta e selecione Executar.
  4. Se a consulta não retornar nenhum resultado, seu espaço de trabalho poderá não ter sido configurado corretamente.

Solucionar problemas de consultas com falha

Para obter mais informações sobre como transmitir logs de entrada do Azure Active Directory para um espaço de trabalho do Log Analytics, veja o artigo Integrar logs do Azure Active Directory com os logs do Azure Monitor.

Por que as consultas na pasta de trabalho falham?

Os clientes perceberam que as consultas às vezes falham se os espaços de trabalho incorretos ou múltiplos estiverem associados à pasta de trabalho. Para corrigir esse problema, clique em Editar na parte superior da pasta de trabalho e, em seguida, na engrenagem Configurações. Selecione e remova espaços de trabalho que não estão associados à pasta de trabalho. Deve haver apenas um espaço de trabalho associado a cada pasta de trabalho.

Por que o parâmetro de políticas de Acesso Condicional está vazio?

A lista de políticas é gerada observando as políticas avaliadas para o evento de login mais recente. Se não houver nenhuma entrada recente no seu locatário, talvez seja necessário aguardar alguns minutos para que a guia de trabalho carregue a lista de políticas de Acesso Condicional. Isso pode acontecer imediatamente após a configuração do Log Analytics ou pode levar mais tempo se um locatário não tiver uma atividade de entrada recente.

Por que a pasta de trabalho está demorando para ser carregada?

Dependendo do intervalo de tempo selecionado e do tamanho do locatário, a pasta de trabalho pode avaliar um número extremamente grande de eventos de entrada. Para locatários grandes, o volume de entradas pode exceder a capacidade de consulta do Log Analytics. Tente reduzir o intervalo de tempo para 4 horas para ver se a pasta de trabalho é carregada.

Após alguns minutos de carregamento, por que a pasta de trabalho não retorna resultados?

Quando o volume de entradas excede a capacidade de consulta do Log Analytics, a pasta de trabalho não retorna resultados. Tente reduzir o intervalo de tempo para 4 horas para ver se a pasta de trabalho é carregada.

Posso salvar minhas seleções de parâmetro?

Você pode salvar suas seleções de parâmetro na parte superior da pasta de trabalho, acessando Azure Active Directory > Pastas de trabalho > Insights e relatórios de Acesso Condicional. Aqui você encontra o modelo de pasta de trabalho em que pode editar a pasta de trabalho e salvar uma cópia no espaço de trabalho, incluindo as seleções de parâmetro, em Meus relatórios ou Relatórios compartilhados.

Posso editar e personalizar a pasta de trabalho com consultas adicionais?

Você pode editar e personalizar as pastas de trabalho, acessando Azure Active Directory > Pastas de trabalho > Insights e relatórios de Acesso Condicional. Aqui você encontra o modelo de pasta de trabalho em que pode editar a pasta de trabalho e salvar uma cópia no espaço de trabalho, incluindo as seleções de parâmetro, em Meus relatórios ou Relatórios compartilhados. Para começar a editar as consultas, clique em Editar na parte superior da pasta de trabalho.

Próximas etapas