如何将 Azure Monitor 工作簿用于 Azure Active Directory 报表

重要

为优化此工作簿中的基础查询,请单击“编辑”,单击“设置”图标,然后选择要在其中运行这些查询的工作区。 默认情况下,工作簿将选择要在其中路由 Azure AD 日志的所有工作区。

是否希望:

  • 了解条件访问策略对用户登录体验的影响?

  • 排查登录失败问题,以更好地了解组织的登录运行状况并快速解决问题?

  • 知道谁在使用旧式身份验证登录环境? (通过阻止旧式身份验证,可以改进对租户的保护。)

  • 是否需要了解条件访问策略在租户中所造成的影响?

  • 是否希望能够查看以下内容:登录日志查询、报告获得或未获得访问权限的用户数,以及访问资源时绕过条件访问策略的用户数的工作簿?

  • 是否需要深入了解:条件访问、每个条件的工作簿详细信息,以便根据条件将策略的影响置于背景中考虑,包括设备平台、设备状态、客户端应用、登录风险、位置和应用程序?

  • 存档和报告超过一年的历史应用程序角色和访问包分配活动

为帮助解决这些问题,Azure Active Directory 提供了用于监视的工作簿。 Azure Monitor工作簿 将文本、分析查询、指标和参数合并到丰富的交互式报表。

本文:

先决条件

要使用 Monitor 工作簿,需要:

  • 拥有高级 (P1 或 P2) 许可证的 Azure Active Directory 租户。 了解如何获得高级许可证

  • Log Analytics 工作区

  • 对 Log Analytics 工作区的访问权限

  • Azure Active Directory 中的以下角色(如果要通过 Azure Active Directory 门户访问 Log Analytics)

    • 安全管理员
    • 安全读取者
    • 报告读取者
    • 全局管理员

角色

必须是以下角色之一,并且可以访问基础 Log Analytics 工作区以管理工作簿:

  • 全局管理员
  • 安全管理员
  • 安全读取者
  • 报告读取者
  • 应用程序管理员

工作簿访问

要访问工作簿,请执行以下操作:

  1. 登录 Azure 门户

  2. 导航到Azure Active Directory工作簿 "

  3. 选择报表或模板,或在工具栏上选择“打开”。

在 Azure AD 中查找 Azure Monitor 工作簿

登录分析

要访问登录分析工作簿,请选择“使用情况”部分的“登录” 。

此工作簿显示以下登录趋势:

  • 所有登录

  • Success

  • 挂起的用户操作

  • 失败

可以按以下类别筛选每个趋势:

  • 时间范围

  • 应用

  • 用户

登录分析

对于每个趋势,可以按以下类别进行细分:

  • 位置

    登录情况(按位置)

  • 设备

    登录情况(按设备)

使用旧式身份验证进行的登录

要通过访问工作簿来了解使用旧式身份验证的登录情况,请在“使用情况”部分,选择“使用旧式身份验证登录” 。

此工作簿显示以下登录趋势:

  • 所有登录

  • Success

可以按以下类别筛选每个趋势:

  • 时间范围

  • 应用

  • 用户

  • 协议

登录情况(按旧式身份验证)

对于每个趋势,可以按应用和协议进行细分。

旧式身份验证登录情况(按应用和协议)

登录情况(按条件访问)

要通过访问工作簿来了解按条件访问策略划分的登录情况,请在“条件访问”部分,选择“登录情况(按条件访问)” 。

此工作簿显示已禁用登录的趋势。可以按以下类别筛选每个趋势:

  • 时间范围

  • 应用

  • 用户

使用条件性访问登录

对于已禁用登录,可以按条件访问状态进行细分。

屏幕截图显示了条件访问状态和最近的登录。

条件访问见解

概述

工作簿包含登录日志查询,可帮助 IT 管理员监视条件访问策略在租户中所造成的影响。 你可以报告已获得或未获得访问权限的用户数。 该工作簿记录了在登录时根据这些用户属性绕过条件访问策略的用户数。 它包含每个条件的详细信息,以便根据条件将策略的影响置于背景中考虑,包括设备平台、设备状态、客户端应用、登录风险、位置和应用程序。

Instructions

要访问工作簿以获取条件访问见解,请在“条件访问”部分,选择“条件访问见解”工作簿。 该工作簿显示每个条件访问策略在租户中所造成的预期影响。 从下拉列表中选择一个或多个条件访问策略,并应用以下筛选器缩小工作簿的范围:

  • 时间范围

  • 用户

  • 应用

  • 数据视图

屏幕截图显示了“条件访问”窗格,可在其中选择条件访问策略。

影响摘要显示所选策略对其产生特定结果的用户或登录数。 总计是在所选时间范围内评估所选策略的用户或登录次数。 单击磁贴可以按该结果类型筛选工作簿中的数据。

屏幕截图显示了用于筛选结果(如“总计”、“成功”和“失败”)的磁贴。

该工作簿还按以下六项条件细分显示所选策略造成的影响:

  • 设备状态
  • 设备平台
  • 客户端应用
  • 登录风险
  • 位置
  • 应用程序

屏幕截图显示了“登录总数”筛选器中的详细信息。

你还可以调查按工作簿中所选参数进行筛选的单个登录。 搜索按登录频率排序的单个用户,并查看其相应的登录事件。

屏幕截图显示了可以查看的单个登录。

登录情况(按授权控制)

要通过访问工作簿来了解按授权控制划分的登录情况,请在“条件访问”部分,选择“登录情况(按授权控制)” 。

此工作簿显示以下已禁用登录趋势:

  • 要求 MFA

  • 需要使用条款

  • 需要隐私声明

  • 其他

可以按以下类别筛选每个趋势:

  • 时间范围

  • 应用

  • 用户

登录情况(按授权控制)

对于每个趋势,可以按应用和协议进行细分。

最近登录情况的细分

登录失败分析

使用“登录失败分析”工作簿解决以下情况中的错误:

  • 登录
  • 条件访问策略
  • 旧式身份验证

要访问按条件访问数据划分的登录情况,请在“排除故障”部分,选择“使用旧式身份验证登录” 。

此工作簿显示以下登录趋势:

  • 所有登录

  • Success

  • 挂起的操作

  • 失败

可以按以下类别筛选每个趋势:

  • 时间范围

  • 应用

  • 用户

登录故障排除

为帮助对登录进行故障排除,Azure Monitor 按以下类别进行了细分:

  • 最常见的错误

    最常见错误摘要

  • 用户操作时登录等待

    用户操作时登录等待的摘要

后续步骤