使用条件访问见解和报告工作簿,可以了解条件访问策略在一定时间段内在组织中的影响。 在登录期间,可能会应用一个或多个条件访问策略;如果满足某些授权控制,就会授予访问权限,否则就会拒绝访问。 由于在每次登录期间可能会评估多个条件访问策略,因此见解和报告工作簿可便于检查单个策略或所有策略的子集的影响。
先决条件
若要启用见解和报告工作簿,租户必须具有:
- 用于保留登录日志数据的 Log Analytics 工作区。
- 用于使用条件访问的 Microsoft Entra ID P1 许可。
必须至少为用户分配安全读取者角色和 Log Analytics 工作区参与者角色。
将 Microsoft Entra ID 中的登录日志流式传输到 Azure Monitor 日志
如果还没有将 Microsoft Entra 日志与 Azure Monitor 日志集成,那么在加载工作簿之前,需要按照以下步骤操作:
工作原理
若要访问见解和报告工作簿,请执行以下操作:
- 至少以安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问>洞察和报告。
入门:选择参数
通过见解和报告仪表板,可以查看一个或多个条件访问策略在指定时间段内的影响。 首先,设置工作簿顶部的每个参数。
条件访问策略:若要查看其组合影响,请选择一个或多个条件访问策略。 策略分为两个组: “已启用” 和 “仅报告 ”策略。 默认情况下,选择所有 已启用 的策略。 当前在您租户中强制执行的策略是这些策略。
时间范围:选择要追溯的时间范围,介于 4 个小时到 90 天之间。 如果您选择的时间范围早于将 Microsoft Entra 日志与 Azure Monitor 集成的时间,那么只有在集成之后的登录活动才会显示。
用户:默认情况下,仪表板显示所选策略对所有用户的影响。 若要按单个用户进行筛选,请在文本字段中键入用户名。 若要按所有用户进行筛选,请在文本字段中键入“所有用户”或将参数留空。
应用:默认情况下,仪表板显示所选策略对所有应用的影响。 若要按单个应用进行筛选,请在文本字段中键入应用名称。 若要按所有应用进行筛选,请在文本字段中键入“所有应用”或将参数留空。
数据视图:选择是否希望仪表板根据用户数或登录数显示结果。单个用户可能具有数百个登录,这些应用在给定的时间范围内具有许多不同的结果。 如果选择将数据视图设为用户视图,则用户可以同时包含在成功和失败的计数中。 例如,如果有 10 个用户,其中有 8 个用户在过去 30 天内的结果可能为成功,有 9 个用户在过去 30 天内的结果可能为失败。
影响摘要
设置参数后, “影响”摘要 将加载。 此摘要显示在评估所选策略时,在时间范围内有多少用户或登录的结果为“成功”、“失败”、“需要用户操作”或“未应用”。
总计:在评估至少一个所选策略的时间段内的用户数量或登录次数。
成功:在时间段内所选策略的合并结果为“成功”或“仅限报告:成功”的用户数或登录数。
失败:在时间段内至少一个所选策略的结果为“失败”或“仅限报告:失败”的用户数或登录数。
需要用户操作:在时间段内所选策略的合并结果为“仅限报告:需要用户操作”的用户数或登录数。 需要交互式授予控制(例如多重身份验证)时,需要执行用户操作。 由于交互式授权控制不是由“仅限报告”策略强制执行的,因此无法确定成功或失败。
未应用:在未应用所选策略的时间段内用户或登录数。
了解影响
查看每个条件对应的用户或登录明细。 可以通过选择工作簿顶部的摘要磁贴之一来筛选特定登录结果(例如,“成功”或“失败”)。 可以查看每个条件访问条件对应的登录明细:设备状态、设备平台、客户端应用、位置、应用和登录风险。
登录详细信息
也可以通过在仪表板底部搜索登录来调查特定用户的登录。 查询显示最常登录的用户。 选择某个用户会筛选查询。
注意
下载登录日志时,请选择 JSON 格式以包含条件访问仅限报告结果数据。
提高工作簿性能
标准条件访问见解和报告工作簿可以通过默认设置捕获大量信息。 捕获的数据量可能会影响工作簿的性能,因此某些查询可能需要更长的时间才能加载甚至超时。若要提高性能,可以在 Azure Monitor 中创建转换。
