Informazioni dettagliate e report di Accesso condizionale

La cartella di lavoro Informazioni dettagliate e report di Accesso condizionale consente di conoscere l'impatto dei criteri di accesso condizionale dell'organizzazione nel tempo. Durante l'accesso, è possibile applicare uno o più criteri di accesso condizionale, concedendo l'accesso se vengono soddisfatti alcuni controlli di concessione o negando l'accesso in caso contrario. Dato che durante ogni accesso possono essere valutati più criteri di accesso condizionale, la cartella di lavoro Informazioni dettagliate e report consente di esaminare l'impatto dei singoli criteri o di un sottoinsieme di tutti i criteri.

Prerequisiti

Per abilitare le informazioni dettagliate e la cartella di lavoro per la creazione di report, il tenant deve avere:

  • Un'area di lavoro Log Analytics per conservare i dati dei log di accesso.
  • Licenze di Microsoft Entra ID P1 per l'uso dell'accesso condizionale.

Agli utenti deve essere assegnato almeno il ruolo con autorizzazioni di lettura per la sicurezza e i ruoli collaboratore dell'area di lavoro Log Analytics.

Eseguire lo streaming dei log di accesso da Microsoft Entra ID ai log di Monitoraggio di Azure

Se non si sono integrati i log di Microsoft Entra con i log di Monitoraggio di Azure, prima del caricamento della cartella di lavoro sarà necessario seguire questa procedura:

  1. Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
  2. Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Funzionamento

Per accedere alla cartella di lavoro Informazioni dettagliate e report:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore che legge i dati di sicurezza.
  2. Passare a Protezione>Accesso condizionale>Insights e creazione di report.

Introduzione: Selezionare i parametri

Il dashboard Informazioni dettagliate e report consente di visualizzare l'impatto di uno o più criteri di accesso condizionale in un periodo di tempo specificato. Per iniziare, impostare ognuno dei parametri nella parte superiore della cartella di lavoro.

Screenshot che mostra la cartella di lavoro Informazioni dettagliate e report sull'accesso condizionale.

Criteri di accesso condizionale: per visualizzare l'impatto combinato, selezionare uno o più criteri di accesso condizionale. I criteri sono separati in due gruppi: Abilitato e Solo report. Per impostazione predefinita, sono selezionati tutti i criteri abilitati, che sono i criteri attualmente applicati nel tenant.

Intervallo di tempo: selezionare un intervallo di tempo da 4 ore a 90 giorni prima. Se l'intervallo di tempo selezionato risale a prima dell'integrazione dei log di Microsoft Entra con Monitoraggio di Azure, verranno visualizzati solo gli accessi successivi all'integrazione.

Utente: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutti gli utenti. Per filtrare un singolo utente, digitarne il nome nel campo di testo. Per filtrare tutti gli utenti, digitare Tutti gli utenti nel campo di testo o lasciare vuoto il parametro.

App: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutte le app. Per filtrare una singola app, digitarne il nome nel campo di testo. Per filtrare tutte le app, digitare Tutte le app nel campo di testo o lasciare vuoto il parametro.

Vista dati: selezionare se si vuole che i risultati vengano visualizzati nel dashboard in termini di numero di utenti o numero di accessi. In un determinato intervallo di tempo, un singolo utente può avere centinaia di accessi a numerose app con molti risultati diversi. Se si seleziona la visualizzazione dati utente, è possibile includere un utente sia nel conteggio delle operazioni riuscite che in quello degli errori. Ad esempio, se sono presenti 10 utenti, 8 di essi potrebbero avere esito positivo negli ultimi 30 giorni e 9 di essi potrebbero avere un errore negli ultimi 30 giorni.

Riepilogo dell'impatto

Dopo l'impostazione dei parametri, viene caricato il riepilogo dell'impatto. Il riepilogo mostra il numero di utenti o di accessi per i quali, nell'intervallo di tempo, il risultato con la valutazione dei criteri selezionati è stato Operazione riuscita, Errore, Azione utente richiesta o Non applicato.

Screenshot che mostra un riepilogo dell'impatto di esempio nella cartella di lavoro di Accesso condizionale.

Totale: numero di utenti o di accessi durante il periodo di tempo in cui è stato valutato almeno uno dei criteri selezionati.

Operazione riuscita: numero di utenti o di accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati è stato Operazione riuscita o Solo report: operazione riuscita.

Errore: numero di utenti o di accessi durante il periodo di tempo in cui il risultato di almeno uno dei criteri selezionati è stato Errore o Solo report: errore.

Azione utente richiesta: numero di utenti o di accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati è stato Solo report: azione utente richiesta. L'intervento dell'utente è necessario quando è richiesto un controllo di concessione interattivo, ad esempio l'autenticazione a più fattori. Dato che i controlli di concessione interattivi non vengono applicati dai criteri in modalità solo report, non è possibile determinare l'esito positivo o negativo.

Non applicato: numero di utenti o di accessi durante il periodo di tempo in cui nessuno dei criteri selezionati è stato applicato.

