Visa tillämpade principer för villkorlig åtkomst i Inloggningsloggar för Microsoft Entra
Med principer för villkorsstyrd åtkomst kan du styra hur användarna får åtkomst till resurserna i din Azure-klientorganisation. Som klientadministratör måste du kunna avgöra vilken effekt dina principer för villkorsstyrd åtkomst har på inloggningar till din klientorganisation, så att du kan vidta åtgärder om det behövs.
Inloggningsloggarna i Microsoft Entra-ID ger dig den information du behöver för att utvärdera effekten av dina principer. Den här artikeln beskriver hur du visar tillämpade principer för villkorsstyrd åtkomst i dessa loggar.
Förutsättningar
Om du vill se tillämpade principer för villkorsstyrd åtkomst i inloggningsloggarna måste administratörer ha behörighet att visa både loggarna och principerna. Den minst privilegierade inbyggda rollen som ger båda behörigheterna är Säkerhetsläsare. Som bästa praxis bör den globala administratören lägga till rollen Säkerhetsläsare i de relaterade administratörskontona.
Följande inbyggda roller ger behörighet att läsa principer för villkorsstyrd åtkomst:
- Säkerhetsläsare
- Global läsare
- Säkerhetsadministratör
- Administratör för villkorsstyrd åtkomst
Följande inbyggda roller ger behörighet att visa inloggningsloggar:
- Rapportläsare
- Säkerhetsläsare
- Global läsare
- Säkerhetsadministratör
Behörigheter för klientappar
Om du använder en klientapp för att hämta inloggningsloggar från Microsoft Graph behöver din app behörighet att ta emot resursen appliedConditionalAccessPolicy från Microsoft Graph. Vi rekommenderar att du tilldelar Policy.Read.ConditionalAccess eftersom det är den minst privilegierade behörigheten.
Någon av följande behörigheter räcker för att en klientapp ska få åtkomst till tillämpade principer för villkorsstyrd åtkomst i inloggningsloggar via Microsoft Graph:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
Behörigheter för PowerShell
Precis som andra klientappar behöver Microsoft Graph PowerShell-modulen klientbehörighet för att få åtkomst till tillämpade principer för villkorlig åtkomst i inloggningsloggarna. Om du vill hämta tillämpade principer för villkorsstyrd åtkomst i inloggningsloggarna måste du godkänna nödvändiga behörigheter med ditt administratörskonto för Microsoft Graph PowerShell. Vi rekommenderar att du samtycker till att:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
Följande behörigheter är de minst privilegierade behörigheterna med nödvändig åtkomst:
- Så här godkänner du nödvändiga behörigheter:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - Så här visar du inloggningsloggarna:
Get-MgAuditLogSignIn
Mer information om den här cmdleten finns i Get-MgAuditLogSignIn.
Scenarier för villkorlig åtkomst och inloggningslogg
Som Microsoft Entra-administratör kan du använda inloggningsloggarna för att:
- Felsöka inloggningsproblem.
- Kontrollera funktionsprestanda.
- Utvärdera säkerheten för en klientorganisation.
Vissa scenarier kräver att du förstår hur dina principer för villkorsstyrd åtkomst tillämpades på en inloggningshändelse. Vanliga exempel:
Supportadministratörer som behöver titta på tillämpade principer för villkorsstyrd åtkomst för att förstå om en princip är rotorsaken till ett ärende som en användare har öppnat.
Klientadministratörer som behöver verifiera att principer för villkorsstyrd åtkomst har den avsedda effekten på användarna av en klientorganisation.
Du kan komma åt inloggningsloggarna med hjälp av administrationscentret för Microsoft Entra, Azure-portalen, Microsoft Graph och PowerShell.
Visa principer för villkorlig åtkomst i Inloggningsloggar för Microsoft Entra
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Aktivitetsinformationen för inloggningsloggar innehåller flera flikar. Fliken Villkorsstyrd åtkomst visar de principer för villkorsstyrd åtkomst som tillämpas på den inloggningshändelsen.
- Logga in på administrationscentret för Microsoft Entra som minst global läsare.
- Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
- Välj ett inloggningsobjekt från tabellen för att visa fönstret inloggningsinformation.
- Välj fliken Villkorsstyrd åtkomst .
Om du inte ser principerna för villkorsstyrd åtkomst bekräftar du att du använder en roll som ger åtkomst till både inloggningsloggarna och principerna för villkorsstyrd åtkomst.