在 Microsoft Entra 活动日志中查看已应用的条件访问详细信息

借助条件访问策略,可以控制用户如何访问 Azure 和 Microsoft Entra 资源。 作为租户管理员,你需要能够确定条件访问策略对租户登录的影响,以便在必要时采取措施。 可能还需要查看审核日志,了解条件访问策略的最近更改。

本文介绍如何在 Microsoft Entra 活动日志中查看已应用的条件访问策略。

先决条件

若要在日志中查看已应用的条件访问策略,管理员必须同时拥有查看日志和策略的权限。 可授予这两项权限的最低特权内置角色是安全性读者。 作为最佳做法,应将安全读者角色添加到相关的管理员帐户。

以下内置角色可授予读取条件访问策略的权限:

  • 安全读取者
  • 安全管理员
  • 条件访问管理员

以下内置角色可授予查看活动日志的权限

  • 报告读取者
  • 安全读取者
  • 安全管理员

权限

如果你使用某个客户端应用或 Microsoft Graph PowerShell 模块从 Microsoft Graph 拉取日志,则该应用需要拥有从 Microsoft Graph 接收 appliedConditionalAccessPolicy 资源的权限。 最佳做法是分配 Policy.Read.ConditionalAccess,因为这是最低特权。

以下权限允许客户端应用通过 Microsoft Graph 访问活动日志和日志中任何应用的条件访问策略:

  • Policy.Read.ConditionalAccess
  • Policy.ReadWrite.ConditionalAccess
  • Policy.Read.All
  • AuditLog.Read.All
  • Directory.Read.All

若要使用 Microsoft Graph PowerShell 模块,还需要具有以下具有必要访问权限的最低特权权限:

  • 若要同意必要的权限:Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
  • 若要查看登录日志:Get-MgAuditLogSignIn
  • 查看审核日志:Get-MgAuditLogDirectoryAudit

有关详细信息,请参阅 Get-MgAuditLogSignInGet-MgAuditLogDirectoryAudit

条件访问和登录日志场景

作为 Microsoft Entra 管理员,可以使用登录日志来:

  • 排查登录问题。
  • 检查功能性能。
  • 评估租户的安全性。

某些方案要求你了解条件访问策略如何应用于登录事件。 常见示例包括:

  • 支持管理员,他们需要查看已应用的条件访问策略以了解策略是否是用户创建票证的根本原因。
  • “租户管理员”需要验证条件访问策略是否对租户用户产生了预期的影响。

可以通过 Microsoft Entra 管理中心、Azure 门户、Microsoft Graph 和 PowerShell 访问登录日志。

如何查看条件访问策略

提示

本文中的步骤可能因开始使用的门户而略有不同。

登录日志的活动详细信息包含多个选项卡。 “条件访问”选项卡列出了应用于该登录事件的条件访问策略。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“登录日志”。
  3. 从表中选择登录项以查看登录详细信息窗格。
  4. 选择“条件访问”选项卡。

如果看不到条件访问策略,请确认你使用的是同时提供对登录日志和条件访问策略的访问权限的角色。

条件访问和审核日志场景

Microsoft Entra 审核日志包含有关条件访问策略更改的信息。 可以使用审核日志来查明策略的创建、更新或删除时间。

查看现有条件访问策略的更新时间:

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。
  3. 将“服务”筛选器设置为“条件访问”
  4. 将“类别”筛选器设置为“策略”
  5. 将“活动”筛选器设置为“更新条件访问策略”

可能需要调整日期以查看要查找的更改。 “目标”列显示已更新的条件访问策略的名称

要将当前策略与上一个策略进行比较,请选择审核日志条目,然后选择“修改的属性”选项卡