条件访问洞察和报告

使用条件访问见解和报告工作簿，可以了解条件访问策略在一定时间段内在组织中的影响。 在登录期间，可能会应用一个或多个条件访问策略；如果满足某些授权控制，就会授予访问权限，否则就会拒绝访问。 由于在每次登录期间可能会评估多个条件访问策略，因此见解和报告工作簿可便于检查单个策略或所有策略的子集的影响。

先决条件

若要启用分析和报告工作簿，租户必须具有：

• Log Analytics工作区，用于保留登录日志数据和对该工作区的访问权限。
• Microsoft Entra ID P1 许可证授权使用条件访问。

用户必须至少分配安全读取者角色，并且分配Log Analytics工作区的Contributor角色。

将登录日志从Microsoft Entra ID流式传输到Azure Monitor日志

如果尚未将Microsoft Entra日志与Azure Monitor日志集成，则您必须将Microsoft Entra日志与Azure Monitor日志集成。

工作原理

若要访问见解和报告工作簿，请执行以下操作：

1. 登录到 Microsoft Entra 管理中心，至少拥有 Security Reader 身份，并拥有访问 Log Analytics 工作区的适当权限。
2. 浏览到 Entra ID>条件访问>洞察和报告。

入门：选择参数

通过见解和报告仪表板，可以查看一个或多个条件访问策略在指定时间段内的影响。 首先，设置工作簿顶部的每个参数。

条件访问策略：若要查看其组合影响，请选择一个或多个条件访问策略。 策略分为两个组： “已启用” 和 “仅报告 ”策略。 默认情况下，选择所有 已启用 的策略。 当前在您租户中强制执行的策略是这些策略。

时间范围：选择时间范围，介于 4 小时到 90 天之间。 如果您选择的时间范围早于将 Microsoft Entra 日志与 Azure Monitor 集成的时间，则仅会显示集成时间之后的登录记录。

用户：默认情况下，仪表板显示所选策略对所有用户的影响。 若要按单个用户进行筛选，请在文本字段中键入用户名。 若要按所有用户进行筛选，请在文本字段中键入“所有用户”或将参数留空。

应用：默认情况下，仪表板显示所选策略对所有应用的影响。 若要按单个应用进行筛选，请在文本字段中键入应用名称。 若要按所有应用进行筛选，请在文本字段中键入“所有应用”或将参数留空。

数据视图：选择是否希望仪表板根据用户数或登录数显示结果。单个用户可能具有数百个登录，这些应用在给定的时间范围内具有许多不同的结果。 如果选择将数据视图设为用户视图，则用户可以同时包含在成功和失败的计数中。 例如，如果有 10 个用户，其中有 8 个用户在过去 30 天内的结果可能为成功，有 9 个用户在过去 30 天内的结果可能为失败。

影响摘要

设置参数后， “影响”摘要 将加载。 此摘要显示在评估所选策略时，在时间范围内有多少用户或登录的结果为“成功”、“失败”、“需要用户操作”或“未应用”。

总计：在评估至少一个所选策略的时间段内的用户数量或登录次数。

成功：在所选时间段内，策略的合并结果为“成功”或“仅报告：成功”的用户数或登录次数。

失败：在时间段内至少一个所选策略的结果为“失败”或“仅限报告:失败”的用户数或登录数。

需要用户操作：在时间段内所选策略的合并结果为“仅限报告:需要用户操作”的用户数或登录数。 需要交互式授予控制（例如多重身份验证）时，需要执行用户操作。 由于交互式授权控制不是由“仅限报告”策略强制执行的，因此无法确定成功或失败。

未应用：在未应用所选策略的时间段内用户或登录数。

了解影响

查看每个条件对应的用户或登录明细。 可以通过选择工作簿顶部的摘要磁贴之一来筛选特定登录结果（例如，“成功”或“失败”）。 可以查看每个条件访问条件对应的登录明细：设备状态、设备平台、客户端应用、位置、应用和登录风险。

登录详细信息

您还可以通过在仪表板底部的搜索功能中查看登录记录，来调查特定用户的登录信息。 查询显示最常登录的用户。 选择某个用户会筛选查询。

提高工作簿性能

标准条件访问见解和报告工作簿可以通过默认设置捕获大量信息。 捕获的数据量可能会影响工作簿的性能，因此某些查询可能需要更长的时间才能加载甚至超时。若要提高性能，可以在Azure Monitor中创建转换。

