Использование книг Azure Monitor для отчетов Azure Active Directory

Важно!

Чтобы оптимизировать базовые запросы в этой книге, нажмите "Изменить", щелкните значок "Параметры" и выберите рабочую область, в которой необходимо выполнить эти запросы. По умолчанию в книгах будут выбраны все рабочие области, в которых выполняется маршрутизация журналов Azure AD.

Что вам необходимо:

  • Вы хотите понять влияние своих политик условного доступа на вход пользователей в систему?

  • Вам необходимо устранить неполадки с ошибками входа, чтобы получить представление о работоспособности входа в организации и быстро устранить проблемы?

  • Получить сведения о пользователях, совершающих рискованные действия, и тенденциях обнаружения рисков в вашем арендаторе?

  • Вы хотите узнать, кто использует устаревшие протоколы проверки подлинности для входа в вашу среду? (Заблокируйте устаревшие протоколы проверки подлинности, чтобы улучшить защиту клиента.)

  • Вам необходимо понять, как политики условного доступа влияют на работу клиента?

  • Вам требуется возможность просматривать запросы журнала входа в систему, отчеты по книге со сведениями о количестве пользователей, которым был предоставлен доступ или которым было отказано в доступе, а также сведениями о количестве пользователей, которые обошли политики условного доступа при доступе к ресурсам?

  • Хотите получить более глубокое понимание условного доступа и сведений о книге по условию, чтобы условия политики можно было задавать с учетом контекста, включая сведения о платформе устройства, состоянии устройства, клиентском приложении, риске входа в систему, расположении и приложении?

  • Архивировать исторические данные роли приложения и действий по назначению пакета для доступа более чем за один год и создавать по ним отчеты?

Чтобы помочь вам решить эти вопросы, Azure Active Directory предоставляет книги для мониторинга. Книги Azure Monitor объединяют текст, запросы аналитики, метрики и параметры в подробные интерактивные отчеты.

В этой статье:

Предварительные требования

Для использования книг Azure Monitor необходимо следующее.

  • Клиент Azure Active Directory с лицензией уровня "Премиум" (P1/P2). Узнайте, как получить лицензию уровня "Премиум".

  • Рабочая область Log Analytics.

  • Доступ к рабочей области Log Analytics.

  • Следующие роли в Azure Active Directory (при доступе к Log Analytics через портал Azure Active Directory)

    • администратор безопасности;
    • Читатель сведений о безопасности
    • Читатель отчетов.
    • Глобальный администратор.

Роли

Для управления книгами требуется одна из следующих ролей, а также доступ к базовой рабочей области Log Analytics.

  • Глобальный администратор.
  • администратор безопасности;
  • Читатель сведений о безопасности
  • Читатель отчетов.
  • администратор приложений;

Доступ к книге

Порядок доступа к книгам

  1. Войдите на портал Azure.

  2. Перейдите в раздел Azure Active DirectoryМониторингКниги.

  3. Выберите отчет или шаблон либо на панели инструментов выберите Открыть.

Поиск книг Azure Monitor в Azure AD

Анализ операций входа

Чтобы получить доступ к книге со сведениями об анализе операций входа, в разделе Использование выберите Операции входа.

В этой книге показаны следующие тенденции событий входа.

  • Все входы в систему

  • Успешно

  • Ожидается действие пользователя

  • Failure

Можно применить фильтр к каждой тенденции по следующим категориям.

  • Диапазон времени

  • Приложения

  • Пользователи

Анализ операций входа

Для каждой тенденции отображается разбивка по следующим категориям.

  • Расположение

    Операции входа в систему по расположению

  • Устройство

    Операции входа в систему по устройству

Операции входа с использованием устаревших протоколов проверки подлинности

Чтобы получить доступ к книге со сведениями о событиях входа, в которых использовались устаревшие протоколы проверки подлинности, в разделе Использование выберите Вход в систему с устаревшими протоколами проверки подлинности.

В этой книге показаны следующие тенденции событий входа.

  • Все входы в систему

  • Успешно

Можно применить фильтр к каждой тенденции по следующим категориям.

  • Диапазон времени

  • Приложения

  • Пользователи

  • Протоколы

Операции входа с использованием устаревших протоколов проверки подлинности

Для каждой тенденции отображается разбивка по приложениям и протоколу.

Операции входа с использованием устаревших протоколов проверки подлинности по приложениям и протоколу

Операции входа на основе условного доступа

Чтобы получить доступ к книге со сведениями о событиях входа на основе политик условного доступа, в разделе Условный доступ выберите Операции входа на основе условного доступа.

В этой книге представлены тенденции отключенных входов в систему. Можно применить фильтр к каждой тенденции по следующим категориям.

  • Диапазон времени

  • Приложения

  • Пользователи

Операции входа в систему с использованием условного доступа

Для отключенных входов отображается разбивка по состоянию условного доступа.

На снимке экрана показаны состояние условного доступа и недавние операции входа.

