對條件式存取原則變更進行疑難排解
當您對環境中發生條件式存取原則變更的原因和方式進行疑難排解時,Microsoft Entra 稽核記錄是重要的資訊來源。
稽核記錄資料預設僅保留 30 天,而對於每個組織而言可能不夠長。 組織可以將 Microsoft Entra ID 中的診斷設定變更為下列專案,以儲存較長期間的數據:
- 將數據傳送至Log Analytics工作區
- 將資料封存至儲存體帳戶
- 將數據串流至事件中樞
- 將數據傳送至合作夥伴解決方案
在 [身分>識別監視與健康情況>診斷設定] [編輯設定>] 底下尋找這些選項。 如果您沒有診斷設定,請遵循建立診斷設定一文 中的指示,將平台記錄和計量傳送到不同的目的地 以建立一個。
使用稽核記錄
以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別>監視與健康情況>稽核記錄]。
選取您要查詢的 日期 範圍。
從 [ 服務 篩選] 中,選取 [ 條件式存取 ],然後選取 [ 套用] 按鈕。
稽核記錄預設會顯示所有活動。 開啟 [ 活動 ] 篩選以縮小活動範圍。 如需條件式存取稽核記錄活動的完整清單,請參閱 稽核記錄活動。
選取數據列以檢視詳細數據。 [ 修改的屬性] 索引標籤會列出所選稽核活動的修改 JSON 值。
使用 Log Analytics
Log Analytics 可讓組織使用內建查詢或自定義建立的 Kusto 查詢來查詢數據,如需詳細資訊,請參閱 開始使用 Azure 監視器中的記錄查詢。
啟用后,在身分>識別監視和健康>情況 Log Analytics 中尋找 Log Analytics 的存取權。 條件式存取系統管理員最感興趣的數據表是 AuditLogs。
AuditLogs
| where OperationName == "Update Conditional Access policy"
您可以在 TargetResources>modifiedProperties 下找到變更。
讀取值
來自稽核記錄和Log Analytics的舊值和新值都是 JSON 格式。 比較這兩個值,以查看原則的變更。
舊原則範例:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
"a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
"state": "enabled"
}
已更新的原則範例:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
"state": "enabled"
}
在上一個範例中,更新的原則不包含授與控件的使用規定。