Dela via

Självstudie: Skapa en anpassad arbetsbok för Microsoft Entra-ID

I den här tutorialen lär du dig följande:

  • Skapa en anpassad arbetsbok
  • Lägga till en fråga i en befintlig arbetsboksmall

Förutsättningar

Om du vill analysera aktivitetsloggar med Log Analytics behöver du följande roller och krav:

Om du inte redan har skapat en Log Analytics-arbetsyta slutför du självstudien Konfigurera Log Analytics-arbetsyta .

Skapa en anpassad arbetsbok

Förutom att köra frågor mot data med Kusto Query Language (KQL) kan du skapa en anpassad arbetsbok för ytterligare analys och aviseringar. Den minst privilegierade rollen för att skapa eller uppdatera en arbetsbok är rollen Säkerhetsadministratör .

  1. Bläddra till Entra IDÖvervakning & hälsaArbetsböcker.

  2. I avsnittet Snabbstart väljer du Tom.

    Skärmbild av den tomma arbetsboken i avsnittet Snabbstart.

  3. På menyn Lägg till väljer du Lägg till text.

    Skärmbild av alternativet Lägg till textmeny.

  4. I textrutan anger du # Client apps used in the past week och väljer Klar redigering.

    Skärmbild som visar texten och knappen Klar redigering.

  5. Öppna menyn Lägg till under textfönstret och välj Lägg till fråga.

    Skärmbild av menyalternativet Lägg till fråga.

  6. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed

  7. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga.

  8. I verktygsfältet går du till visualiseringsmenyn och väljer Cirkeldiagram.

    Skärmbild som visar menyalternativet Cirkeldiagram.

  9. Välj Klar redigering överst på sidan.

  10. Välj ikonen Spara för att spara arbetsboken.

  11. I dialogrutan som visas anger du en rubrik, väljer en resursgrupp och väljer Tillämpa.

Lägga till en fråga i en arbetsboksmall

Du kan lägga till Kusto-frågor i arbetsboken. Exemplet baseras på en fråga som visar fördelningen av lyckade och misslyckade inloggningar med tillämpade principer för villkorsstyrd åtkomst. Den minst privilegierade rollen för att skapa eller uppdatera en arbetsbok är rollen Säkerhetsadministratör .

  1. Bläddra till Entra IDÖvervakning & hälsaArbetsböcker.

  2. I avsnittet Villkorsstyrd åtkomst väljer du Insikter och rapportering för villkorsstyrd åtkomst.

    Skärmbild som visar alternativet Insikter och rapportering för villkorsstyrd åtkomst.

  3. I verktygsfältet väljer du Redigera.

    Skärmbild som visar knappen Redigera.

  4. I verktygsfältet väljer du de tre punkterna bredvid knappen Redigera, sedan Lägg till och sedan Lägg till fråga.

    Lägg till arbetsboksfråga

  5. I textrutan fråga anger du: SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus

  6. Välj Kör fråga.

    Skärmbild som visar knappen Kör fråga för att köra den här frågan.

  7. På menyn Tidsintervall väljer du Ange i fråga.

  8. På visualiseringsmenyn väljer du Stapeldiagram.

  9. Välj Avancerade inställningar.

    Skärmbild av alternativen för tidsintervall, visualisering och avancerade inställningar.

  10. I fältet Diagramrubrik anger du Conditional Access status over the last 20 days och väljer Klar redigering.

    Ange diagrammets titel

Diagrammet för dina lyckade och misslyckade fall av villkorlig åtkomst visar en färgkodad ögonblicksbild av din klient.

Relaterat innehåll