条件访问通过在正确的情况下应用适当的安全访问控制来帮助组织保持安全。 了解这些策略的影响具有挑战性,尤其是在部署新策略时。 本文介绍如何使用仅报告模式和其他工具分析条件访问策略的影响。
管理员可以基于仅报告模式选择多个选项。 仅报告模式是一种策略状态,允许管理员在启用之前测试大多数条件访问策略。
- 管理员可以在仅报告模式下评估条件访问策略,“用户作”范围中包含的项目除外。
- 在登录期间,系统以仅报告模式评估策略,但不强制实施这些策略。
- 结果记录在登录日志详细信息的“条件访问”和“仅限报告”选项卡中。
- 具有 Azure Monitor 订阅的客户可以使用条件访问见解工作簿来监视其条件访问策略的影响。
警告
仅报告模式下要求合规设备的策略可以提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可以重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除 Mac、iOS 和 Android 设备平台。
策略评估结果
评估给定登录的策略时,可能会产生以下几种结果:
| 结果 | DESCRIPTION |
|---|---|
| 仅限报告:成功 | 满足所有配置的策略条件、所需的非交互式授权控制和会话控制。 例如,多重身份验证要求由令牌中已存在的 MFA 声明满足,或者通过对合规设备执行设备检查来满足合规设备策略。 |
| 仅限报告:失败 | 满足所有配置的策略条件,但并非所有必需的非交互式授予控件或会话控件都已满足。 例如,策略适用于配置了阻止控件的用户,或者未通过符合设备策略的设备。 |
| 仅限报告:需要执行用户操作 | 满足所有配置的策略条件,但需要用户操作才能满足所需的授权控制或会话控制。 使用仅报告模式时,系统不会提示用户满足所需的控件。 例如,不会提示用户提出多重身份验证质询或使用条款。 |
| 仅限报告:不适用 | 并非所有配置的策略条件都已满足。 例如,用户从策略中排除,或策略仅适用于某些受信任的命名位置。 |
| 成功 | 策略适用、要求满足且策略允许继续登录的登录事件。 登录可能仍被其他策略阻止。 |
| 失败 | 应用了策略、未满足要求且策略将阻止登录的登录事件。 这可能是出于设计原因,例如当来自特定位置的登录被阻止时;也可能是由于策略配置错误而导致的意外情况。 |
| 未应用 | 未应用策略(例如用户被排除在外)的登录事件。 |
查看结果
管理员可以使用多个选项查看其环境中策略的潜在结果:
- 工作簿
- 登录日志
- 策略影响(预览版)
策略影响
条件访问的策略影响视图允许至少具有安全读取者角色的管理员查看组织中策略对交互式登录的潜在或现有影响的快照。 可以浏览过去 24 小时、7 天或 1 个月的影响。 您还可以查看登录事件的样本,并将其链接以获取更多详细信息。
工作簿
管理员可以在仅报告模式下创建多个策略,因此必须同时了解每个策略的单独影响和评估多个策略的组合影响。 条件访问见解和报告工作簿使管理员能够可视化条件访问策略、查询和监视策略对特定时间范围、应用程序和用户的影响。 管理员可以自定义工作簿以满足其需求。
登录日志
若要更深入地评估特定登录时的条件访问策略及其应用程序,管理员可能会调查单个登录事件。 每个事件都包含有关在仅报告模式下启用哪些条件访问策略、应用或未应用的条件访问策略的详细信息。
使用这些选项
使用 策略影响或仅报告模式确认设置后,将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。
相关内容
- 了解如何 在条件访问策略上配置仅报告模式。