Сведения об условном доступе

Обзор

Книги содержат запросы к журналам входа, которые могут помочь ИТ-администраторам отслеживать влияние политик условного доступа на работу клиента. У вас есть возможность сообщать о количестве пользователей, которым был предоставлен доступ или отказано в доступе. Книга содержит аналитические сведения о том, сколько пользователей будет пропущено политиками условного доступа на основе атрибутов пользователей во время входа в систему. В ней представлены подробные сведения по условию, позволяющие задавать условия политики с учетом контекста, включая сведения о платформе устройства, состоянии устройства, клиентском приложении, риске входа в систему, расположении и приложении.

Instructions

Чтобы получить доступ к книге со сведениями об аналитике условного доступа, в разделе "Условный доступ" выберите книгу Сведения об условном доступе. В этой книге представлены сведения об ожидаемом влиянии каждой политики условного доступа на работу клиента. Выберите одну или несколько политик условного доступа из раскрывающегося списка и уточните область книги, применив следующие фильтры.

  • Диапазон времени

  • Пользователь

  • Приложения

  • Представление данных

На снимке экрана показана панель условного доступа, на которой можно выбрать политику условного доступа.

В сводке со сведениями о влиянии указывается количество пользователей или событий входа, в отношении которых выбранные политики имели определенный результат. "Всего" — это количество пользователей или событий входа, в отношении которых выбранные политики были оценены в выбранном диапазоне времени. Щелкните плитку, чтобы отфильтровать данные в книге по этому типу результатов.

На снимке экрана показаны плитки, используемые для фильтрации таких результатов, как

В этой книге также показано влияние выбранных политик с разбивкой по следующим шести условиям:

  • Состояние устройства
  • Платформа устройства
  • Клиентские приложения
  • Риск при входе
  • Расположение
  • Приложения

На снимке экрана показаны сведения из общего фильтра операций входа.

Можно также изучить отдельные события входа в систему, применив фильтр по параметрам, выбранным в книге. Также можно выполнить поиск отдельных пользователей, отсортированных по частоте входа, и просмотреть соответствующие события входа.

На снимке экрана показаны отдельные операции входа, которые вы можете проверить.

Операции входа по элементам управления предоставлением прав

Чтобы получить доступ к книге со сведениями о событиях входа по элементам управления предоставления прав, в разделе Условный доступ выберите Операции входа по элементам управления предоставлением прав.

В этой книге показаны следующие тенденции отключенного входа.

  • Требовать многофакторную идентификацию

  • Обязательное применение условий использования

  • Требовать заявление о конфиденциальности

  • Другие

Можно применить фильтр к каждой тенденции по следующим категориям.

  • Диапазон времени

  • Приложения

  • Пользователи

Операции входа по элементам управления предоставлением прав

Для каждой тенденции отображается разбивка по приложениям и протоколу.

Разбивка недавних операций входа в систему

Анализ ошибок входа в систему

Используйте книгу Анализ ошибок входа в систему для устранения неполадок со следующим:

  • Вход в систему
  • Политики условного доступа
  • Устаревшие способы аутентификации

Чтобы получить доступ ко сведениям о событиях входа в систему с помощью данных условного доступа, в разделе Устранение неполадок выберите Операции входа с использованием устаревших протоколов проверки подлинности.

В этой книге показаны следующие тенденции событий входа.

  • Все входы в систему

  • Успешно

  • Действие, ожидающее выполнения

  • Failure

Можно применить фильтр к каждой тенденции по следующим категориям.

  • Диапазон времени

  • Приложения

  • Пользователи

Устранение неполадок с операциями входа

Чтобы помочь в устранении неполадок со входом в систему, Azure Monitor предоставляет разбивку по следующим категориям.

  • Основные ошибки

    Сводка по основным ошибкам

  • Операции входа в систему, ожидающие действий пользователя

    Сводка по операциям входа в систему, ожидающим действий пользователя

Анализ рисков защиты удостоверений

Воспользуйтесь книгой Анализ рисков защиты удостоверений в разделе Использование, чтобы получить сведения о:

  • Распространенности пользователей, совершающих рискованные действия, и обнаружении рисков по уровням и типам
  • Возможностях более эффективного устранения рисков
  • Месте обнаружения риска в мире

Тенденции обнаружения рисков можно отфильтровать по:

  • Типу времени обнаружения
  • Уровень риска

Обнаружение рисков в режиме реального времени касается рисков, которые могут быть обнаружены в момент проверки подлинности. Такие обнаружения могут быть пресечены политиками рискованного входа с помощью условного доступа, чтобы требовать прохождения многофакторной проверки подлинности.

Вы можете отфильтровать тенденции пользователей, совершающих рискованные действия по:

  • Сведения о риске
  • Уровень риска

Если вы обнаружили большое количество пользователей, совершающих рискованные действия, там, где действия не выполнялись, рассмотрите возможность включения политики условного доступа, чтобы требовать надежного изменения пароля при высоком уровне риска для пользователя.

Дальнейшие действия