条件访问通过在正确的情况下应用适当的安全访问控制来帮助组织保持安全。 了解这些策略的影响可能很有挑战性,尤其是在部署新策略时。 本文介绍如何使用仅报告模式和其他工具分析条件访问策略的影响。
根据“仅限报告”模式,有多个选项可供管理员使用。 仅报告模式是一种策略状态,允许管理员在启用条件访问策略之前测试大多数条件访问策略。
- 条件访问策略可以在仅报告模式下进行评估,但“用户操作”范围中包含的项除外。
- 在登录过程中,将评估仅限报告模式下的策略,但不强制执行这些策略。
- 结果记录在登录日志详细信息的“条件访问”和“仅限报告”选项卡中。
- 具有 Azure Monitor 订阅的客户可以使用条件访问见解工作簿来监视其条件访问策略的影响。
警告
仅报告模式下要求合规设备的策略可能会提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可能会重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除设备平台 Mac、iOS 和 Android。
策略评估结果
评估给定登录的策略时,可能会产生以下几种结果:
| 结果 | DESCRIPTION |
|---|---|
| 仅限报告:成功 | 满足所有配置的策略条件、所需的非交互式授权控制和会话控制。 例如,多重身份验证要求由令牌中已存在的 MFA 声明满足,或者通过对合规设备执行设备检查来满足合规设备策略。 |
| 仅限报告:失败 | 满足所有配置的策略条件,但并非所有必需的非交互式授予控件或会话控件都已满足。 例如,策略适用于配置了阻止控件的用户,或者未通过符合设备策略的设备。 |
| 仅限报告:需要执行用户操作 | 满足所有配置的策略条件,但需要用户操作才能满足所需的授权控制或会话控制。 使用仅报告模式时,系统不会提示用户满足所需的控件。 例如,不会提示用户提出多重身份验证质询或使用条款。 |
| 仅限报告:不适用 | 并非所有配置的策略条件都已满足。 例如,用户从策略中排除,或策略仅适用于某些受信任的命名位置。 |
| 成功 | 策略适用、要求满足且策略允许继续登录的登录事件。 登录可能仍被其他策略阻止。 |
| 失败 | 应用了策略、未满足要求且策略将阻止登录的登录事件。 这可能是出于设计原因,例如当来自特定位置的登录被阻止时;也可能是由于策略配置错误而导致的意外情况。 |
| 未应用 | 未应用策略(例如用户被排除在外)的登录事件。 |
查看结果
管理员可以使用多个选项查看其环境中策略的潜在结果:
- 工作簿
- 登录日志
- 策略影响(预览版)
策略影响
条件访问的策略影响视图允许至少具有安全读取者角色的管理员查看有关组织中交互式登录策略的潜在或现有影响的信息快照。 通过此功能,可以浏览过去 24 小时、7 天或 1 个月的影响。 此外,还可以查看并链接到登录事件的示例,以获取更多详细信息。
工作簿
管理员可以在仅报告模式下创建多个策略,因此有必要了解每个策略的单独影响以及一起评估的多个策略的组合影响。 条件访问见解和报告工作簿使管理员能够可视化条件访问策略,它查询和监视给定时间范围、应用程序和用户策略的影响。 管理员可以自定义工作簿以满足其特定需求。
登录日志
若要更深入地评估特定登录时的条件访问策略及其应用程序,管理员可能会调查单个登录事件。 其中每个事件包含关于哪些条件访问策略已启用、哪些在“仅限报告”模式中、哪些已应用、哪些未应用的详细信息。
使用这些选项
管理员使用 策略影响或仅报告模式评估策略设置后,可以将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。