Informazioni e report sull'accesso condizionale

La cartella di lavoro Analisi e report di Accesso condizionale consente di comprendere l'impatto dei criteri di accesso condizionale nella tua organizzazione nel corso del tempo. Durante l'accesso, è possibile applicare uno o più criteri di accesso condizionale, concedendo l'accesso se vengono soddisfatti alcuni controlli di concessione o negando l'accesso in caso contrario. Dato che durante ogni accesso possono essere valutati più criteri di accesso condizionale, la cartella di lavoro Informazioni dettagliate e report consente di esaminare l'impatto dei singoli criteri o di un sottoinsieme di tutti i criteri.

Prerequisiti

Per abilitare le informazioni dettagliate e la cartella di lavoro per la creazione di report, il tenant deve avere:

• Un'area di lavoro Log Analytics per conservare i dati dei log di accesso.
• Licenze di Microsoft Entra ID P1 per l'uso dell'accesso condizionale.

Agli utenti deve essere assegnato almeno il ruolo di Lettore di Sicurezza e il ruolo di Collaboratore dell'area di lavoro Log Analytics.

Eseguire lo streaming dei log di accesso da Microsoft Entra ID ai log di Monitoraggio di Azure

Se non si sono integrati i log di Microsoft Entra con i log di Monitoraggio di Azure, prima del caricamento della cartella di lavoro sarà necessario seguire questa procedura:

1. Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
2. Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Funzionamento

Per accedere alla cartella di lavoro Analisi e report:

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Lettore di sicurezza.
2. Passare a Entra ID>Accesso condizionale>Analisi e reportistica.

Introduzione: Selezionare i parametri

Il dashboard Informazioni dettagliate e report consente di visualizzare l'impatto di uno o più criteri di accesso condizionale in un periodo di tempo specificato. Per iniziare, impostare ognuno dei parametri nella parte superiore della cartella di lavoro.

Criteri di accesso condizionale: per visualizzare l'impatto combinato, selezionare uno o più criteri di accesso condizionale. Le politiche sono separate in due gruppi: abilitate e solo segnalazione. Per impostazione predefinita, vengono selezionati tutti i criteri abilitati . Queste politiche sono le politiche attualmente applicate nel tenant.

Intervallo di tempo: selezionare un intervallo di tempo compreso tra 4 ore e 90 giorni. Se si seleziona un intervallo di tempo più indietro rispetto a quando sono stati integrati i log di Microsoft Entra con Monitoraggio di Azure, vengono visualizzati solo gli accessi dopo l'ora di integrazione.

Utente: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutti gli utenti. Per filtrare un singolo utente, digitarne il nome nel campo di testo. Per filtrare in base a tutti gli utenti, digitare Tutti gli utenti nel campo di testo o lasciare vuoto il parametro.

App: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutte le app. Per filtrare una singola app, digitarne il nome nel campo di testo. Per filtrare in base a tutte le app, digitare Tutte le app nel campo di testo o lasciare vuoto il parametro.

Visualizzazione dati: selezionare se si vuole che il dashboard visualizzi i risultati in termini di numero di utenti o numero di accessi. Un singolo utente potrebbe avere centinaia di accessi a molte app con molti risultati diversi durante un determinato intervallo di tempo. Se si seleziona di visualizzare i dati come utenti, un utente potrebbe essere incluso sia nel conteggio dei Successi che in quello dei Fallimenti. Ad esempio, se sono presenti 10 utenti, 8 di essi potrebbero avere esito positivo negli ultimi 30 giorni e 9 di essi potrebbero avere un errore negli ultimi 30 giorni.

Riepilogo dell'impatto

Dopo aver impostato i parametri, viene caricato il riepilogo dell'impatto. Il riepilogo mostra il numero di utenti o accessi durante l'intervallo di tempo con esito positivo, negativo, azione utente richiesta o Non applicata quando i criteri selezionati sono stati valutati.

Totale: numero di utenti o accessi durante il periodo di tempo in cui è stato valutato almeno uno dei criteri selezionati.

Successo: Numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato delle politiche selezionate è stato Riuscito o Solo report: Successo.

Errore: Il numero di utenti o accessi durante il periodo di tempo in cui il risultato di almeno uno dei criteri selezionati fosse Errore o Errore solo nel report.

Azione dell'utente obbligatoria: numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati era Solo report: azione utente richiesta. L'intervento dell'utente è necessario quando è richiesto un controllo di concessione interattivo, ad esempio l'autenticazione a più fattori. Dato che i controlli di concessione interattivi non vengono applicati dai criteri in modalità solo report, non è possibile determinare l'esito positivo o negativo.

Non applicato: numero di utenti o accessi durante il periodo di tempo in cui nessuno dei criteri selezionati è stato applicato.

Informazioni sull'impatto

Visualizzare il dettaglio degli utenti o degli accessi per ognuna delle condizioni. È possibile filtrare gli accessi di un particolare risultato (ad esempio, successo o errore) selezionando uno dei riquadri riepilogo nella parte superiore del documento di lavoro. È possibile visualizzare il dettaglio degli accessi per ognuna delle condizioni di accesso condizionale: stato del dispositivo, piattaforma del dispositivo, app client, località, applicazione e rischio di accesso.

Dettagli di accesso

È anche possibile esaminare gli accessi di un utente specifico cercando gli accessi nella parte inferiore del dashboard. La query visualizza gli utenti più frequenti. Se si seleziona un utente, la query viene filtrata.

