Report-Only режим в Conditional Access политиках

На Microsoft Ignite 2019 наконец то показали режим работы Conditional Access политик, который я уже какое то время использовал в режиме Private Preview. И это именно то, чего не хватало!

Какую именно проблему решает эта новая функция?

Раньше политики имели два состояния – ВКЛ\ВЫКЛ. Таким образом вы либо включали вашу политику на определенную группу людей и применяли их волнами, либо просто включали разом на всех, ожидая реакции (так себе подход).

Режим Report-Only наконец то может вам показать, что произойдет ЕСЛИ вы включите политику прям сейчас. Таким образом вы можете проверить влияние на ваших пользователей и приложения, до того как что то включите. Теперь вас вряд ли уволят после неудачно включенной политики.

Чтобы проверить как это работает, вы просто можете открыть любую политику или создать новую и увидите, что появился новый режим для применения политики, который и делает всю магию.

После этого в Sign-In логах вы можете увидеть примерно это:

Самое важное – это результат применения политики. Как вы можете увидеть, там написано “Report-only:Success”. Это значит, что политика отработала и если бы она была включена, я бы получил доступ. Но тут она просто записывает, что произошло бы в случае включения политики.

Понятно, что работать с логами таким образом очень неудобно. И конечно есть способ, который позволит вам лучше понимать происходящее.

Это потребует от вас включения Log Analytics. Подробнее ТУТ

Дополнительно к Log Analytics, Microsoft сделали Workbook, который покажет вам что же происходит с вашими политиками.

Но, на мой взгляд, это все еще не очень понятно и удобно. Мне проще все смотреть напрямую в Log Analytics.

Например, вчера я решил проверить гипотезу и немного поменял настройки политики. Как вы видите, количество успешных логинов ушло практически в ноль. Если бы я так сделал с “живой” политикой, это бы было очень неприятно для меня. Но так как эта политика только в режиме Report-Only, я просто получил новую информацию и теперь могу спокойно поправить политику.

Как вывод, могу только сказать, что это отличная функция и единственный ее минус, что помимо лицензии на сам Azure AD и Conditional Access, вам еще нужно будет платить за Log Analytics, стоимость которого будет зависеть от объема логов.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: