Nastavení služby Azure Monitor v externích tenantech (Preview)

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Azure Monitor je komplexní řešení pro shromažďování, analýzu a reagování na data monitorování z cloudu a místních prostředí. Nastavení diagnostiky u monitorovaného prostředku určuje, jaká data se mají posílat a kam se mají odesílat. V případě Microsoft Entra zahrnují možnosti cíle Azure Storage, Log Analytics a Azure Event Hubs.

Pokud plánujete přenést protokoly externího tenanta do různých řešení monitorování nebo úložiště, zvažte, že protokoly externích tenantů obsahují osobní údaje. Při zpracování těchto dat se ujistěte, že na osobních údajích používáte vhodná bezpečnostní opatření. Zahrnuje ochranu před neoprávněným nebo protiprávním zpracováním pomocí vhodných technických nebo organizačních opatření.

Přehled nasazení

Externí tenant používá monitorování Microsoft Entra. Na rozdíl od tenantů Microsoft Entra nemůže mít externí tenant přidružené předplatné. Proto musíme provést další kroky, abychom umožnili integraci mezi externím tenantem a Log Analytics, což je místo, kam odesíláme protokoly. Pokud chcete povolit nastavení diagnostiky v tenantovi pracovních sil v rámci vašeho externího tenanta, použijete Azure Lighthouse k delegování prostředku, který umožňuje externímu tenantovi ( poskytovateli služeb) spravovat prostředek tenanta pracovních sil (zákazníka).

Tip

Azure Lighthouse se obvykle používá ke správě prostředků pro více zákazníků. Dá se ale použít také ke zjednodušení správy napříč tenanty v rámci podniku, který má několik vlastních tenantů Microsoft Entra. V našem případě ji používáme k delegování správy jedné skupiny prostředků.

Podle kroků v tomto článku vytvoříte novou skupinu prostředků s názvem ExtIDMonitor ve vašem tenantovi pracovních sil a získáte přístup ke stejné skupině prostředků obsahující pracovní prostor služby Log Analytics ve vašem externím tenantovi. Protokoly také budete moct přenést z externího tenanta do pracovního prostoru služby Log Analytics.

Během tohoto nasazení autorizujete uživatele nebo skupinu v adresáři externího tenanta a nakonfigurujete instanci pracovního prostoru Služby Log Analytics v rámci tenanta, který obsahuje vaše předplatné Azure. Pokud chcete vytvořit autorizaci, nasadíte šablonu Azure Resource Manageru do předplatného, které obsahuje pracovní prostor služby Log Analytics.

Následující diagram znázorňuje komponenty, které nakonfigurujete v tenantovi pracovních sil a externích tenantech.

Během tohoto nasazení nakonfigurujete externího tenanta, ve kterém se generují protokoly. Také nakonfigurujete externího tenanta, kde bude hostovaný pracovní prostor služby Log Analytics. Použité externí účty tenanta (například účet správce) by měly mít přiřazenou roli globálního správce externího tenanta. Účet, který použijete ke spuštění nasazení v externím tenantovi, musí mít přiřazenou roli Vlastník v předplatném Microsoft Entra. Je také důležité, abyste se při dokončování jednotlivých kroků přihlásili ke správnému adresáři, jak je popsáno.

V souhrnu použijete Azure Lighthouse, abyste uživateli nebo skupině ve vašem externím tenantovi umožnili spravovat skupinu prostředků v předplatném přidruženém k jinému tenantovi (tenant pracovní síly). Po dokončení této autorizace je možné v nastavení diagnostiky v externím tenantovi vybrat pracovní prostor předplatného a služby Log Analytics jako cíl.

Požadavky

• Předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.
• Účet Microsoft Entra s rolí Vlastník v předplatném Microsoft Entra.
• Účet v externím tenantovi, který má přiřazenou roli globálního správce .

Přehled konfigurace

Pokud chcete postupovat podle kroků konfigurace v tomto článku, doporučujeme otevřít dvě samostatná okna nebo karty prohlížeče: jednu pro tenanta pracovních sil a druhou pro externího tenanta. Toto nastavení vám pomůže podle potřeby přepínat mezi dvěma tenanty.

Krok 1: Konfigurace tenanta pracovních sil – vytvoření skupiny prostředků a pracovního prostoru protokolů

Vytvoření skupiny zdrojů

Nejprve vytvořte nebo zvolte skupinu prostředků, která obsahuje cílový pracovní prostor služby Log Analytics, který bude přijímat data z externího tenanta. Název skupiny prostředků zadáte při nasazení šablony Azure Resource Manageru.

