Добавление условного доступа к потокам пользователей в Azure Active Directory B2C

Статья
2025-02-18

Прежде чем начать, используйте селектор типа политики в верхней части этой страницы, чтобы выбрать тип политики, которую вы настроите. Azure Active Directory B2C предлагает два метода определения способа взаимодействия пользователей с вашими приложениями: с помощью предопределенных потоков пользователей или полностью настраиваемых пользовательских политик. Действия, которые необходимо выполнить, отличаются для каждого метода.

Условный доступ можно добавить в потоки пользователей Azure Active Directory B2C (Azure AD B2C) или пользовательские политики для управления рискованными входами в приложения. Инструмент условного доступа Microsoft Entra используется в Azure AD B2C, чтобы объединять сигналы, принимать решения и исполнять политики организации. Поток условного доступа Автоматизация оценки рисков с условиями политики означает, что рискованные входы определяются немедленно, а затем исправляются или блокируются.

Обзор сервиса

Azure AD B2C оценивает каждое событие входа и гарантирует, что все требования политики выполнены перед предоставлением пользователю доступа. На этом этапе оценки служба условного доступа оценивает сигналы, собранные обнаружением рисков защиты идентификации во время входа. Результатом этого процесса оценки является набор утверждений, указывающих, следует ли предоставлять или блокировать вход. Политика Azure AD B2C использует эти утверждения для действия в потоке пользователя. Примером является блокировка доступа или запрос к пользователю с определенной мерой, например, многофакторной аутентификацией (MFA). Параметр "Блокировать доступ" переопределяет все остальные параметры.

В следующем примере показан технический профиль условного доступа, используемый для оценки угрозы входа.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Чтобы обеспечить правильную ConditionalAccessEvaluation оценку сигналов защиты идентификации, необходимо вызвать технический профиль для всех пользователей, включая как локальные, так и социальные учетные записи. В противном случае защита идентификации указывает на неверный уровень риска, связанного с пользователями.

На следующем этапе устранения пользователю предъявляется запрос на MFA. После завершения Azure AD B2C сообщает Службе защиты идентификации, что обнаруженная угроза входа была исправлена и с помощью какого метода. В этом примере Azure AD B2C сообщает, что пользователь успешно выполнил задачу многофакторной проверки подлинности. Исправление также может произойти через другие каналы. Например, при сбросе пароля учетной записи администратором или пользователем. Вы можете проверить состояние риска пользователя в отчете о рискованных пользователях.

Это важно

Чтобы успешно устранить риск в ходе процесса, убедитесь, что технический профиль Исправление вызывается после выполнения технического профиля Оценка. Если оценка вызывается без исправления, состояние риска указывает на риск. Когда рекомендация технического профиля оценки возвращается Block, вызов технического профиля оценки не требуется. Состояние риска имеет значение "Риск". В следующем примере показан технический профиль условного доступа, используемый для устранения обнаруженной угрозы:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Компоненты решения

Это компоненты, которые обеспечивают условный доступ в Azure AD B2C:

Поток пользователя или пользовательская политика , которая направляет пользователя через процесс входа и регистрации.
Политика условного доступа , которая объединяет сигналы для принятия решений и применения политик организации. Когда пользователь входит в приложение с помощью политики Azure AD B2C, политика условного доступа использует сигналы защиты идентификаторов Microsoft Entra для выявления рискованных входов и предоставления соответствующего действия по исправлению.
Зарегистрированное приложение, которое направляет пользователей в соответствующий поток пользователя или пользовательскую политику Azure AD B2C.
ToR Browser для имитации рискованного входа.

Ограничения службы и рекомендации

При использовании условного доступа Microsoft Entra рассмотрите следующее:

Защита личных данных доступна как для локальных, так и для социальных учетных записей, таких как Google или Facebook. Для социальных идентичностей необходимо вручную активировать условный доступ. Обнаружение ограничено, так как учетные данные социальных сетей администрируются внешним поставщиком удостоверений.
В клиентах Azure AD B2C доступны только подмножество политик условного доступа Microsoft Entra .

Предпосылки

Выполните действия, описанные в статье "Начало работы с настраиваемыми политиками в Active Directory B2C". В этом руководстве описано, как обновить пользовательские файлы политики для использования конфигурации клиента Azure AD B2C.
Если вы еще не зарегистрировали веб-приложение, зарегистрируйте его, выполнив действия, описанные в регистрации веб-приложения.

