在 Microsoft Entra 登入記錄中檢視已套用的條件式存取原則
透過條件式存取原則,您可以控制使用者對於 Azure 租用戶的資源存取方式。 身為租用戶管理員,您必須能夠判斷條件式存取原則對租用戶的登入有何影響,以便視需要採取動作。
Microsoft Entra ID 中的登入記錄可提供您評估原則效果所需的資訊。 本文說明如何在這些記錄中檢視套用的條件式存取原則。
必要條件
若要查看登入記錄中套用的條件式存取原則,管理員必須具備檢視記錄和原則的權限。 授與這兩個權限的最低權限內建角色是「安全性讀取者」。 最佳做法是,您應該將「安全性讀取者」角色新增至相關的系統管理員帳戶。
下列內建角色會授權讀取條件式存取原則:
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員
- 條件式存取系統管理員
下列內建角色會授權檢視登入記錄:
- 報告讀取者
- 安全性讀取者
- 全域讀取者
- 安全性系統管理員
用戶端應用程式的權限
如果您使用用戶端應用程式從 Microsoft Graph 提取登入記錄,您的應用程式需要具備從 Microsoft Graph 接收 appliedConditionalAccessPolicy
資源的權限。 最佳做法是指派 Policy.Read.ConditionalAccess
,因為這是最低限度的權限。
下列任一權限都足以讓用戶端應用程式透過 Microsoft Graph 存取登入記錄中套用的條件式存取原則:
Policy.Read.ConditionalAccess
Policy.ReadWrite.ConditionalAccess
Policy.Read.All
PowerShell 的權限
如同其他用戶端應用程式,Microsoft Graph PowerShell 模組需要具備用戶端權限,才能存取登入記錄中套用的條件式存取原則。 若要成功提取登入記錄中套用的條件式存取原則,您必須同意將必要權限授與 Microsoft Graph PowerShell 管理員帳戶。 最佳做法是同意下列權限:
Policy.Read.ConditionalAccess
AuditLog.Read.All
Directory.Read.All
下列權限是具有必要存取權的最低限度權限:
- 若要同意必要的權限:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
- 若要檢視登入記錄:
Get-MgAuditLogSignIn
如需關於此 Cmdlet 的詳細資訊,請參閱 Get-MgAuditLogSignIn。
條件式存取和登入記錄案例
身為 Microsoft Entra 系統管理員,您可以使用登入記錄來:
- 對登入問題進行疑難排解。
- 檢查特徵效能。
- 評估租用戶的安全性。
某些案例需要您了解條件式存取原則如何套用至登入事件。 常見的範例包括:
技術支援中心管理員需要查看已套用的條件式存取原則,以了解原則是否為使用者開立票證的根本原因。
租用戶系統管理員需要確認條件式存取原則是否對租用戶使用者產生預期效果。
您可以使用 Microsoft Entra 系統管理中心、Azure 入口網站、Microsoft Graph 和 PowerShell 來存取登入記錄。
在 Microsoft Entra 登入記錄中檢視條件式存取原則
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
登入記錄的活動詳細資料包含數個索引標籤。 [條件式存取] 索引標籤會列出已套用至該登入事件的條件式存取原則。
- 至少以全域讀取者的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [監視和健康情況]> [登入記錄]。
- 從資料表中選取登入項目,以檢視登入詳細資料窗格。
- 選取 [條件式存取] 索引標籤。
若未看到條件式存取原則,請確認您使用的角色同時提供登入記錄和條件式存取原則的存取權。