1. Přihlaste se k portálu Azure.
2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .
3. Vytvořte skupinu prostředků nebo zvolte existující. Tento příklad používá skupinu prostředků s názvem ExtIDMonitor.

Vytvoření pracovního prostoru služby Log Analytics

Pracovní prostor Služby Log Analytics je jedinečné prostředí pro data protokolů služby Azure Monitor. Tento pracovní prostor služby Log Analytics použijete ke shromažďování dat z externího tenanta a jejich vizualizaci pomocí dotazů.

1. Přihlaste se k portálu Azure.
2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .
3. Vytvořte pracovní prostor služby Log Analytics. Tento příklad používá pracovní prostor služby Log Analytics s názvem ExtIDLogAnalytics ve skupině prostředků s názvem ExtIDMonitor.

Přidání microsoft.insights jako poskytovatele prostředků

V tomto kroku zvolíte externího tenanta jako poskytovatele služeb. Také definujete autorizace, které potřebujete přiřadit příslušné předdefinované role skupinám ve vašem tenantovi Microsoft Entra. Pokud chcete zobrazit všechny poskytovatele prostředků a stav jejich registrace pro vaše předplatné:

1. Přihlaste se k portálu Azure.
2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .
3. V nabídce webu Azure Portal vyhledejte Předplatná.
4. Vyberte předplatné, které chcete zobrazit.
5. V nabídce vlevo v části Nastavení vyberte Poskytovatelé prostředků.
6. Vyberte poskytovatele prostředků microsoft.insights a vyberte Zaregistrovat.

Krok 2: Konfigurace externího tenanta – získání ID externího tenanta a vytvoření skupiny pro monitorování externích ID

Získání ID externího tenanta

Nejprve získejte ID tenanta vašeho externího tenanta. Toto ID budete potřebovat ke konfiguraci externího tenanta tak, aby odesílal protokoly do pracovního prostoru služby Log Analytics v tenantovi pracovních sil.

1. Přihlaste se do Centra pro správu Microsoft Entra.
2. Pokud máte přístup k více tenantům, použijte ikonu Nastavení v horní nabídce a přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Vyberte Přehled tenanta a vyberte Přehled.
4. Poznamenejte si ID tenanta.

Vytvoření skupiny pro monitorování externích ID

Teď vytvořte skupinu nebo uživatele, kterému chcete udělit oprávnění skupině prostředků, kterou jste vytvořili dříve v adresáři obsahujícím vaše předplatné.

Pro usnadnění správy doporučujeme pro každou roli používat skupiny uživatelů Microsoft Entra, které umožňují přidávat nebo odebírat jednotlivé uživatele do skupiny, a ne přiřazovat oprávnění přímo danému uživateli. V tomto názorném postupu přidáme skupinu zabezpečení.

1. Přihlaste se do Centra pro správu Microsoft Entra.
2. Pokud máte přístup k více tenantům, použijte ikonu Nastavení v horní nabídce a přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Vyberte Skupiny a pak vyberte skupinu. Pokud nemáte existující skupinu, vytvořte skupinu zabezpečení a přidejte členy. Další informace najdete v postupu Vytvoření základní skupiny a přidání členů pomocí tenanta pracovních sil.
4. Vyberte Přehled a poznamenejte si ID objektu skupiny.

Krok 3: Konfigurace tenanta pracovních sil – konfigurace Služby Azure Lighthouse

Vytvoření šablony Azure Resource Manageru

K vytvoření vlastní autorizace a delegování ve službě Azure Lighthouse použijeme šablonu Azure Resource Manageru. Tato šablona uděluje externímu tenantovi přístup ke skupině prostředků Microsoft Entra, kterou jste vytvořili dříve, například ExtIDMonitor. Nasaďte šablonu z ukázky GitHubu pomocí tlačítka Nasadit do Azure , které otevře Azure Portal a umožňuje nakonfigurovat a nasadit šablonu přímo na portálu. V případě těchto kroků se ujistěte, že jste přihlášeni ke svému tenantovi microsoft Entra pro pracovníky (ne k externímu tenantovi).

1. Přihlaste se k portálu Azure.

2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .

3. Pomocí tlačítka Nasadit do Azure otevřete web Azure Portal a nasaďte šablonu přímo na portálu. Další informace najdete v tématu Vytvoření šablony Azure Resource Manageru.