Ценовая категория

Azure AD B2C Premium P2 требуется для создания политик рискованного входа. Клиенты Premium P1 могут создавать политику, основанную на расположении, приложениях, пользователях или групповых политиках. Дополнительные сведения см. в разделе "Изменение ценовой категории Azure AD B2C"

Подготовка клиента Azure AD B2C

Чтобы добавить политику условного доступа, отключите параметры безопасности по умолчанию:

Войдите на портал Azure.
Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
В службах Azure выберите идентификатор Microsoft Entra. Или используйте поле поиска, чтобы найти и выбрать идентификатор Microsoft Entra.
Выберите "Свойства", а затем выберите "Управление безопасностью" по умолчанию.
В разделе "Включить безопасность" по умолчанию нажмите кнопку "Нет".

Добавление политики условного доступа

Политика условного доступа — это оператор условного выражения с назначениями и управлениями доступом. Политика условного доступа объединяет сигналы для принятия решений и применения политик организации.

Подсказка

На этом шаге вы настроите политику условного доступа. Рекомендуем использовать один из следующих шаблонов: Шаблон 1: Условный доступ на основе риска при входе, Шаблон 2: Условный доступ на основе риска пользователя или Шаблон 3: Блокировка местоположений с условным доступом. Политику условного доступа можно настроить с помощью портала Azure или API MS Graph.

Логический оператор между присваиваниями — And. Оператор в каждом назначении — ИЛИ.

Назначения условного доступа Чтобы добавить политику условного доступа, выполните следующие действия.

В портале Azure найдите и выберите Azure AD B2C.
В разделе Безопасность выберите Условный доступ. Откроется страница "Политики условного доступа ".
Щелкните + Создать политику.
Введите имя политики, например блокировка рискованного входа.

В разделе "Назначения" выберите "Пользователи и группы", а затем выберите одну из следующих поддерживаемых конфигураций:

Включить	Лицензия	Примечания.
Все пользователи	P1, P2	Эта политика влияет на всех пользователей. Чтобы не заблокировать себя, исключите учетную запись администратора, выбрав "Исключить", выберите роли каталога и выберите глобального администратора в списке. Вы также можете выбрать пользователей и группы , а затем выбрать учетную запись в списке "Выбор исключенных пользователей ".

Выберите облачные приложения или действия, а затем выберите приложения. Перейдите к приложению проверяющей стороны.

Выберите условия и выберите из следующих условий. Например, выберите "Риск входа" и "Высокий", " Средний" и "Низкий уровень риска".

Состояние	Лицензия	Примечания.
Риск пользователя	P2	Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи.
Риск при входе	P2	Риск при входе представляет вероятность того, что данный запрос аутентификации отправлен не владельцем удостоверения.
Платформы устройств	Не поддерживается	Характеризуется операционной системой, работающей на устройстве. Дополнительную информацию см. в разделе Платформы устройств.
Расположения	P1, P2	Именованные локации могут включать информацию о общедоступной сети IPv4, страну или регион, или неизвестные области, которые не соответствуют определённым странам или регионам. Дополнительные сведения см. в разделе Расположения.

В разделе Элементы управления доступом выберите Разрешить. Затем выберите, следует ли блокировать или предоставлять доступ:

Вариант	Лицензия	Примечания.
Заблокировать доступ	P1, P2	Запрещает доступ на основе условий, указанных в этой политике условного доступа.
Предоставить доступ с требованием многофакторной аутентификации	P1, P2	В зависимости от условий, указанных в этой политике условного доступа, пользователю требуется пройти многофакторную проверку подлинности Azure AD B2C.

В разделе "Включить политику" выберите один из следующих вариантов:

Вариант	Лицензия	Примечания.
Только отчет	P1, P2	Режим только для отчетов позволяет администраторам оценивать влияние политик условного доступа перед их включением в рабочей среде. Мы рекомендуем проверить политику с этим состоянием и определить влияние на конечных пользователей, не требуя многофакторной проверки подлинности или блокировки пользователей. Дополнительные сведения см. в разделе "Просмотр результатов условного доступа" в отчете аудита
Вкл	P1, P2	Политика доступа оценивается и не применяется.
Выкл.	P1, P2	Политика доступа не активируется и не влияет на пользователей.

Включите тестовую политику условного доступа, нажав кнопку "Создать".

Большинство пользователей имеют обычное поведение, которое можно отследить, а когда оно выходит за пределы этой нормы, может быть рискованно позволять им войти в систему. Вы можете заблокировать этого пользователя или, возможно, просто попросите их выполнить многофакторную проверку подлинности, чтобы доказать, что они действительно те, кто они говорят, что они. Риск при входе представляет вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Клиенты Azure AD B2C с лицензиями P2 могут создавать политики условного доступа, включающие обнаружение рисков защиты идентификаторов Microsoft Entra.

