如何将 Azure Monitor 工作簿用于 Azure Active Directory 报表

项目
12/03/2021

重要

为优化此工作簿中的基础查询，请单击“编辑”，单击“设置”图标，然后选择要在其中运行这些查询的工作区。默认情况下，工作簿将选择要在其中路由 Azure AD 日志的所有工作区。

是否希望：

了解条件访问策略对用户登录体验的影响？
排查登录失败问题，以更好地了解组织的登录运行状况并快速解决问题？
知道谁在使用旧式身份验证登录环境？（通过阻止旧式身份验证，可以改进对租户的保护。）
是否需要了解条件访问策略在租户中所造成的影响？
是否希望能够查看以下内容：登录日志查询、报告获得或未获得访问权限的用户数，以及访问资源时绕过条件访问策略的用户数的工作簿？
是否需要深入了解：条件访问、每个条件的工作簿详细信息，以便根据条件将策略的影响置于背景中考虑，包括设备平台、设备状态、客户端应用、登录风险、位置和应用程序？
存档和报告超过一年的历史应用程序角色和访问包分配活动？

为帮助解决这些问题，Azure Active Directory 提供了用于监视的工作簿。 Azure Monitor工作簿将文本、分析查询、指标和参数合并到丰富的交互式报表。

本文：

假设你熟悉如何使用 Monitor 工作簿创建交互式报表。
介绍如何使用 Monitor 工作簿了解条件访问策略的效果，以排查登录失败并识别旧式身份验证。

先决条件

要使用 Monitor 工作簿，需要：

拥有高级 (P1 或 P2) 许可证的 Azure Active Directory 租户。了解如何获得高级许可证。
Log Analytics 工作区。
对 Log Analytics 工作区的访问权限
Azure Active Directory 中的以下角色（如果要通过 Azure Active Directory 门户访问 Log Analytics）
- 安全管理员
- 安全读取者
- 报告读取者
- 全局管理员

角色

必须是以下角色之一，并且可以访问基础 Log Analytics 工作区以管理工作簿：

全局管理员
安全管理员
安全读取者
报告读取者
应用程序管理员

工作簿访问

要访问工作簿，请执行以下操作：

登录 Azure 门户。
导航到Azure Active Directory工作簿 "。
选择报表或模板，或在工具栏上选择“打开”。

在 Azure AD 中查找 Azure Monitor 工作簿

要访问登录分析工作簿，请选择“使用情况”部分的“登录” 。

此工作簿显示以下登录趋势：

所有登录
Success
挂起的用户操作
失败

可以按以下类别筛选每个趋势：

时间范围
应用
用户

登录分析

对于每个趋势，可以按以下类别进行细分：

位置
设备

使用旧式身份验证进行的登录

要通过访问工作簿来了解使用旧式身份验证的登录情况，请在“使用情况”部分，选择“使用旧式身份验证登录” 。

此工作簿显示以下登录趋势：

所有登录
Success

可以按以下类别筛选每个趋势：

时间范围
应用
用户
协议

登录情况（按旧式身份验证）

对于每个趋势，可以按应用和协议进行细分。

旧式身份验证登录情况（按应用和协议）

登录情况（按条件访问）

要通过访问工作簿来了解按条件访问策略划分的登录情况，请在“条件访问”部分，选择“登录情况(按条件访问)” 。

此工作簿显示已禁用登录的趋势。可以按以下类别筛选每个趋势：

时间范围
应用
用户

使用条件性访问登录

对于已禁用登录，可以按条件访问状态进行细分。

屏幕截图显示了条件访问状态和最近的登录。

条件访问见解

概述

工作簿包含登录日志查询，可帮助 IT 管理员监视条件访问策略在租户中所造成的影响。你可以报告已获得或未获得访问权限的用户数。该工作簿记录了在登录时根据这些用户属性绕过条件访问策略的用户数。它包含每个条件的详细信息，以便根据条件将策略的影响置于背景中考虑，包括设备平台、设备状态、客户端应用、登录风险、位置和应用程序。