Аналитика и отчеты условного доступа

С помощью книги аналитики и отчетов условного доступа можно понять, как меняется влияние политик условного доступа на организацию с течением времени. Во время входа может применяться одна или несколько политик условного доступа, предоставляя доступ, если определенные элементы управления предоставлением удовлетворены или запрещают доступ в противном случае. Так как во время каждого входа может оцениваться несколько политик условного доступа, в книге аналитических сведений и отчетов можно изучить влияние отдельной политики или подмножества всех политик.

Необходимые компоненты

Чтобы включить книгу аналитики и отчетов, клиент должен иметь следующие возможности:

  • Рабочая область Log Analytics для хранения данных журналов входа.
  • Лицензии Microsoft Entra ID P1 для использования условного доступа.

Пользователи должны иметь по крайней мере назначенную роль читателя безопасности и роли участника рабочей области Log Analytics.

Потоковая передача журналов входа из идентификатора Microsoft Entra в журналы Azure Monitor

Если вы не включили журналы Microsoft Entra с журналами Azure Monitor, перед загрузкой книги необходимо выполнить следующие действия.

  1. Создайте рабочую область Log Analytics в Azure Monitor.
  2. Интеграция журналов Microsoft Entra с журналами Azure Monitor.

Принцип работы

Чтобы получить доступ к книге аналитики и отчетов, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к аналитике условного доступа>и отчетам о защите.>

Начало работы: выбор параметров

На панели мониторинга аналитики и отчетов можно увидеть влияние одной или нескольких политик условного доступа за указанный период. Сначала задайте все параметры в верхней части книги.

Снимок экрана: аналитические сведения об условном доступе и книга отчетов.

Политика условного доступа. Чтобы просмотреть их объединенное влияние, выберите одну или несколько политик условного доступа. Политики разделены на две группы: включенные и только для отчетов политики. По умолчанию выбраны все включенные политики. Это политики, которые в настоящее время применяются в клиенте.

Диапазон времени: выберите диапазон времени от 4 часов до до 90 дней. Если вы выбрали диапазон времени дальше, чем при интеграции журналов Microsoft Entra с Azure Monitor, только после появления интеграции.

Пользователь: по умолчанию панель мониторинга показывает влияние выбранных политик для всех пользователей. Чтобы выполнить фильтрацию по отдельному пользователю, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем пользователям, введите Все пользователи в текстовом поле или оставьте параметр пустым.

Приложение. По умолчанию панель мониторинга показывает влияние выбранных политик для всех приложений. Чтобы выполнить фильтрацию по отдельному приложению, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем приложениям, введите Все приложения в текстовом поле или оставьте параметр пустым.

Представление данных. Выберите, нужно ли отображать панель мониторинга с точки зрения количества пользователей или количества входов. Отдельный пользователь может иметь сотни входов во многие приложения с различными результатами в течение заданного диапазона времени. Если выбрать представление данных для пользователей, пользователь может быть включен как в число успешных, так и на сбой. Например, если 10 пользователей, 8 из них могут иметь результат успеха за последние 30 дней, и 9 из них могут иметь сбой за последние 30 дней.

Сводка влияния

После установки параметров сводка влияния загружается. В сводке показано, сколько пользователей или входов в течение указанного интервала времени имело результат оценки выбранных политик Успешно, Сбой, Требуется действие пользователя или Неприменимо.

Снимок экрана: пример сводки влияния в книге условного доступа.

Всего: количество пользователей или входов в течение периода времени, в течение которого была оценена по крайней мере одна из выбранных политик.

Выполнено. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был Успешно или Только отчет: успешно.

Сбой. Количество пользователей или входов в систему за период времени, в течение которого результат для по крайней мере одной из выбранных политик был Сбой или Только отчет: сбой.

Требуется действие пользователя. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был Только отчет: требуется действие пользователя. Действие пользователя требуется, если требуется интерактивный элемент управления предоставления, например многофакторная проверка подлинности. Так как интерактивные элементы управления предоставлением не применяются политиками только для отчетов, невозможно определить успешность или сбой.

Не применяется: количество пользователей или входов в течение периода времени, когда ни одна из выбранных политик не применена.