Обратите внимание на ограничения обнаружения защиты идентификации для B2C. Если обнаружен риск, пользователи могут выполнять многофакторную проверку подлинности для самостоятельного исправления и закрыть событие входа в систему, чтобы предотвратить ненужный шум для администраторов.

Настройте условный доступ через портал Azure или API Microsoft Graph, чтобы включить политику условного доступа на основе риска для входа, требующую многофакторной проверки подлинности, если риск входа является средним или высоким.

В разделе Включить выберите Все пользователи.
В разделе Исключить выберите Пользователи и группы и укажите учетные записи аварийного доступа или обходные учетные записи вашей организации.
Нажмите кнопку Готово.
В разделе "Облачные приложения" или "Включить"> выберите "Все облачные приложения".
В разделе Условия>Риск при входе задайте для параметра Настроить значение Да. В пункте "Выберите уровень риска входа для применения политики"
1. Выберите "Высокий" и "Средний".
2. Нажмите кнопку Готово.
В разделе "Управление доступом>Предоставление" выберите "Предоставить доступ", "Требовать многофакторную аутентификацию" и нажмите "Выбрать".
Подтвердите параметры и задайте для параметра Включить политику значение Включить.
Нажмите Создать, чтобы создать и включить политику.

Включение шаблона 1 с помощью API условного доступа (необязательно)

Создайте политику условного доступа на основе рисков при входе с помощью API MS Graph. Дополнительные сведения см. в API условного доступа. Следующий шаблон можно использовать для создания политики условного доступа с отображаемым именем "Шаблон 1: Требовать многофакторную проверку подлинности для среднего и высокого риска входа" в режиме только для отчета.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Шаблон 2. Условный доступ на основе рисков пользователей

Защита идентификации вычисляет, какое поведение пользователя можно считать нормальным, и на основе этой оценки принимает решения о рисках. Пользовательский риск — это расчет вероятности того, что личность была скомпрометирована. Клиенты B2C с лицензиями P2 могут создавать политики условного доступа, включающие риск пользователя. Когда пользователь обнаруживается как находящийся под угрозой, вы можете требовать, чтобы он надежно изменил свой пароль, чтобы устранить угрозу и получить доступ к своей учетной записи. Мы настоятельно рекомендуем настроить политику риска пользователей, чтобы требовать безопасного изменения пароля, чтобы пользователи могли самостоятельно исправить.

Узнайте больше о рисках пользователей в службе защиты идентификации, учитывая ограничения обнаружения защиты идентификации для B2C.

Настройте условный доступ через портал Azure или API Microsoft Graph, чтобы включить политику условного доступа на основе рисков пользователя, требующую многофакторной проверки подлинности (MFA) и изменения пароля, если риск пользователя является средним ИЛИ высоким.

Чтобы настроить условный доступ, основанный на пользователях, следуйте этим шагам.

Войдите на портал Azure.
Перейдите к Azure AD B2C>Security>условному доступу.
Выберите Новая политика.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе Назначения выберите Пользователи и группы.
1. В разделе Включить выберите Все пользователи.
2. В разделе Исключить выберите Пользователи и группы и укажите учетные записи аварийного доступа или обходные учетные записи вашей организации.
3. Нажмите кнопку Готово.
В разделе "Облачные приложения" или "Включить"> выберите "Все облачные приложения".
В разделе Условия>Риск пользователя задайте для параметра Настроить значение Да. В разделе "Настройка уровней риска пользователей", необходимых для применения политики
1. Выберите "Высокий" и "Средний".
2. Нажмите кнопку Готово.
В разделе "Управление доступом">"Предоставление", выберите "Предоставить доступ", "Требовать изменение пароля", и выберите "Выбрать". По умолчанию также требуется многофакторная проверка подлинности.
Подтвердите параметры и задайте для параметра Включить политику значение Включить.
Нажмите Создать, чтобы создать и включить политику.

Включение шаблона 2 с помощью API условного доступа (необязательно)

Чтобы создать политику условного доступа на основе рисков пользователей с помощью API условного доступа, см. документацию по API условного доступа.