在继续执行此可选步骤之前,请查看 Azure Monitor 中的转换 文章,了解一般概述和成本注意事项。
若要确定要保留或排除转换的结果,请在 Log Analytics 中使用以下 Kusto 查询:
SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies
查询专门查看导致成功或失败的条件访问策略。 可以在查询中包含的其他值包括notApplied、reportOnlySuccess、reportOnlyFailure和reportOnlyNotAppliednotEnabled。
若要为登录日志创建数据收集规则(DCR):
- 至少以监视参与者身份登录到 Azure 门户。
- 浏览到 Log Analytics 工作区 并选择工作区。
- 转到
“设置 ,选择表 ” SignInLogs 。 - 打开右侧的菜单,然后选择“ 创建转换”。
- 按照提示创建转换,选择 “转换编辑器 ”以更改转换中包含的任何详细信息。
成功创建和部署转换后,条件访问见解和报告工作簿的加载速度应更快。 该转换仅适用于在创建转换后引入的新登录日志。 从该表中提取数据的其他工作簿也会受到此转换的影响。
请记住,如果从转换中排除某些策略结果,则转换运行后,工作簿中不会显示任何这些结果。
在仅限报告模式下配置条件访问策略
若要在仅限报告模式下配置条件访问策略,请执行以下操作:
- 以至少条件访问管理员的身份登录到 Microsoft Entra 管理中心。
- 导航到 Entra ID>条件访问>策略。
- 选择现有策略或创建新策略。
- 在“启用策略”下将切换设置为“仅限报告”模式 。
- 选择“保存”
提示
将现有策略的“启用策略”状态从“打开”编辑为“仅限报告”,以禁止现有策略实施 。
疑难解答
由于权限错误导致查询失败的原因是什么?
为了访问工作簿,需要在 Microsoft Entra ID 和日志分析中拥有适当权限。 若要通过运行示例 Log Analytics 查询来测试你是否有适当的工作区权限,请完成以下步骤:
- 以至少安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>监控与健康>Log Analytics。
- 将
SigninLogs键入查询框中,然后选择“运行”。 - 如果查询没有返回任何结果,则工作区可能配置不正确。
有关如何将 Microsoft Entra 登录日志流式传输到 Log Analytics 工作区的详细信息,请参阅文章 :将 Microsoft Entra 日志与 Azure Monitor 日志集成。
为什么工作簿中的查询失败了?
客户注意到,如果工作簿与错误工作区或多个工作区相关联,查询有时会失败。 若要解决此问题,请选择工作簿顶部的“编辑”,然后选择“设置”齿轮图标。 选择与工作簿无关的工作区,然后将其删除。 每个工作簿应该只有一个工作区与之关联。
为什么条件访问策略参数为空?
策略列表是通过查看针对最新登录事件进行评估的策略来生成的。 如果租户中没有最新的登录,则可能需要等待几分钟,以便工作簿加载条件访问策略的列表。 配置 Log Analytics 后或者当租户最近没有登录活动时,可能会立即出现空结果。
为什么工作簿加载或返回零结果需要很长时间?
工作簿可能会评估数量极大的登录事件,具体视所选的时间范围和租户大小而定。 对于大型租户,登录量可能会超出 Log Analytics 的查询容量。 请尝试将时间范围缩短至 4 个小时,然后查看工作簿是否加载。 有关如何提高性能的详细信息,请查看“ 提高工作簿性能 ”部分。
是否可以保存参数选择或自定义工作簿?
可以保存参数选择并在工作簿顶部自定义工作簿。 浏览到 Entra ID>监控和健康>工作簿>条件访问洞察和报告。 在这里,你将找到工作簿模板,可以在其中编辑工作簿,并将副本(包括所选的参数)保存到“我的报告”或“共享报告”中的工作区。 若要开始编辑查询,请选择工作簿顶部的“编辑”。
相关内容
有关Microsoft Entra 工作簿的详细信息,请参阅文章: 如何将 Azure Monitor 工作簿用于 Microsoft Entra 报表。