Аналитика и отчеты условного доступа

С помощью книги аналитики и отчетов условного доступа можно понять, как меняется влияние политик условного доступа на организацию с течением времени. Во время входа в систему могут применяться одна или несколько политик условного доступа, которые предоставляют или запрещают доступ в соответствии с определенными элементами управления предоставлением прав. Так как во время каждого входа могут оцениваться несколько политик условного доступа, книга аналитики и отчетов позволяет проверить влияние отдельной политики или подмножества всех политик.

Предварительные требования

Чтобы включить книгу аналитики и отчетов, клиент должен иметь рабочую область Log Analytics для хранения журналов входа. Для использования условного доступа пользователи должны иметь лицензии Azure AD Premium P1 или P2.

Доступ к аналитике и отчетам могут получать следующие роли:

  • Администратор условного доступа
  • Читатель сведений о безопасности
  • администратор безопасности;
  • глобальный читатель;
  • Глобальный администратор.

Кроме того, у пользователей должна быть одна из следующих ролей рабочей области Log Analytics:

  • Участник
  • Владелец

Потоковая передача журналов входа из Azure AD в журналы Azure Monitor

Если журналы Azure AD не интегрированы с журналами Azure Monitor, необходимо выполнить следующие действия, прежде чем книга будет загружена.

  1. Создайте рабочую область Log Analytics в Azure Monitor.
  2. Интегрируйте журналы Azure AD с журналами Azure Monitor.

Принцип работы

Чтобы получить доступ к книге аналитики и отчетов, выполните указанные ниже действия.

  1. Войдите на портал Azure.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ>Аналитические данные и отчеты.

Приступая к работе: выбор параметров

На панели мониторинга аналитики и отчетов можно увидеть влияние одной или нескольких политик условного доступа за указанный период. Сначала задайте все параметры в верхней части книги.

Conditional Access Insights and Reporting dashboard in the Azure portal

Политика условного доступа. Выберите одну или несколько политик условного доступа, чтобы просмотреть их совокупное влияние. Политики делятся на две группы: включенные и политики в режиме "Только отчет". По умолчанию выбраны все включенные политики. Это политики, которые в настоящее время применяются в клиенте.

Диапазон времени. Выберите диапазон времени от 4 часов до 90 дней. Если начало диапазона времени будет раньше момента интеграции журналов Azure AD с Azure Monitor, будут отображаться только входы после интеграции.

Пользователь. По умолчанию на панели мониторинга отображается влияние выбранных политик для всех пользователей. Чтобы выполнить фильтрацию по отдельному пользователю, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем пользователям, введите "Все пользователи" в текстовом поле или оставьте параметр пустым.

Приложение. По умолчанию на панели мониторинга отображается влияние выбранных политик для всех приложений. Чтобы выполнить фильтрацию по отдельному приложению, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем приложениям, введите "Все приложения" в текстовом поле или оставьте параметр пустым.

Представление данных. Укажите, должны ли результаты на панели мониторинга содержать число пользователей или число входов. У отдельного пользователя могут быть сотни входов во множество приложений с множеством различных результатов в течение заданного диапазона времени. Если для представления данных выбрано число пользователей, то пользователь может включаться как в число успешных попыток входа, так и в числа неудачных попыток (например, если имеется 10 пользователей, 8 из них могли иметь успешные попытки за последние 30 дней и 9 из них могли иметь неудачные попытки за этот же период).

Сводка данных по влиянию

После задания параметров загружается сводка данных по влиянию. В сводке показано, сколько пользователей или входов в течение указанного интервала времени имело результат оценки выбранных политик "Успешно", "Сбой", "Требуется действие пользователя" или "Неприменимо".

Impact summary in the Conditional Access workbook

Total: Количество пользователей или входов в систему за период времени, в течение которого была оценена хотя бы одна из выбранных политик.

Выполнено. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был "Успешно" или "Только отчет: успешно".

Сбой. Количество пользователей или входов в систему за период времени, в течение которого результат для по крайней мере одной из выбранных политик был "Сбой" или "Только отчет: сбой".

Требуется действие пользователя. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был "Только отчет: требуется действие пользователя". Действие пользователя требуется, если для политики условного доступа в режиме "Только отчет" требуется интерактивный элемент управления предоставлением прав, например многофакторная проверка подлинности. Так как интерактивные элементы управления предоставлением прав не применяются политиками в режиме "Только отчет", успешный или неудачный результат определить невозможно.