Следующий шаблон можно использовать для создания политики условного доступа с именем "Шаблон 2: Требовать безопасное изменение пароля для пользователя с риском средней и выше" в режиме только отчета.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Шаблон 3. Блокировка расположений с условным доступом

Условие расположения при использовании условного доступа позволяет управлять доступом к облачным приложениям на основе расположения пользователя в сети. Настройте условный доступ через портал Azure или API Microsoft Graph, чтобы включить политику условного доступа, блокируя доступ к определенным расположениям. Дополнительные сведения см. в разделе "Использование условия расположения" в политике условного доступа

Определение расположений

Войдите на портал Azure.
Перейдите к Azure AD B2C>безопасности>условному доступу>именованным расположениям.
Выбор расположения стран или диапазонов IP-адресов
Присвойте расположению имя.
Укажите диапазоны IP-адресов или выберите страны или регионы для указанного расположения. Если выбраны страны или регионы, можно дополнительно включить неизвестные области.
Нажмите кнопку Сохранить.

Чтобы включить политику условного доступа, выполните следующие действия.

Войдите на портал Azure.
Перейдите к Azure AD B2C>Безопасность>Условный доступ.
Выберите Новая политика.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе Назначения выберите Пользователи и группы.
1. В разделе Включить выберите Все пользователи.
2. В разделе Исключить выберите Пользователи и группы и укажите учетные записи аварийного доступа или обходные учетные записи вашей организации.
3. Нажмите кнопку Готово.
В разделе "Облачные приложения" или "Включить"> выберите "Все облачные приложения".
В условиях>местоположения
1. Задайте для параметра Настроить значение Да.
2. В области "Включить" выберите выбранные местоположения
3. Выберите созданное вами именованное местоположение.
4. Нажмите кнопку "Выбрать"
В разделе "Элементы управления доступом> " выберите "Блокировать доступ" и нажмите кнопку "Выбрать".
Подтвердите параметры и задайте для параметра Включить политику значение Включить.
Нажмите Создать, чтобы создать и включить политику.

Включение шаблона 3 с помощью API условного доступа (необязательно)

Чтобы создать политику условного доступа, основанную на местоположении, с помощью API условного доступа, ознакомьтесь с документацией по API условного доступа. Чтобы настроить именованные расположения, ознакомьтесь с документацией по именованным расположениям.

Следующий шаблон можно использовать для создания политики условного доступа с отображаемым именем "Шаблон 3: блокировать неразрешенные расположения" в режиме только для отчетов.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Добавление условного доступа к пользовательскому потоку

После добавления политики условного доступа Microsoft Entra, включите условный доступ в пользовательском сценарии или индивидуальной политике. Если включить условный доступ, вам не нужно указывать имя политики. Несколько политик условного доступа могут применяться к отдельному пользователю в любое время. В этом случае самая строгая политика управления доступом имеет приоритет. Например, если для одной политики требуется многофакторная проверка подлинности, а другие блокируют доступ, пользователь блокируется.

Включение многофакторной проверки подлинности (необязательно)

При добавлении условного доступа к потоку пользователя рекомендуется использовать многофакторную проверку подлинности (MFA). Пользователи могут использовать одноразовый код через SMS или голос, одноразовый пароль по электронной почте или код на основе времени (TOTP) через приложение authenticator для многофакторной проверки подлинности. Параметры MFA настраиваются отдельно от параметров условного доступа. Вы можете выбрать один из следующих вариантов MFA:

Отключено — MFA никогда не применяется во время входа, и пользователям не предлагается зарегистрироваться в MFA во время регистрации или входа.
Always on - требуется многофакторная проверка подлинности независимо от настройки условного доступа. Во время регистрации пользователям предлагается зарегистрировать в MFA. Во время входа, если пользователи еще не зарегистрированы в MFA, им будет предложено зарегистрировать.
Условный — во время регистрации и входа пользователям предлагается зарегистрировать в MFA (как новых пользователей, так и существующих пользователей, которые не зарегистрированы в MFA). Во время входа MFA применяется только в том случае, если требуется активная оценка политики условного доступа:
- Если результатом является запрос MFA при отсутствии риска, MFA применяется. Если пользователь еще не зарегистрирован в MFA, им будет предложено зарегистрировать.
- Если результатом является проблема MFA из-за риска , и пользователь не зарегистрирован в MFA, вход блокируется.
Примечание.

Благодаря общедоступной доступности условного доступа в Azure AD B2C пользователям теперь предлагается зарегистрировать метод MFA во время регистрации. Все потоки пользователей регистрации, созданные до общей доступности, не будут автоматически отражать это новое поведение, но вы можете включить это поведение, создав новые потоки пользователей.

