在 Microsoft Entra 登录日志中查看已应用的条件访问策略
借助条件访问策略,可以控制用户如何访问 Azure 租户的资源。 作为租户管理员,你需要能够确定条件访问策略对租户登录的影响,以便在必要时采取措施。
Microsoft Entra ID 中的登录日志提供了评估策略影响所需的信息。 本文介绍如何在这些日志中查看已应用的条件访问策略。
先决条件
若要在登录日志中查看已应用的条件访问策略,管理员必须同时拥有查看日志和策略的权限。 可授予这两项权限的最低特权内置角色是安全性读者。 作为最佳做法,应将安全读者角色添加到相关的管理员帐户。
以下内置角色可授予读取条件访问策略的权限:
- 安全读取者
- 全局读取者
- 安全管理员
- 条件访问管理员
以下内置角色可授予查看登录日志的权限:
- 报告读者
- 安全读取者
- 全局读取者
- 安全管理员
客户端应用的权限
如果你使用某个客户端应用从 Microsoft Graph 拉取登录日志,则该应用需要拥有从 Microsoft Graph 接收 appliedConditionalAccessPolicy 资源的权限。 最佳做法是分配 Policy.Read.ConditionalAccess,因为这是最低特权。
以下任何权限都足以让客户端应用通过 Microsoft Graph 访问登录日志中已应用的条件访问策略:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
PowerShell 的权限
与任何其他客户端应用一样,Microsoft Graph PowerShell 模块需要拥有客户端权限才能访问登录日志中已应用的条件访问策略。 若要在登录日志中成功拉取已应用的条件访问策略,必须使用 Microsoft Graph PowerShell 的管理员帐户同意必要的权限。 最佳做法是同意:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
以下权限是拥有必要访问权限的最低特权:
- 若要同意必要的权限:
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - 若要查看登录日志:
Get-MgAuditLogSignIn
有关此 cmdlet 的详细信息,请参阅 Get-MgAuditLogSignIn。
条件访问和登录日志场景
作为 Microsoft Entra 管理员,可以使用登录日志来:
- 排查登录问题。
- 检查功能性能。
- 评估租户的安全性。
某些方案要求你了解条件访问策略如何应用于登录事件。 常见示例包括:
支持管理员,他们需要查看已应用的条件访问策略以了解策略是否是用户创建票证的根本原因。
“租户管理员”需要验证条件访问策略是否对租户用户产生了预期的影响。
可以通过 Microsoft Entra 管理中心、Azure 门户、Microsoft Graph 和 PowerShell 访问登录日志。
查看 Microsoft Entra 登录日志的条件访问策略
提示
本文中的步骤可能因开始使用的门户而略有不同。
登录日志的活动详细信息包含多个选项卡。 “条件访问”选项卡列出了应用于该登录事件的条件访问策略。
- 至少以全局读者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“登录日志”。
- 从表中选择登录项以查看登录详细信息窗格。
- 选择“条件访问”选项卡。
如果看不到条件访问策略,请确认你使用的是同时提供对登录日志和条件访问策略的访问权限的角色。