Не применено. Количество пользователей или входов в систему за период времени, в течение которого ни одна из выбранных политик не была применена.

Анализ влияния

Workbook breakdown per condition and status

Вы можете просмотреть распределение пользователей или входов для каждого из условий. Вы можете отфильтровать операции входа с определенным результатом (например, "Успешно" или "Сбой"), выбрав плитку сводки в верхней части книги. Вы можете просмотреть разбивку входов по каждому из условий условного доступа: состояние устройства, платформа устройства, клиентское приложение, расположение, приложение и риск входа.

Подробности данных для входа

Workbook sign-in details

Вы также можете исследовать операции входа конкретного пользователя, выполнив поиск в нижней части панели мониторинга. В запросе слева отображаются наиболее часто выполнявшие вход пользователи. При выборе пользователя запрос справа будет отфильтрован.

Примечание

При скачивании журналов данных для входа выберите формат JSON, чтобы включить результаты работы в режиме «только отчет» согласно политике условного доступа.

Настройка политики условного доступа в режиме «только отчет»

Для настройки политики условного доступа в режиме «только отчет» выполните следующее:

  1. Войдите на портал Azure с учетными данными администратора условного доступа, администратора безопасности или глобального администратора.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ.
  3. Выберите существующую политику или создайте новую.
  4. В разделе Включить политику установите переключатель в режим Только отчет.
  5. Нажмите кнопку Сохранить.

Совет

При изменении значения параметра Включить политику для существующей политики с Вкл. на Только отчет существующее применение политики будет отключено.

Устранение неполадок

Почему происходит сбой запросов из-за ошибки разрешений?

Чтобы получить доступ к книге, необходимы соответствующие разрешения Azure AD, а также разрешения рабочей области Log Analytics. Чтобы проверить наличие нужных разрешений рабочей области, выполните пробный запрос аналитики журналов:

  1. Войдите на портал Azure.
  2. Перейдите к разделу Azure Active Directory>Log Analytics.
  3. Введите SigninLogs в поле запроса и выберите Выполнить.
  4. Если запрос не возвращает никаких результатов, возможно, рабочая область настроена неправильно.

Troubleshoot failing queries

Дополнительные сведения о потоковой передаче журналов входа Azure AD в рабочую область Log Analytics см. в статье Интеграция журналов Azure AD с журналами Azure Monitor.

Почему происходит сбой запросов в книге?

Клиенты заметили, что иногда происходит сбой запросов, если с книгой связана недопустимая рабочая область или несколько рабочих областей. Чтобы устранить эту проблему, щелкните Изменить в верхней части книги, а затем выберите меню настройки со значком шестеренки. Выберите и удалите рабочие области, не связанные с книгой. С каждой книгой должна быть связана только одна рабочая область.

Почему параметр политик условного доступа пустой?

Список политик создается путем просмотра политик, оцененных для самого последнего события входа. Если в клиенте нет недавних входов, может потребоваться подождать несколько минут, пока в книге загрузится список политик условного доступа. Это может произойти сразу после настройки Log Analytics или может занять больше времени, если у клиента нет недавних действий входа.

Почему книга долго загружается?

В зависимости от выбранного диапазона времени и размера клиента книга может оценивать чрезвычайно большое количество событий входа. Для больших клиентов количество входов в систему может превысить емкость запроса в Log Analytics. Попробуйте сократить диапазон времени до 4 часов, чтобы проверить, загружается ли книга.

Почему книга возвращает нулевые результаты после нескольких минут загрузки?

Когда количество входов в систему превышает емкость запроса в Log Analytics, книга возвращает нулевые результаты. Попробуйте сократить диапазон времени до 4 часов, чтобы проверить, загружается ли книга.

Можно ли сохранить выбранные параметры?

Вы можете сохранить выбранные в верхней части книги параметры, последовательно выбрав Azure Active Directory>Книги>Аналитические сведения и отчеты условного доступа. Здесь можно найти шаблон книги, который можно изменить, а затем сохранить копию книги, включая параметры, в рабочей области в папке Мои отчеты или Общие отчеты.

Можно ли изменить и настроить книгу с дополнительными запросами?

Вы можете изменить и настроить книгу, последовательно выбрав Azure Active Directory>Книги>Аналитические сведения и отчеты условного доступа. Здесь можно найти шаблон книги, который можно изменить, а затем сохранить копию книги, включая параметры, в рабочей области в папке Мои отчеты или Общие отчеты. Чтобы начать редактирование запросов, щелкните Изменить в верхней части книги.

Дальнейшие действия