Режим условного доступа "только отчет"
При условном доступе наши клиенты широко защищают, применяя нужные элементы управления доступом в нужных условиях. Однако одна из проблем, возникающих при развертывании политики условного доступа в организации, заключается в определении воздействия на конечных пользователей. Это может быть трудно предвидеть число и имена пользователей, затронутых общими инициативами безопасности. Эти инициативы могут включать: блокировка устаревшей проверки подлинности, требование многофакторной проверки подлинности для населения пользователей или реализация политик риска входа.
Режим "Только отчет" представляет собой новое состояние политики условного доступа, которое позволяет администраторам оценивать влияние политик условного доступа перед их включением в своей среде.
- Политики условного доступа можно оценивать в режиме только для отчетов, за исключением элементов, включенных в область действий пользователей.
- Во время входа в систему политики в режиме "Только отчет" оцениваются, но не применяются.
- Результаты записываются на вкладках Условный доступ и Только отчет в подробных сведениях журнала входа.
- Клиенты с подпиской Azure Monitor могут отслеживать влияние политик условного доступа с помощью книги условного доступа.
Ескерту
Политики в режиме "только отчет", требующем соответствующих устройств, могут предлагать пользователям Mac, iOS и Android выбирать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет установлено соответствующим требованиям. Чтобы запретить конечным пользователям получать запросы во время входа, исключите платформы устройств Mac, iOS и Android из политик только для отчетов, выполняющих проверки соответствия устройств. Обратите внимание, что режим "только отчет" неприменим для политик условного доступа с областью "Действия пользователей".
При оценке политики в режиме "только отчет" для данного входа существует четыре новых возможных результата:
Результат | Description |
---|---|
Только отчет: выполнено | Все настроенные условия политики, требуемые неинтерактивные элементы управления предоставлением и элементы управления сеансами удовлетворены. Например, требование многофакторной проверки подлинности удовлетворяется утверждением MFA, уже присутствующих в маркере, или соответствующая политика устройства удовлетворяется путем выполнения проверка устройства на совместимом устройстве. |
Только отчет: сбой | Все настроенные условия политики были удовлетворены, но не все требуемые неинтерактивные элементы управления предоставлением или сессией в наличии. Например, политика применяется к пользователю, где настроен элемент управления "блок", или если устройство завершается ошибкой соответствующей политики устройства. |
Только отчет: требуется вмешательство пользователя | Все настроенные условия политики были удовлетворены, но для выполнения требуемых элементов управления предоставлением и сессией требовалось действие пользователя. При использовании режима только для отчетов пользователю не предлагается удовлетворить необходимые элементы управления. Например, пользователи не запрашивают многофакторную проверку подлинности или условия использования. |
Только отчет: не применено | Не все настроенные условия политики выполнены. Например, пользователь исключен из политики или политика применяется только к определенным доверенным именованным расположениям. |
Администратор istrator имеют возможность создавать несколько политик в режиме только для отчетов, поэтому необходимо понять, как индивидуальное влияние каждой политики, так и объединенное влияние нескольких политик, оцененных вместе. Новая книга условного доступа "аналитика" позволяет администраторам визуализировать запросы условного доступа и отслеживать влияние политики на заданный диапазон времени, набор приложений и пользователей.