Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der bedingte Zugriff hilft Organisationen dabei, sicher zu bleiben, indem die entsprechenden Sicherheitszugriffskontrollen unter den richtigen Umständen angewendet werden. Das Verständnis der Auswirkungen dieser Richtlinien ist schwierig, insbesondere bei der Bereitstellung neuer Richtlinien. In diesem Artikel wird erläutert, wie Sie die Auswirkungen von Richtlinien für bedingten Zugriff mit dem nur-Berichtsmodus und anderen Tools analysieren.
Administratoren haben mehrere Optionen, die auf dem Modus "Nur Bericht" basieren. Der Modus "Nur Bericht" ist ein Richtlinienstatus, mit dem Administratoren die meisten Richtlinien für bedingten Zugriff testen können, bevor sie aktiviert werden.
- Administratoren können Richtlinien für bedingten Zugriff im Modus "Nur Bericht" auswerten, mit Ausnahme von Elementen, die im Bereich "Benutzeraktionen" enthalten sind.
- Während der Anmeldung wertet das System Richtlinien im modus "Nur Bericht" aus, erzwingt sie jedoch nicht.
- Die Ergebnisse werden auf den Registerkarten Bedingter Zugriff und Nur melden der Anmeldeprotokolldetails protokolliert.
- Kunden mit einem Azure Monitor-Abonnement können die Auswirkungen ihrer Richtlinien für bedingten Zugriff mithilfe der Arbeitsmappe für Erkenntnisse zum bedingten Zugriff überwachen.
Warnung
Richtlinien im Nur-Bericht-Modus, die ein konformes Gerät erfordern, können Benutzer auf macOS-, iOS- und Android-Geräten dazu auffordern, während der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht durchgesetzt wird. Diese Eingabeaufforderungen können wiederholt werden, bis das Gerät kompatibel ist. Um zu verhindern, dass Endbenutzer während der Anmeldung Aufforderungen erhalten, schließen Sie die Mac-, iOS- und Android-Geräteplattformen von nur berichtsgeschützten Richtlinien aus, die Konformitätsprüfungen für Geräte ausführen.
Ergebnisse der Richtlinienauswertung
Wenn eine Richtlinie für eine bestimmte Anmeldung ausgewertet wird, gibt es mehrere mögliche Ergebnisse:
| Ergebnis | BESCHREIBUNG |
|---|---|
| Nur melden: Erfolgreich | Alle konfigurierten Richtlinienbedingungen, erforderlichen nicht interaktiven Genehmigungssteuerungen und Sitzungssteuerungen wurden erfüllt. Beispielsweise wird eine mehrstufige Authentifizierungsanforderung durch einen MFA-Anspruch erfüllt, der bereits im Token vorhanden ist, oder eine kompatible Geräterichtlinie wird durch Ausführen einer Geräteüberprüfung auf einem kompatiblen Gerät erfüllt. |
| Nur melden: Fehler | Alle konfigurierten Richtlinienbedingungen wurden erfüllt, jedoch wurden nicht alle erforderlichen nicht interaktiven Zugriffskontrollen oder Sitzungssteuerungen erfüllt. Beispielsweise gilt eine Richtlinie für einen Benutzer, bei dem eine Sperrkontrolle konfiguriert ist, oder ein Gerät erfüllt eine Konformitätsrichtlinie für Geräte nicht. |
| Nur Bericht: Benutzeraktion erforderlich | Alle konfigurierten Richtlinienbedingungen wurden erfüllt, jedoch ist Benutzeraktion zur Erfüllung der erforderlichen Berechtigungs- oder Sitzungssteuerungen notwendig. Im Modus "Nur Bericht" wird der Benutzer nicht aufgefordert, die erforderlichen Steuerelemente zu erfüllen. Benutzer werden z. B. nicht zur Eingabe von Herausforderungen oder Nutzungsbedingungen für die mehrstufige Authentifizierung aufgefordert. |
| Nur melden: Nicht angewendet | Nicht alle konfigurierten Richtlinienbedingungen wurden erfüllt. Beispielsweise wird der Benutzer von der Richtlinie ausgeschlossen, oder die Richtlinie gilt nur für bestimmte vertrauenswürdige benannte Speicherorte. |
| Erfolg | Anmeldeereignisse, bei denen die Richtlinie angewendet wurde, die Anforderungen erfüllt sind und die Richtlinie die Anmeldung fortfahren lässt. Die Anmeldung wird möglicherweise weiterhin durch eine andere Richtlinie blockiert. |
| Versagen | Bei Anmeldeereignissen, bei denen die Richtlinie angewendet wurde, wurden die Anforderungen nicht erfüllt, und die Richtlinie blockiert die Anmeldung. Dies kann beabsichtigt sein, z. B. wenn Anmeldungen von einem bestimmten Speicherort blockiert werden. Es kann aber auch versehentlich passieren, wenn die Richtlinie falsch konfiguriert ist. |
| Nicht angewendet | Anmeldeereignisse, bei denen die Richtlinie nicht angewendet wurde, z. B. wurde der Benutzer ausgeschlossen. |
Überprüfen der Ergebnisse
Administratoren können mehrere Optionen verwenden, um die potenziellen Ergebnisse von Richtlinien in ihrer Umgebung zu überprüfen:
- Arbeitsmappen
- Anmeldeprotokolle
- Richtlinieneinfluss (Vorschau)
Auswirkungen von Richtlinien
Die Richtlinienauswirkungsansicht des bedingten Zugriffs ermöglicht Administratoren mit mindestens der Rolle "Sicherheitsleseberechtigter" eine Momentaufnahme der potenziellen oder vorhandenen Auswirkungen von Richtlinien auf interaktive Anmeldungen in Ihrer Organisation. Sie können die Auswirkungen auf die letzten 24 Stunden, 7 Tage oder 1 Monat untersuchen. Sie können auch eine Auswahl von Anmeldeereignissen ansehen und darauf verweisen, um weitere Details zu erhalten.
Arbeitsmappen
Administratoren können mehrere Richtlinien im Nur-Bericht-Modus erstellen, daher ist es wichtig, sowohl die individuellen Auswirkungen jeder Richtlinie als auch die kombinierten Auswirkungen mehrerer Richtlinien zu verstehen, die zusammen ausgewertet werden. Mit der Arbeitsmappe "Einblicke in den bedingten Zugriff und die Berichterstellung" können Administratoren Richtlinien für den bedingten Zugriff visualisieren sowie die Auswirkungen einer Richtlinie für einen bestimmten Zeitraum sowie eine Anzahl von Anwendungen und Benutzern abfragen und überwachen. Administratoren können Arbeitsmappen an ihre Anforderungen anpassen.
Anmeldeprotokolle
Für eine tiefere Auswertung von Richtlinien für bedingten Zugriff und deren Anwendung bei einer bestimmten Anmeldung untersuchen Administratoren möglicherweise einzelne Anmeldeereignisse. Jedes Ereignis enthält Details dazu, welche Richtlinien für bedingten Zugriff aktiviert wurden, im Nur-Bericht-Modus, angewendet oder nicht angewendet wurden.
Verwenden dieser Optionen
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Verwandte Inhalte
- Erfahren Sie, wie Sie den Modus "Nur Bericht" für eine Richtlinie für bedingten Zugriff konfigurieren.