Чтобы включить условный доступ для потока пользователя, убедитесь, что версия поддерживает условный доступ. Эти версии потока пользователей помечены как рекомендуемые.

Войдите на портал Azure.
Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
В разделе Политики выберите Потоки пользователей. Затем выберите поток пользователя.
Выберите "Свойства" и убедитесь, что поток пользователя поддерживает Условный Доступ, найдя параметр с меткой Условный Доступ.
В разделе многофакторной проверки подлинности выберите нужный тип метода, а затем в разделе "Принудительное применение MFA" выберите условный.
В разделе условного доступа установите флажок "Применить политики условного доступа ".
Выберите Сохранить.

Добавление условного доступа к политике

Получите пример политики условного доступа на GitHub.
В каждом файле замените строку yourtenant именем клиента Azure AD B2C. Например, если имя клиента B2C — contosob2c, все экземпляры yourtenant.onmicrosoft.com становятся contosob2c.onmicrosoft.com.
Отправьте файлы политики.

Настройка утверждения, отличного от номера телефона, используемого для MFA

В приведенной выше DoesClaimExist политике условного доступа метод преобразования утверждений проверяет, содержит ли утверждение значение, например если strongAuthenticationPhoneNumber утверждение содержит номер телефона. Преобразование утверждений не ограничивается утверждением strongAuthenticationPhoneNumber . В зависимости от сценария можно использовать любое другое утверждение. В следующем фрагменте XML утверждение strongAuthenticationEmailAddress вместо этого проверяется. Выбранное утверждение должно иметь допустимое значение; в противном случае утверждению IsMfaRegistered присваивается значение False. Если задано значение False, оценка политики условного доступа возвращает Block тип предоставления, предотвращая завершение пользователем пользовательского флоу.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Проверка настраиваемой политики

Выберите политику B2C_1A_signup_signin_with_ca или B2C_1A_signup_signin_with_ca_whatif, чтобы открыть страницу обзора. Затем выберите "Запустить поток пользователя". В разделе "Приложение" выберите webapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
Скопируйте URL-адрес в разделе Конечная точка выполнения потока пользователя.
Чтобы имитировать рискованный вход, откройте браузер Tor и используйте URL-адрес, скопированный на предыдущем шаге, для входа в зарегистрированное приложение.
Введите запрошенные сведения на странице входа и попытайтесь войти. Маркер возвращается в https://jwt.ms и должен быть отображён вам. В декодированном токене на jwt.ms вы увидите, что вход был заблокирован.

Тестирование потока пользователя

Выберите созданный поток пользователя, чтобы открыть страницу обзора, а затем выберите "Запустить поток пользователя". В разделе "Приложение" выберите webapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
Скопируйте URL-адрес в разделе Конечная точка выполнения потока пользователя.
Чтобы имитировать рискованный вход, откройте браузер Tor и используйте URL-адрес, скопированный на предыдущем шаге, для входа в зарегистрированное приложение.
Введите запрошенные сведения на странице входа и попытайтесь войти. Маркер возвращается https://jwt.ms и должен отображаться для вас. В декодированном токене на jwt.ms вы увидите, что вход был заблокирован.

Просмотр результатов условного доступа в отчете аудита

Чтобы просмотреть результат события условного доступа, выполните следующие действия.

Войдите на портал Azure.
Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.
В разделе "Действия" выберите журналы аудита.
Отфильтруйте журнал аудита, задав категорию на B2C и тип ресурса действия на IdentityProtection. Затем выберите Применить.
Просмотрите действия аудита за последние семь дней. Включены следующие типы действий:
- Оценка политик условного доступа. Эта запись журнала аудита указывает, что оценка условного доступа была выполнена во время проверки подлинности.
- Исправление пользователя. Эта запись указывает, что предоставление или требования политики условного доступа были выполнены конечным пользователем, и это действие было сообщено обработчику рисков для устранения (снижения риска) пользователя.
Выберите запись журнала Evaluate conditional access policy в списке, чтобы открыть страницу Подробности действия: Журнал аудита, где отображаются идентификаторы журнала аудита, а также эти сведения в разделе Дополнительные сведения.
- ConditionalAccessResult: разрешение, необходимое для оценки условной политики.
- AppliedPolicies: список всех политик условного доступа, в которых были выполнены условия, и политики включены.
- ReportingPolicies: список политик условного доступа, которые были заданы в режиме только для отчетов и где были выполнены условия.

Настройка пользовательского интерфейса в потоке пользователя Azure AD B2C