在继续执行此可选步骤之前，请查看 Azure Monitor 中的 Transformation 一文，以了解概述和成本注意事项。

若要确定要保留或排除转换的结果，请在 Log Analytics 中使用以下 Kusto 查询：

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies 

查询专门查看导致成功或失败的条件访问策略。 可以在查询中包含的其他值包括notApplied、reportOnlySuccess、reportOnlyFailure和reportOnlyNotAppliednotEnabled。

若要为登录日志创建数据收集规则（DCR）：

1. 登录到 Azure 门户，至少作为 监视参与者。
2. 浏览到 Log Analytics 工作区并选择工作区。
3. 转到“设置表”，选择 SignInLogs。
4. 打开右侧的菜单，然后选择“ 创建转换”。
5. 按照提示创建转换，选择 “转换编辑器 ”以更改转换中包含的任何详细信息。

成功创建和部署转换后，条件访问见解和报告工作簿的加载速度应更快。 该转换仅适用于在创建转换后引入的新登录日志。 从该表中提取数据的其他工作簿也会受到此转换的影响。

请记住，如果从转换中排除某些策略结果，则转换运行后，工作簿中不会显示任何这些结果。

在仅限报告模式下配置条件访问策略

若要在仅限报告模式下配置条件访问策略，请执行以下操作：

1. 登录到 Azure 门户，作为至少 条件访问管理员。
2. 浏览到 Microsoft Entra ID>安全性>条件访问>策略。
3. 选择现有策略或创建新策略。
4. 在“启用策略”下将切换设置为“仅限报告”模式 。
5. 选择“保存”

Troubleshooting

由于权限错误导致查询失败的原因是什么？

若要访问工作簿，需要在Microsoft Entra ID和Log Analytics中拥有适当的权限。 若要通过运行示例 Log Analytics 查询来测试你是否有适当的工作区权限，请完成以下步骤：

1. 请以至少 Security Reader 的身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>监控和健康>日志分析。
3. 将 SigninLogs 键入查询框中，然后选择“运行”。
4. 如果查询没有返回任何结果，则工作区可能配置不正确。

有关如何将 Microsoft Entra 登录日志流式传输到 Log Analytics 工作区的更多信息，请参阅文章 将 Microsoft Entra 日志与 Azure Monitor 日志集成。

为什么工作簿中的查询失败了？

客户注意到，如果工作簿与错误工作区或多个工作区相关联，查询有时会失败。 若要解决此问题，请选择工作簿顶部的“编辑”，然后选择“设置”齿轮。 选择与工作簿无关的工作区，然后将其删除。 每个工作簿应该只与一个工作区相关联。

为什么条件访问策略参数为空？

策略列表是通过查看针对最新登录事件进行评估的策略来生成的。 如果租户中没有最近的登录，您可能需要等待几分钟，以便工作簿加载条件访问策略列表。 配置 Log Analytics 后或租户没有最近的登录活动时，可能会立即出现空结果。

为什么工作簿加载或返回零结果需要很长时间？

工作簿中评估的登录事件数量可能会非常大，这取决于您所选的时间范围和租户的大小。 对于大型租户，登录量可能超过Log Analytics的查询容量。 请尝试将时间范围缩短至 4 个小时，然后查看工作簿是否加载。 有关如何提高性能的详细信息，请查看“ 提高工作簿性能 ”部分。

是否可以保存参数选择或自定义工作簿？

可以保存参数选择并在工作簿顶部自定义工作簿。 浏览到 Entra ID>监控和健康>工作簿>条件访问洞察和报告。 在这里，你将找到工作簿模板，可以在其中编辑工作簿，并将副本（包括所选的参数）保存到“我的报告”或“共享报告”中的工作区。 若要开始编辑查询，请选择工作簿顶部的“编辑”。

相关内容

• 条件访问报告专用模式

• 有关Microsoft Entra工作簿的详细信息，请参阅文章如何对Microsoft Entra报表使用Azure Monitor工作簿。

• 条件访问常见策略