Was ist der reine Berichtsmodus des bedingten Zugriffs?

Der bedingte Zugriff wird von unseren Kunden häufig verwendet, um durch die Anwendung der richtigen Zugriffssteuerungen unter den richtigen Umständen für die Sicherheit zu sorgen. Eine der Herausforderungen beim Bereitstellen einer Richtlinie für bedingten Zugriff in Ihrer Organisation ist jedoch das Ermitteln der Auswirkungen auf die Endbenutzer. Es kann schwierig sein, die Anzahl und die Namen von Benutzern vorherzusagen, die von gemeinsamen Sicherheitsinitiativen betroffen sind. Diese Initiativen können Folgendes umfassen: Blockieren der Legacyauthentifizierung, Erfordern einer mehrstufigen Authentifizierung für eine Gruppe von Benutzern oder Implementieren von Anmelderisikorichtlinien.

Der reine Berichtsmodus ist ein neuer Status von Richtlinien für bedingten Zugriff, mit dem Administratoren die Auswirkungen von Richtlinien für bedingten Zugriff auswerten können, bevor sie die jeweiligen Richtlinien in ihrer Umgebung aktivieren.

  • Richtlinien für bedingten Zugriff können nur im Berichtsmodus ausgewertet werden, mit Ausnahme von Elementen, die im Bereich „Benutzeraktionen“ enthalten sind.
  • Bei der Anmeldung werden Richtlinien im reinen Berichtsmodus ausgewertet, aber nicht erzwungen.
  • Die Ergebnisse werden auf den Registerkarten Bedingter Zugriff und Nur melden der Anmeldeprotokolldetails protokolliert.
  • Kunden mit einem Azure Monitor-Abonnement können die Auswirkungen ihrer Richtlinien für bedingten Zugriff mithilfe der Arbeitsmappe für Erkenntnisse zum bedingten Zugriff überwachen.

Warnung

Richtlinien im reinen Berichtsmodus, die konforme Geräte erfordern, können Benutzer von Mac-, iOS- und Android-Geräten auffordern, bei der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht erzwungen wird. Diese Aufforderungen können wiederholt werden, bis das Gerät konform ist. Um zu verhindern, dass Endbenutzer bei der Anmeldung Eingabeaufforderungen erhalten, schließen Sie die Geräteplattformen Mac, iOS und Android aus Richtlinien im reinen Berichtsmodus aus, die Gerätekonformitätsprüfungen durchführen. Beachten Sie, dass der reine Berichtsmodus für Richtlinien für bedingten Zugriff mit dem Bereich „Benutzeraktionen“ nicht anwendbar ist.

Screenshot showing the report-only tab in a sign-in log.

Richtlinienergebnisse

Wenn eine Richtlinie im reinen Berichtsmodus für eine bestimmte Anmeldung ausgewertet wird, gibt es vier neue mögliche Ergebniswerte:

Ergebnis BESCHREIBUNG
Nur Bericht: Erfolg Alle konfigurierten Richtlinienbedingungen, alle erforderlichen nicht interaktiven Steuerelemente zur Rechteerteilung und alle Sitzungssteuerelemente wurden erfüllt. Beispiele: Eine MFA-Anforderung wird durch einen MFA-Anspruch erfüllt, der bereits im Token vorhanden ist, oder eine Richtlinie für konforme Geräte wird durch Ausführen einer Geräteprüfung auf einem konformen Gerät erfüllt.
Nur Bericht: Fehler Alle konfigurierten Richtlinienbedingungen wurden erfüllt, aber es wurden nicht alle erforderlichen nicht interaktiven Steuerelemente zur Rechteerteilung oder Sitzungssteuerelemente erfüllt. Beispiele: Eine Richtlinie gilt für einen Benutzer, für den eine Blockierungssteuerung konfiguriert ist, oder ein Gerät entspricht nicht einer Richtlinie für konforme Geräte.
Nur Bericht: Benutzeraktion erforderlich Alle konfigurierten Richtlinienbedingungen wurden erfüllt, aber es ist eine Benutzeraktion erforderlich, um die erforderlichen Steuerelemente zur Rechteerteilung oder Sitzungssteuerelemente zu erfüllen. Im reinen Berichtsmodus wird der Benutzer nicht aufgefordert, die erforderlichen Maßnahmen zu erfüllen. Beispielsweise werden Benutzer nicht zur Durchführung der Multi-Faktor-Authentifizierung oder zur Bestätigung der Nutzungsbedingungen aufgefordert.
Nur Bericht: Nicht angewendet Es wurden nicht alle konfigurierten Richtlinienbedingungen erfüllt. Beispiele: Der Benutzer wird aus der Richtlinie ausgeschlossen, oder die Richtlinie gilt nur für bestimmte vertrauenswürdige benannte Standorte.

Arbeitsmappe für Erkenntnisse zum bedingten Zugriff

Administratoren können mehrere Richtlinien im reinen Berichtsmodus erstellen. Daher ist es unerlässlich, sowohl die einzelnen Auswirkungen jeder Richtlinie als auch die kombinierten Auswirkungen mehrerer Richtlinien zu verstehen, die zusammen ausgewertet werden. Mit der neuen Arbeitsmappe für Erkenntnisse zum bedingten Zugriff können Administratoren Abfragen für den bedingten Zugriff visualisieren und die Auswirkungen einer Richtlinie für einen bestimmten Zeitraum, für eine Gruppe von Anwendungen und für bestimmte Benutzer überwachen.