Informazioni sull'impatto

Screenshot che mostra una suddivisione della cartella di lavoro per condizione e stato.

Visualizzare il dettaglio degli utenti o degli accessi per ognuna delle condizioni. È possibile filtrare gli accessi di un determinato risultato (ad esempio, Operazione riuscita o Errore) selezionando i riquadri di riepilogo nella parte superiore della cartella di lavoro. È possibile visualizzare il dettaglio degli accessi per ognuna delle condizioni di accesso condizionale: stato del dispositivo, piattaforma del dispositivo, app client, località, applicazione e rischio di accesso.

Dettagli di accesso

Screenshot che mostra i dettagli di accesso della cartella di lavoro.

È anche possibile esaminare gli accessi di un utente specifico cercando gli accessi nella parte inferiore del dashboard. La query visualizza gli utenti più frequenti. Se si seleziona un utente, la query viene filtrata.

Nota

Quando si scaricano i log di accesso, scegliere il formato JSON per includere i dati dei risultati del report solo per l'accesso condizionale.

Configurare criteri di accesso condizionale in modalità solo report

Per configurare criteri di accesso condizionale in modalità solo report:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare un criterio esistente o crearne uno nuovo.
  4. In Abilita criterio impostare l'interruttore sulla modalità Solo report.
  5. Seleziona Salva

Suggerimento

La modifica dello stato Abilita criterio di un criterio esistente da On a Solo report disabilita l'imposizione dei criteri esistente.

Risoluzione dei problemi

Perché le query hanno esito negativo a causa di un errore di autorizzazioni?

Per accedere alla cartella di lavoro, sono necessarie le autorizzazioni appropriate in Microsoft Entra ID e Log Analytics. Per verificare se si dispone delle autorizzazioni appropriate per l'area di lavoro eseguendo una query di Log Analytics di esempio:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore che legge i dati di sicurezza.
  2. Passare a Identità>Monitoraggio e integrità>Log Analytics.
  3. Digitare SigninLogs nella casella di query e selezionare Esegui.
  4. Se la query non restituisce risultati, l'area di lavoro potrebbe non essere configurata correttamente.

Screenshot che mostra come risolvere i problemi relativi alle query con errori.

Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Perché le query nella cartella di lavoro hanno esito negativo?

I clienti notano che le query talvolta hanno esito negativo se le aree di lavoro errate o più aree di lavoro sono associate alla cartella di lavoro. Per risolvere il problema, selezionare Modifica nella parte superiore della cartella di lavoro e quindi l'ingranaggio Impostazioni. Selezionare e quindi rimuovere le aree di lavoro non associate alla cartella di lavoro. A ogni cartella di lavoro deve essere associata una sola area di lavoro.

Perché il parametro dei criteri di accesso condizionale è vuoto?

L'elenco dei criteri viene generato esaminando i criteri valutati per l'evento di accesso più recente. Se non sono presenti accessi recenti nel tenant, potrebbe essere necessario attendere alcuni minuti prima che la cartella di lavoro carichi l'elenco dei criteri di accesso condizionale. Risultati vuoti possono verificarsi immediatamente dopo la configurazione di Log Analytics o se un tenant non ha attività di accesso recenti.

Perché il caricamento della cartella di lavoro richiede molto tempo?

A seconda dell'intervallo di tempo selezionato e delle dimensioni del tenant, la cartella di lavoro potrebbe valutare un numero estremamente elevato di eventi di accesso. Per i tenant di grandi dimensioni, il volume degli accessi potrebbe superare la capacità di query di Log Analytics. Provare a ridurre l'intervallo di tempo a 4 ore per verificare se la cartella di lavoro viene caricata.

Perché, dopo un caricamento durato alcuni minuti, la cartella di lavoro restituisce zero risultati?

Quando il volume degli accessi supera la capacità di query di Log Analytics, la cartella di lavoro restituirà zero risultati. Provare a ridurre l'intervallo di tempo a 4 ore per verificare se la cartella di lavoro viene caricata.

È possibile salvare le selezioni dei parametri?

È possibile salvare le selezioni dei parametri nella parte superiore della cartella di lavoro, passando a Identità>Monitoraggio e integrità>Cartelle di lavoro>Informazioni dettagliate e report di Accesso condizionale. Verrà così visualizzato il modello della cartella di lavoro in cui è possibile modificare la cartella di lavoro e salvarne una copia nell'area di lavoro, con le selezioni dei parametri, in Report personali o Report condivisi.

È possibile modificare e personalizzare la cartella di lavoro con altre query?

È possibile modificare e personalizzare la cartella di lavoro passando a Identità>Monitoraggio e integrazione>Cartelle di lavoro>Informazioni dettagliate e report di Accesso condizionale. Verrà così visualizzato il modello della cartella di lavoro in cui è possibile modificare la cartella di lavoro e salvarne una copia nell'area di lavoro, con le selezioni dei parametri, in Report personali o Report condivisi. Per iniziare a modificare le query, selezionare Modifica nella parte superiore della cartella di lavoro.