概述
条件访问通过在正确的情况下应用适当的安全访问控制来帮助组织保持安全。 了解这些策略的影响具有挑战性,尤其是在部署新策略时。 本文介绍如何使用仅报告模式和其他工具分析条件访问策略的影响。
管理员可以基于仅报告模式选择多个选项。 仅报告模式是一种策略状态,允许管理员在启用之前测试大多数条件访问策略。
- 管理员可以在仅报告模式下评估条件访问策略,“用户作”范围中包含的项目除外。
- 在登录期间,系统以仅报告模式评估策略,但不强制实施这些策略。
- 结果记录在登录日志详细信息的“条件访问”和“仅限报告”选项卡中。
- 具有Azure Monitor订阅的客户可以使用条件访问见解工作簿监视其条件访问策略的影响。
警告
仅报告模式下要求合规设备的策略可以提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可以重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除 Mac、iOS 和 Android 设备平台。
策略评估结果
评估给定登录的策略时,可能会产生以下几种结果:
| 结果 | Description |
|---|---|
| 仅限报告:成功 | 满足所有配置的策略条件、所需的非交互式授权控制和会话控制。 例如,多重身份验证要求由令牌中已存在的 MFA 声明满足,或者通过对合规设备执行设备检查来满足合规设备策略。 |
| 仅限报告:失败 | 满足所有配置的策略条件,但并非所有必需的非交互式授予控件或会话控件都已满足。 例如,策略适用于配置了阻止控件的用户,或者未通过符合设备策略的设备。 |
| 仅限报告:需要执行用户操作 | 满足所有配置的策略条件,但需要用户操作才能满足所需的授权控制或会话控制。 使用仅报告模式时,系统不会提示用户满足所需的控件。 例如,不会提示用户提出多重身份验证质询或使用条款。 |
| 仅限报告:不适用 | 并非所有配置的策略条件都已满足。 例如,用户从策略中排除,或策略仅适用于某些受信任的命名位置。 |
| 成功 | 策略适用、要求满足且策略允许继续登录的登录事件。 登录可能仍被其他策略阻止。 |
| Failure | 应用了策略、未满足要求且策略将阻止登录的登录事件。 这可能是出于设计原因,例如当来自特定位置的登录被阻止时;也可能是由于策略配置错误而导致的意外情况。 |
| 未应用 | 未应用策略(例如用户被排除在外)的登录事件。 |
查看结果
管理员可以使用多个选项查看其环境中策略的潜在结果:
- 工作簿
- 登录日志
- 策略影响(预览版)
策略影响
条件访问的策略影响视图允许至少具有安全读取者角色的管理员查看组织中策略对交互式登录的潜在或现有影响的快照。 可以浏览过去 24 小时、7 天或 1 个月的影响。 您还可以查看登录事件的样本,并将其链接以获取更多详细信息。
工作簿
管理员可以在仅报告模式下创建多个策略,因此必须同时了解每个策略的单独影响和评估多个策略的组合影响。 条件访问见解和报告工作簿使管理员能够可视化条件访问策略、查询和监视策略对特定时间范围、应用程序和用户的影响。 管理员可以自定义工作簿以满足其需求。
登录日志
若要更深入地评估特定登录时的条件访问策略及其应用程序,管理员可能会调查单个登录事件。 每个事件都包含有关在仅报告模式下启用哪些条件访问策略、应用或未应用的条件访问策略的详细信息。
使用这些选项
确认设置后,使用策略影响模式或仅报告模式,将“启用策略”开关从 “仅报告” 切换到 “打开”。
在强制实施之前比较和验证策略
仅报告模式是一种有价值的工具,用于在强制实施策略更改之前逐步验证策略更改。 使用以下做法来降低意外访问中断的风险:
- 与强制策略一起测试新策略。 在以仅报告模式创建新策略的同时,现有强制实施的策略继续生效。 这种方式可让你在不影响用户访问的情况下,观察新策略 会 产生什么效果。 在将策略切换到强制实施状态之前,请在登录日志中查看“仅报告”结果,以确认策略行为符合预期。
- 比较 Insights 工作簿中的结果。 使用 条件访问见解和报告工作簿 可针对特定时间范围、应用程序和用户并排查看仅报告和强制实施的策略结果。 此比较有助于确定新策略将在这些更改生效之前更改访问决策的位置。 该工作簿需要 Microsoft Entra ID P1,以及一个正在接收登录日志的 Log Analytics 工作区;有关详细信息,请参阅工作簿先决条件。
- 验证对现有策略的更改。 在修改已强制实施的策略之前,请先根据您建议的更改,以仅报告模式创建一个副本。 将仅报告副本的结果与原始强制策略进行比较,以验证预期效果。 确认无误后,请更新强制实施的策略并删除该副本。
注意
仅报告模式评估策略,但不强制实施授予控件或会话控件。 系统不会提示用户进行多重身份验证或被仅报告策略阻止。 某些限制适用,例如使用 用户操作 范围的策略。 有关详细信息,请参阅本文中的 策略评估结果 。
相关内容
- 了解如何 在条件访问策略上配置仅报告模式。