Les requêtes personnalisées suivantes ont été développées à l’aide du jeu de données Configuration Manager Sync et illustrent ce qui est possible avec l’intégration Log Analytics dans Configuration Manager. Il est recommandé de développer des requêtes personnalisées pour cibler des ressources et conditions spécifiques qui vous intéressent.
Différentes configurations peuvent être spécifiées en utilisant le schéma de l’API Microsoft, avec des deux-points entre les chemins. Dans Configuration Manager, cela peut être trouvé entre parenthèses dans le rapport Sync Summary : Entra ID > Sécurité > Accès conditionnel > Policies (MSGraph:ConditionalAccess:Policies).
Exemples
Un type de configuration est ajouté, supprimé ou modifié dans le portail et exporté par Configuration Manager Sync
SyncLogs_CL
| where Change_Type in ('Added', 'Removed', 'Changed') and Configuration_Type in ('MSGraph:ConditionalAccess:Policies')Un tenant spécifique a une modification d’exportation, de déploiement ou d’aperçu. Mettez tenant_name_here à jour avec le nom du tenant approprié.
SyncLogs_CL
| where Change_Type in ('Added', 'Removed', 'Changed') and Tenant == 'tenant_name_here'
Une politique d’accès conditionnel est passée d’activée à désactivée ou « reporting only », ou la politique a été supprimée
SyncLogs_CL
| where Change_Type in ('Added', 'Removed', 'Changed') and Configuration_Type in ('MSGraph:Identity:ConditionalAccess:Policies') and Property_Name 'state' and Old_Property_Value 'enabled'
Tutoriel
Suivez ce tutoriel pour voir comment exécuter une requête exemple.