Migliorare le prestazioni della cartella di lavoro

Le informazioni dettagliate sull'accesso condizionale standard e la cartella di lavoro per la creazione di report possono acquisire una grande quantità di dati con le impostazioni predefinite. La quantità di dati acquisiti può influire sulle prestazioni della cartella di lavoro, in modo che alcune query possano richiedere più tempo per il caricamento o persino il timeout. Per migliorare le prestazioni, è possibile creare una trasformazione in Monitoraggio di Azure.

Prima di procedere con questo passaggio facoltativo, vedere l'articolo Trasformazione in Monitoraggio di Azure per una panoramica generale e considerazioni sui costi.

Per identificare i risultati da mantenere o escludere dalla trasformazione, usare la query Kusto seguente in Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies 

La query esamina in modo specifico i criteri di accesso condizionale che generano un esito positivo o negativo. Altri valori che è possibile includere nella query includono notApplied, reportOnlySuccess, reportOnlyFailure, reportOnlyNotAppliede notEnabled.

Per creare la regola di raccolta dati (DCR) per i log di accesso:

1. Accedere al portale di Azure come almeno collaboratore al monitoraggio.
2. Passare alle aree di lavoro Log Analytics e selezionare l'area di lavoro.
3. Passare a Impostazioni>Tabelle> selezionare SignInLogs.
4. Aprire il menu a destra e selezionare Crea trasformazione.
5. Seguire le istruzioni per creare la trasformazione, selezionando Editor trasformazione per modificare i dettagli inclusi nella trasformazione.

Dopo aver creato e distribuito correttamente la trasformazione, le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report devono essere caricate più velocemente. La trasformazione si applica solo ai nuovi log di accesso inseriti dopo la creazione della trasformazione. Altre cartelle di lavoro che estraggono dati da questa tabella sono interessate dalla trasformazione.

Tenere presente che se si escludono determinati risultati dei criteri dalla trasformazione, non verranno visualizzati i risultati nella cartella di lavoro dopo l'esecuzione della trasformazione.

Configurare criteri di accesso condizionale in modalità solo report

Per configurare criteri di accesso condizionale in modalità solo report:

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Passare a Entra ID>Criteri di Accesso Condizionale>.
3. Selezionare un criterio esistente o crearne uno nuovo.
4. In Abilita criterio, impostare l'interruttore su la modalità solo report.
5. Selezionare Salva

Risoluzione dei problemi

Perché le query hanno esito negativo a causa di un errore di autorizzazioni?

Per accedere alla cartella di lavoro, sono necessarie le autorizzazioni appropriate in Microsoft Entra ID e Log Analytics. Per verificare se si dispone delle autorizzazioni appropriate per l'area di lavoro eseguendo una query di Log Analytics di esempio:

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Security Reader.
2. Passare a Entra IDMonitoring & healthLog Analytics.
3. Digitare SigninLogs nella casella di query e selezionare Esegui.
4. Se la query non restituisce risultati, l'area di lavoro potrebbe non essere configurata correttamente.

Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Perché le query nella cartella di lavoro hanno esito negativo?

I clienti notano che le query talvolta hanno esito negativo se le aree di lavoro errate o più aree di lavoro sono associate alla cartella di lavoro. Per risolvere il problema, selezionare Modifica nella parte superiore della cartella di lavoro e quindi l'ingranaggio Impostazioni. Selezionare e quindi rimuovere le aree di lavoro non associate alla cartella di lavoro. A ogni cartella di lavoro deve essere associata una sola area di lavoro.

Perché il parametro criteri di accesso condizionale è vuoto?

L'elenco dei criteri viene generato esaminando i criteri valutati per l'evento di accesso più recente. Se non sono presenti accessi recenti nel tenant, potrebbe essere necessario attendere alcuni minuti prima che la cartella di lavoro carichi l'elenco dei criteri di accesso condizionale. Risultati vuoti possono verificarsi immediatamente dopo la configurazione di Log Analytics o se un tenant non ha attività di accesso recenti.

Perché la cartella di lavoro richiede molto tempo per caricare o restituire zero risultati?

A seconda dell'intervallo di tempo selezionato e delle dimensioni del tenant, il workbook potrebbe valutare un numero estremamente elevato di eventi di accesso. Per i tenant di grandi dimensioni, il volume degli accessi potrebbe superare la capacità di query di Log Analytics. Provare a ridurre l'intervallo di tempo a 4 ore per verificare se la cartella di lavoro viene caricata. Per altre informazioni su come migliorare le prestazioni, vedere la sezione Migliorare le prestazioni della cartella di lavoro .

È possibile salvare le selezioni dei parametri o personalizzare la cartella di lavoro?

È possibile salvare le selezioni dei parametri e personalizzare la cartella di lavoro nella parte superiore della cartella di lavoro. Passare a Entra IDMonitoring &health> WorkbooksConditional Access Insights and reporting (Informazioni dettagliate e report sull'accesso condizionale> dellecartelle di lavorodi entra ID>). Qui si trova il modello di cartella di lavoro, in cui è possibile modificare la cartella di lavoro e salvare una copia nell'area di lavoro, incluse le selezioni dei parametri, in Report personali o Report condivisi. Per iniziare a modificare le query, selezionare Modifica nella parte superiore della cartella di lavoro.

Contenuto correlato

• Modalità di sola report per l'accesso condizionale

• Per altre informazioni sulle cartelle di lavoro di Microsoft Entra, vedere l'articolo Come usare le cartelle di lavoro di Monitoraggio di Azure per i report di Microsoft Entra.

• Criteri comuni di accesso condizionale