Анализ влияния

Снимок экрана: разбивка книги на условие и состояние.

Вы можете просмотреть распределение пользователей или входов для каждого из условий. Вы можете отфильтровать операции входа с определенным результатом (например, "Успешно" или "Сбой"), выбрав плитку сводки в верхней части книги. Вы можете просмотреть разбивку входов по каждому из условий условного доступа: состояние устройства, платформа устройства, клиентское приложение, расположение, приложение и риск входа.

Сведения о входе

Снимок экрана: сведения о входе книги.

Вы также можете исследовать операции входа конкретного пользователя, выполнив поиск в нижней части панели мониторинга. В запросе отображаются наиболее частые пользователи. Выбор пользователя фильтрует запрос.

Ескерім

При скачивании журналов входа выберите формат JSON, чтобы включить только данные о результатах отчета условного доступа.

Настройка политики условного доступа в режиме «только отчет»

Для настройки политики условного доступа в режиме «только отчет» выполните следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите существующую политику или создайте новую.
  4. В разделе Включить политику установите переключатель в режим Только отчет.
  5. Выберите Сохранить

Кеңес

При изменении значения параметра Включить политику для существующей политики с Вкл. на Только отчет существующее применение политики будет отключено.

Устранение неполадок

Почему происходит сбой запросов из-за ошибки разрешений?

Чтобы получить доступ к книге, необходимы соответствующие разрешения в идентификаторе Microsoft Entra и Log Analytics. Чтобы проверить наличие нужных разрешений рабочей области, выполните пробный запрос аналитики журналов:

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к Службе мониторинга удостоверений и работоспособности>>Log Analytics.
  3. Введите SigninLogs в поле запроса и выберите Выполнить.
  4. Если запрос не возвращает результаты, рабочая область может быть настроена неправильно.

Снимок экрана: устранение неполадок с неудачными запросами.

Дополнительные сведения о том, как передавать журналы входа Microsoft Entra в рабочую область Log Analytics, см. в статье "Интеграция журналов Microsoft Entra с журналами Azure Monitor".

Почему происходит сбой запросов в книге?

Клиенты замечают, что запросы иногда завершаются ошибкой, если с книгой связаны неправильные или несколько рабочих областей. Чтобы устранить эту проблему, выберите "Изменить " в верхней части книги, а затем шестеренку "Параметры". Выберите и удалите рабочие области, которые не связаны с книгой. С каждой книгой должна быть связана только одна рабочая область.

Почему параметр политик условного доступа пустой?

Список политик создается путем просмотра политик, оцененных для самого последнего события входа. Если в клиенте нет последних входов, может потребоваться несколько минут, чтобы книга загружала список политик условного доступа. Пустые результаты могут произойти сразу после настройки Log Analytics или если у клиента нет недавних действий входа.

Почему книга долго загружается?

В зависимости от выбранного диапазона времени и размера клиента книга может оценивать чрезвычайно большое количество событий входа. Для крупных клиентов объем входов может превышать емкость запросов Log Analytics. Попробуйте сократить диапазон времени до 4 часов, а затем узнать, загружается ли книга.

Почему книга возвращает нулевые результаты после нескольких минут загрузки?

Если объем входов превышает емкость запроса Log Analytics, книга возвращает нулевых результатов. Попробуйте сократить диапазон времени до 4 часов, а затем узнать, загружается ли книга.

Можно ли сохранить выбранные параметры?

Вы можете сохранить выбранные параметры в верхней части книги, перейдя в журнал "Мониторинг удостоверений и работоспособность>>книг>условного доступа" и "отчеты". Здесь вы найдете шаблон книги, где можно изменить книгу и сохранить копию в рабочей области, включая выбранные параметры, в моих отчетах или общих отчетах.

Можно ли изменить и настроить книгу с другими запросами?

Вы можете редактировать и настраивать книгу, перейдя в журнал "Мониторинг удостоверений и работоспособности>>книги>условного доступа" и "отчеты". Здесь вы найдете шаблон книги, где можно изменить книгу и сохранить копию в рабочей области, включая выбранные параметры, в моих отчетах или общих отчетах. Чтобы начать редактирование запросов, нажмите кнопку "Изменить " в верхней части книги.