Delen via

Inzichten en rapportage van voorwaardelijke toegang

Met de werkmap inzichten en rapportage van voorwaardelijke toegang kunt u de impact van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen. Tijdens het aanmelden kan één of meer beleidsregels voor voorwaardelijke toegang van toepassing zijn, waarbij toegang wordt verleend als aan bepaalde toekenningscontroles wordt voldaan, of anders wordt de toegang geweigerd. Omdat tijdens elke aanmelding meerdere beleidsregels voor voorwaardelijke toegang kunnen worden geëvalueerd, kunt u met de werkmap inzichten en rapportage de impact van een afzonderlijk beleid of een subset van alle beleidsregels onderzoeken.

Vereiste voorwaarden

Als u de inzichten- en rapportagewerkmap wilt inschakelen, moet uw tenant het volgende hebben:

  • Een Log Analytics-werkruimte voor het bewaren van aanmeldingsgegevens en toegang tot die werkruimte.
  • Microsoft Entra ID P1-licenties voor het gebruik van voorwaardelijke toegang.

Gebruikers moeten ten minste de rol Beveiligingslezer hebben toegewezen en de rol Inzender voor Log Analytics-werkruimte.

Aanmeldingslogboeken van Microsoft Entra ID streamen naar Azure Monitor-logboeken

Als u Microsoft Entra-logboeken niet hebt geïntegreerd met Azure Monitor-logboeken, moet u Microsoft Entra-logboeken integreren met Azure Monitor-logboeken.

Hoe het werkt

Volg deze stappen om toegang te krijgen tot het inzichten- en rapportagewerkboek:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Security Reader met de passende machtigingen voor de Log Analytics-werkruimte.
  2. Blader naar Entra ID>Voorwaardelijke toegang>Inzichten en rapportage.

Aan de slag: Parameters selecteren

Met het dashboard inzichten en rapportage kunt u de impact van een of meer beleidsregels voor voorwaardelijke toegang gedurende een opgegeven periode bekijken. Begin met het instellen van elk van de parameters bovenaan in de werkmap.

Schermopname van het werkboek inzichten en rapportage voor voorwaardelijke toegang.

Beleid voor voorwaardelijke toegang: selecteer een of meer beleidsregels voor voorwaardelijke toegang om de gecombineerde impact ervan weer te geven. Beleidsregels worden onderverdeeld in twee groepen: Ingeschakeld en Beleid voor alleen rapporten . Standaard zijn alle ingeschakelde beleidsregels geselecteerd. Dit zijn de beleidsregels die momenteel worden toegepast in uw omgeving.

Tijdsbereik: Selecteer een tijdsbereik van 4 uur tot 90 dagen. Als u een tijdsbereik verder terug selecteert dan wanneer u de Microsoft Entra-logboeken hebt geïntegreerd met Azure Monitor, worden alleen aanmeldingen weergegeven na de integratietijd.

Gebruiker: Standaard toont het dashboard de impact van het geselecteerde beleid voor alle gebruikers. Als u wilt filteren op een afzonderlijke gebruiker, typt u de naam van de gebruiker in het tekstveld. Als u wilt filteren op alle gebruikers, typt u Alle gebruikers in het tekstveld of laat u de parameter leeg.

App: Standaard toont het dashboard de impact van het geselecteerde beleid voor alle apps. Als u wilt filteren op een afzonderlijke app, typt u de naam van de app in het tekstveld. Als u wilt filteren op alle apps, typt u Alle apps in het tekstveld of laat u de parameter leeg.

Gegevensweergave: Selecteer of u wilt dat het dashboard resultaten weergeeft in termen van het aantal gebruikers of het aantal aanmeldingen. Een afzonderlijke gebruiker kan honderden aanmeldingen hebben voor veel apps met veel verschillende resultaten gedurende een bepaald tijdsbereik. Als u de gegevensweergave selecteert voor gebruikers, kan een gebruiker worden opgenomen in het aantal geslaagde en mislukte pogingen. Als er bijvoorbeeld 10 gebruikers zijn, kunnen 8 van hen een succes hebben in de afgelopen 30 dagen en kunnen 9 van hen een fout hebben in de afgelopen 30 dagen.

