Exibir as políticas de Acesso Condicional aplicadas nos logs de entrada do Microsoft Entra
Com políticas de Acesso condicional, você pode controlar como os usuários obtêm acesso aos recursos do seu locatário do Azure. Como administrador de locatários, você precisa determinar o efeito que suas políticas de acesso condicional têm nas entradas para seu locatário, para que possa agir se necessário.
Os logs de entrada na ID do Microsoft Entra fornecem as informações necessárias para avaliar o efeito das suas políticas. Este artigo explica como exibir políticas de Acesso Condicional aplicadas nesses logs.
Pré-requisitos
Para ver as políticas de Acesso Condicional aplicadas nos logs de entrada, os administradores devem ter permissões para visualizar os logs e as políticas. A função interna menos privilegiada que concede ambas as permissões é Leitor de Segurança. Como melhor prática, o seu administrador global deve adicionar a função Leitor de Segurança às contas de administrador relacionadas.
As seguintes funções internas concedem permissões para ler políticas de Acesso Condicional:
- Leitor de segurança
- Leitor global
- Administrador de Segurança
- Administrador de Acesso Condicional
As seguintes funções internas concedem permissão para exibir logs de entrada:
- Leitor de Relatórios
- Leitor de segurança
- Leitor global
- Administrador de Segurança
Permissões para aplicativos cliente
Se você usar um aplicativo cliente para extrair logs de entrada do Microsoft Graph, seu aplicativo precisará de permissões para receber o appliedConditionalAccessPolicyrecurso do Microsoft Graph. Como melhor prática, atribua Policy.Read.ConditionalAccess, porque é a permissão com menos privilégios.
Qualquer uma das seguintes permissões é suficiente para um aplicativo cliente acessar as políticas de Acesso Condicional aplicadas em logs de entrada por meio do Microsoft Graph:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
Permissões para o PowerShell
Como qualquer outro aplicativo cliente, o módulo do PowerShell do Microsoft Graph precisa de permissões de cliente para acessar políticas de acesso condicional aplicadas nos logs de entrada. Para efetuar pull com êxito nas políticas de acesso condicional aplicadas nos logs de entrada, você deve consentir com as permissões necessárias com sua conta de administrador para o PowerShell do Microsoft Graph. Como melhor prática, conceda:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
As seguintes permissões são as permissões que têm menos privilégios, com o acesso necessário:
- Para conceder as permissões necessárias, use:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - Para exibir os logs de entrada, use:
Get-MgAuditLogSignIn
Para obter mais informações sobre este cmdlet, confira Get-MgAuditLogSignIn.
Acesso condicional e cenários de início de sessão
Como administrador do Microsoft Entra, você pode usar os logs de entrada para:
- Solucionar problemas de entrada.
- Verificar o desempenho da funcionalidade.
- Avaliar a segurança de um locatário.
Alguns cenários exigem que você entenda como suas políticas de acesso condicional foram aplicadas a um evento de entrada. Exemplos comuns incluem:
Administradores de assistência técnica que precisam examinar as políticas de acesso condicional aplicadas para entender se uma política é a causa raiz de um tíquete que um usuário abriu.
Administradores de locatários que precisam verificar se as políticas de acesso condicional têm o efeito pretendido sobre os usuários de um locatário.
Você pode acessar os logs de início de sessão usando o centro de administração do Microsoft Entra, o portal do Azure, o Microsoft Graph e o PowerShell.
Exibir as políticas de Acesso Condicional aplicadas nos logs de entrada do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Os detalhes da atividade dos logs de entrada contêm várias guias. Na guia Acesso Condicional, você verá uma lista de políticas de Acesso Condicional aplicadas a esse evento de entrada.
- Entre no Centro de administração do Microsoft Entra como pelo menos Leitor Global.
- Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
- Selecione um item de login na tabela para ver o painel de detalhes do login.
- Selecione a guia Acesso condicional.
Se você não vir as políticas de Acesso Condicional, confirme se está usando uma função que fornece acesso aos logs de entrada e às políticas de Acesso Condicional.