Что такое режим условного доступа "только отчет"?

При условном доступе наши клиенты широко защищают, применяя нужные элементы управления доступом в нужных условиях. Однако одна из проблем, возникающих при развертывании политики условного доступа в организации, заключается в определении воздействия на конечных пользователей. Ожидаемое количество и имена пользователей, на которые влияют общие инициативы развертывания, такие как блокирование устаревшей проверки подлинности, необходимость многофакторной проверки подлинности для заполнения пользователей или реализация политик риска входа, может быть непростой задачей.

Режим "Только отчет" представляет собой новое состояние политики условного доступа, которое позволяет администраторам оценивать влияние политик условного доступа перед их включением в своей среде. С выпуском режима "Только отчет":

  • Политики условного доступа можно включить в режиме "только отчет", который неприменим к области "Действия пользователей".
  • Во время входа в систему политики в режиме "Только отчет" оцениваются, но не применяются.
  • Результаты записываются на вкладках Условный доступ и Только отчет в подробных сведениях журнала входа.
  • Клиенты с подпиской Azure Monitor могут отслеживать влияние политик условного доступа с помощью книги условного доступа.

Предупреждение

Политики в режиме "только отчет", требующем соответствующих устройств, могут предлагать пользователям Mac, iOS и Android выбирать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет установлено соответствующим требованиям. Чтобы запретить конечным пользователям получать запросы во время входа, исключите платформы устройств Mac, iOS и Android из политик только для отчетов, выполняющих проверки соответствия устройств. Обратите внимание, что режим "только отчет" неприменим для политик условного доступа с областью "Действия пользователей".

Report-only tab in Azure AD sign-in log

Результаты политики

При оценке политики в режиме "только отчет" для данного входа существует четыре новых возможных результата:

Результат Описание
Только отчет: выполнено Все настроенные условия политики, требуемые неинтерактивные элементы управления предоставлением и элементы управления сеансами удовлетворены. Например, требование многофакторной проверки подлинности удовлетворяет утверждению MFA, уже присутствующему в маркере, или политике устройства, удовлетворяющей требованиям, с помощью проверки устройства на соответствующем устройстве.
Только отчет: сбой Все настроенные условия политики были удовлетворены, но не все требуемые неинтерактивные элементы управления предоставлением или сессией в наличии. Например, политика применяется к пользователю, где настроен элемент управления "блок", или если устройство завершается ошибкой соответствующей политики устройства.
Только отчет: требуется вмешательство пользователя Все настроенные условия политики были удовлетворены, но для выполнения требуемых элементов управления предоставлением и сессией требовалось действие пользователя. В режиме "только отчет" пользователю не предлагается выполнить требуемые элементы управления. Например, пользователям не предлагается использовать многофакторную проверку подлинности или условия использования.
Только отчет: не применено Не все настроенные условия политики выполнены. Например, пользователь исключен из политики или политика применяется только к определенным доверенным именованным расположениям.

Книга "Сведения об условном доступе"

Администраторы имеют возможность создавать несколько политик в режиме "только отчет", поэтому необходимо понимать как отдельные последствия каждой политики, так и общее влияние нескольких политик, вычисленных вместе. Новая книга условного доступа "аналитика" позволяет администраторам визуализировать запросы условного доступа и отслеживать влияние политики на заданный диапазон времени, набор приложений и пользователей.

Дальнейшие действия

Настройка режима "только для отчетов" в политике условного доступа