Samenvatting van de impact

Zodra de parameters zijn ingesteld, wordt de impactsamenvatting geladen. In de samenvatting ziet u hoeveel gebruikers of aanmeldingen tijdens het tijdsbereik hebben geresulteerd in Geslaagd, Mislukt, Gebruikersactie vereist of Niet toegepast wanneer het geselecteerde beleid is geëvalueerd.

Schermopname van een voorbeeld van een impactoverzicht in de werkmap Voorwaardelijke toegang.

Totaal: Het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

Geslaagd: Het aantal gebruikers of aanmeldpogingen tijdens de periode waarin de gecombineerde resultaten van de geselecteerde beleidsregels geslaagd of alleen rapporteren: geslaagd waren.

Fout: het aantal gebruikers of aanmeldingen tijdens de periode waarin het resultaat van ten minste één van de geselecteerde beleidsregels is Mislukt of Alleen rapporteren: Fout.

Gebruikersactie vereist: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van de geselecteerde beleidsregels was Alleen-rapport: gebruikersactie vereist. Gebruikersactie is vereist wanneer een interactief toekenningsbeheer, zoals meervoudige verificatie, is vereist. Omdat interactieve toekenningsbesturingselementen niet worden afgedwongen door beleid voor alleen rapporten, kan het slagen of mislukken niet worden bepaald.

Niet toegepast: het aantal gebruikers of aanmeldingen tijdens de periode waarin geen van de geselecteerde beleidsregels is toegepast.

De impact begrijpen

Schermopname van een uitsplitsing van een werkmap per voorwaarde en status.

Bekijk de uitsplitsing van gebruikers of aanmeldingen voor elk van de voorwaarden. U kunt de aanmeldingen van een bepaald resultaat (bijvoorbeeld Geslaagd of Mislukt) filteren door de overzichtstegels boven aan de werkmap te selecteren. U kunt de uitsplitsing van aanmeldingen voor elk van de voorwaarden voor voorwaardelijke toegang zien: apparaatstatus, apparaatplatform, client-app, locatie, toepassing en aanmeldingsrisico's.

Details van de aanmelding

Schermopname van de aanmeldingsgegevens van de werkmap.

U kunt de aanmeldingen van een specifieke gebruiker ook onderzoeken door te zoeken naar aanmeldingen onder aan het dashboard. In de query worden de meest voorkomende gebruikers weergegeven. Als u een gebruiker selecteert, wordt de query gefilterd.

Notitie

Wanneer u de aanmeldingslogboeken downloadt, kiest u de JSON-indeling om alleen resultaatgegevens voor voorwaardelijke toegang op te nemen.

Prestaties van werkmappen verbeteren

De standaardwerkmap voor Conditional Access-inzichten en rapportage kan met de standaardinstellingen een grote hoeveelheid gegevens vastleggen. De hoeveelheid vastgelegde gegevens kan van invloed zijn op de prestaties van de werkmap, zodat het laden of zelfs time-out van sommige query's langer kan duren. Om de prestaties te verbeteren, kunt u een transformatie maken in Azure Monitor.

Voordat u doorgaat met deze optionele stap, raadpleegt u het artikel Transformatie in Azure Monitor voor een algemeen overzicht en kostenoverwegingen.

Gebruik de volgende Kusto-query in Log Analytics om de resultaten te identificeren die moeten worden bewaard of uitgesloten van de transformatie:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

De query kijkt specifiek naar beleid voor voorwaardelijke toegang dat resulteert in een succes of mislukking. Andere waarden die u in de query kunt opnemen, zijn onder andere notApplied, reportOnlySuccess, reportOnlyFailureen reportOnlyNotAppliednotEnabled.

De regel voor gegevensverzameling (DCR) maken voor aanmeldingslogboeken:

  1. Meld u aan bij Azure Portal als minimaal bewakingsbijdrager.
  2. Blader naar Log Analytics-werkruimten en selecteer uw werkruimte.
  3. Ga naarInstellingentabellen>> en selecteer SignInLogs.
  4. Open het menu aan de rechterkant en selecteer Transformatie maken.
  5. Volg de aanwijzingen om de transformatie te maken en selecteer transformatie-editor om een van de details in de transformatie te wijzigen.