   

4. Na stránce Vlastní nasazení zadejte následující informace:

   Pole	Definice
   Předplatné	Vyberte adresář, který obsahuje předplatné Azure, ve kterém byla vytvořena skupina prostředků ExtIDMonitor .
   Oblast	Vyberte oblast, ve které se prostředek nasadí.
   Název nabídky Msp	Název popisující tuto definici. Například ExtIDMonitor. Je to název, který se zobrazí v Azure Lighthouse. Název nabídky MSP musí být v tenantovi pracovních sil jedinečný. Pokud chcete monitorovat více externích tenantů, použijte různé názvy.
   Popis nabídky Msp	Stručný popis vaší nabídky. Například povolte Azure Monitor v externím tenantovi.
   Spravované podle ID tenanta	ID tenanta vašeho externího tenanta (označované také jako ID adresáře).
   Autorizace	Zadejte pole JSON objektů, které zahrnují tenanta principalIdpracovních sil , principalIdDisplayNamea Azure roleDefinitionId. Je principalId ID objektu skupiny nebo uživatele, který bude mít přístup k prostředkům v tomto předplatném Azure. Pro účely tohoto názorného postupu zadejte ID objektu skupiny, které jste si poznamenali dříve v externím tenantovi. Pro tuto roleDefinitionIdmožnost použijte předdefinované hodnoty role pro roli Přispěvatel. b24988ac-6180-42a0-ab88-20f7382dd24c
   Název skupiny prostředků	Název skupiny prostředků, kterou vytvoříte dříve ve svém tenantovi pracovních sil. Například ExtIDMonitor.

   Následující příklad ukazuje pole Autorizace s jednou skupinou zabezpečení.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

Po nasazení šablony může dokončení projekce prostředků trvat několik minut (obvykle maximálně pět). Nasazení můžete ověřit v tenantovi =workforce a získat podrobnosti o projekci prostředků. Další informace najdete v tématu Zobrazení a správa poskytovatelů služeb.

Krok 4: Konfigurace externího tenanta – výběr předplatného

Po nasazení šablony a čekání na dokončení projekce prostředků postupujte podle těchto kroků a přidružte předplatné k externímu tenantovi.

Poznámka:

V nastavení portálu | Na stránce Adresáře a předplatná se ujistěte, že v části Aktuální a delegovaná adresáře jsou vybraní externí tenanti a tenanti pracovních sil.

Vyberte své předplatné.

1. Odhlaste se z webu Azure Portal a znovu se přihlaste pomocí účtu pro správu externího tenanta. Tento účet musí být členem skupiny zabezpečení, kterou jste zadali dříve. Když se odhlásíte a singing znovu přihlásíte, můžete přihlašovací údaje relace aktualizovat v dalším kroku.
2. Na panelu nástrojů portálu vyberte ikonu Nastavení.
3. V nastavení portálu | Na stránce Adresáře a předplatná v seznamu názvů adresářů najděte adresář tenanta pracovních sil, který obsahuje předplatné Azure a skupinu prostředků ExtIDMonitor, kterou jste vytvořili, a pak vyberte Přepnout.
4. Ověřte, že jste vybrali správný adresář a že je vaše předplatné Azure uvedené a vybrané ve filtru výchozího předplatného.

Konfigurace nastavení diagnostiky

Nastavení diagnostiky definují, kam se mají odesílat protokoly a metriky prostředku. Možné cíle jsou:

• Účet služby Azure Storage
• Řešení event hubs
• Pracovní prostor služby Log Analytics

V tomto příkladu použijeme pracovní prostor služby Log Analytics k vytvoření řídicího panelu. Podle kroků nakonfigurujte nastavení monitorování pro protokoly aktivit externího tenanta:

1. Přihlaste se do Centra pro správu Microsoft Entra.

2. Pokud máte přístup k více tenantům, použijte ikonu Nastavení v horní nabídce a přepněte do externího tenanta z nabídky Adresáře a předplatná. Tento účet musí být členem skupiny zabezpečení, kterou jste zadali dříve.

3. Přejděte do nastavení diagnostiky tak, že přejdete na Monitorování identit>a stav.

4. Pokud pro prostředek existují existující nastavení, zobrazí se seznam nastavení, která jsou už nakonfigurovaná. Pokud chcete přidat nové nastavení, vyberte Přidat nastavení diagnostiky, nebo vyberte Upravit nastavení a upravte existující nastavení. Každé nastavení nesmí mít více než jeden z každého z cílových typů.