Zodra de transformatie is gemaakt en geïmplementeerd, moet de werkmap voor voorwaardelijke toegang en rapportage sneller worden geladen. De transformatie is alleen van toepassing op nieuwe aanmeldingslogboeken die zijn opgenomen nadat de transformatie is gemaakt. Andere werkmappen die ook gegevens uit deze tabel gebruiken, worden door de transformatie beïnvloed.

Houd er rekening mee dat als u bepaalde beleidsresultaten uitsluit van de transformatie, u geen van deze resultaten in de werkmap ziet zodra de transformatie wordt uitgevoerd.

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder voor voorwaardelijke toegang.
  2. Blader naar Entra ID>Voorwaardelijke Toegang>Beleid.
  3. Selecteer een bestaand beleid of maak een nieuw beleid.
  4. Stel de wisselknop onder Beleid inschakelen in op de modus Alleen-rapportage.
  5. Selecteer Opslaan

Aanbeveling

Als u de beleidsstatus Inschakelen van een bestaand beleid van Aan naar Alleen rapporteren bewerkt, wordt bestaande beleidsafdwinging uitgeschakeld.

Probleemoplossingsproces

Waarom mislukken query's vanwege een machtigingsfout?

Voor toegang tot de werkmap hebt u de juiste machtigingen in Microsoft Entra ID en Log Analytics nodig. Als u wilt testen of u over de juiste werkruimtemachtigingen beschikt door een voorbeeldquery voor Log Analytics uit te voeren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
  2. Blader naar Entra ID>Monitoring & Health>Log Analytics.
  3. Typ SigninLogs in het queryvak en selecteer Uitvoeren.
  4. Als de query geen resultaten retourneert, is uw werkruimte mogelijk niet juist geconfigureerd.

Schermopname van het oplossen van problemen met mislukte query's.

Zie het artikel Microsoft Entra-logboeken integreren met Azure Monitor-logboeken voor meer informatie over het streamen van Microsoft Entra-aanmeldingslogboeken naar een Log Analytics-werkruimte.

Waarom mislukken de query's in de werkmap?

Gebruikers merken dat query's soms mislukken als de verkeerde of meerdere werkruimten aan de werkmap zijn gekoppeld. Als u dit probleem wilt oplossen, selecteert u Bewerken boven aan de werkmap en vervolgens het tandwiel Instellingen. Selecteer en verwijder vervolgens werkruimten die niet aan de werkmap zijn gekoppeld. Er mag slechts één werkruimte zijn gekoppeld aan elke werkmap.

Waarom is de parameter voor beleid voor voorwaardelijke toegang leeg?

De lijst met beleidsregels wordt gegenereerd door te kijken naar de beleidsregels die zijn geëvalueerd voor de meest recente aanmeldingsgebeurtenis. Als uw tenant geen recente aanmeldingen bevat, moet u mogelijk enkele minuten wachten totdat de werkmap de lijst met beleidsregels voor voorwaardelijke toegang laadt. Lege resultaten kunnen direct na het configureren van Log Analytics plaatsvinden of als een tenant geen recente aanmeldingsactiviteit heeft.

Waarom duurt het lang voordat de werkmap is geladen of nul resultaten retourneert?

Afhankelijk van het geselecteerde tijdsbereik en de grootte van uw tenant, kan de werkmap een buitengewoon groot aantal aanmeldingsgebeurtenissen evalueren. Voor grote tenants kan het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijden. Probeer het tijdsbereik te verkorten tot 4 uur en kijk of de werkmap wordt geladen. Raadpleeg de sectie Werkmapprestaties verbeteren voor meer informatie over het verbeteren van de prestaties.

Kan ik mijn parameterselecties opslaan of de werkmap aanpassen?

U kunt uw parameterselecties opslaan en de werkmap bovenin aanpassen. Blader naar Entra IDMonitoring & GezondheidWerkboekenInzichten en rapportage voor voorwaardelijke toegang. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of gedeelde rapporten. Als u de query's wilt bewerken, selecteert u Bewerken boven aan de werkmap.

Gerelateerde inhoud