   

5. Zadejte název nastavení, pokud ho ještě nemá.

6. Vyberte AuditLogs a SignInLogs.

7. Vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics a pak:

   1. V části Předplatné vyberte své předplatné.
   2. V části Pracovní prostor služby Log Analytics vyberte název pracovního prostoru, který jste vytvořili dříve, například ExtIDLogAnalytics.

8. Zvolte Uložit.

Poznámka:

Může trvat až 15 minut, než se událost vygeneruje, aby se zobrazila v pracovním prostoru služby Log Analytics. Během čekání může být užitečné provést několik akcí pro generování protokolů. Můžete například postupovat podle příručky Začínáme a vytvořit některé konfigurace a zaregistrovat uživatele.

Krok 5: Konfigurace tenanta pracovních sil – vizualizace dat

Teď můžete nakonfigurovat pracovní prostor služby Log Analytics tak, aby vizualizoval vaše data a nastavil upozornění. Tyto konfigurace můžete nastavit v pracovním prostoru i v externím tenantovi.

Vytvoření dotazu

Dotazy na protokoly pomáhají plně používat hodnotu dat shromážděných v protokolech služby Azure Monitor. Výkonný dotazovací jazyk umožňuje spojit data z více tabulek, agregovat velké sady dat a provádět složité operace s minimálním kódem. Prakticky na jakoukoli otázku lze odpovědět a provést analýzu, pokud jsou shromážděna podpůrná data a rozumíte tomu, jak vytvořit správný dotaz. Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor.

1. Přihlaste se k portálu Azure.

2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .

3. V okně pracovního prostoru služby Log Analytics vyberte Protokoly.

4. V editoru dotazů vložte následující dotazovací jazyk Kusto dotaz. Tento dotaz zobrazuje využití zásad podle operace za posledních x dnů. Výchozí doba trvání je nastavená na 90 dnů (90d). Všimněte si, že dotaz se zaměřuje pouze na operaci, ve které zásady vydává token nebo kód.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Vyberte Spustit. Výsledky dotazu se zobrazí v dolní části obrazovky.

6. Pokud chcete dotaz uložit pro pozdější použití, vyberte Uložit.

7. Vyplňte následující podrobnosti:

   • Název – zadejte název dotazu.
   • Uložit jako – vyberte query.
   • Kategorie – vybrat Log.

8. Zvolte Uložit.

Dotaz můžete také změnit tak, aby vizualizoval data pomocí operátoru vykreslování .

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Změna doby uchovávání dat

Protokoly služby Azure Monitor jsou navržené tak, aby škálovaly a podporovaly shromažďování, indexování a ukládání obrovských objemů dat za den z libovolného zdroje ve vašem podniku nebo nasazených v Azure. Ve výchozím nastavení se protokoly uchovávají po dobu 30 dnů, ale dobu uchování je možné prodloužit až na dva roky. Zjistěte, jak spravovat využití a náklady pomocí protokolů služby Azure Monitor. Po výběru cenové úrovně můžete změnit dobu uchovávání dat.

Zakázání shromažďování dat monitorování

Pokud chcete zastavit shromažďování protokolů do pracovního prostoru služby Log Analytics, odstraňte nastavení diagnostiky, která jste vytvořili. Dál vám budou účtovány poplatky za uchovávání dat protokolu, která jste už v pracovním prostoru shromáždili. Pokud už nepotřebujete shromážděná data monitorování, můžete odstranit pracovní prostor služby Log Analytics a skupinu prostředků, kterou jste vytvořili pro Azure Monitor. Odstraněním pracovního prostoru služby Log Analytics se odstraní všechna data v pracovním prostoru a zabrání vám v účtování dalších poplatků za uchovávání dat.

Odstranění pracovního prostoru služby Log Analytics a skupiny prostředků

1. Přihlaste se k portálu Azure.
2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a přepněte do tenanta pracovních sil z nabídky Adresáře a předplatná .
3. Zvolte skupinu prostředků, která obsahuje pracovní prostor služby Log Analytics. Tento příklad používá skupinu prostředků s názvem ExtIDMonitor a pracovní prostor služby Log Analytics s názvem ExtIDLogAnalytics.
4. Odstraňte pracovní prostor služby Logs Analytics.
5. Výběrem tlačítka Odstranit odstraňte skupinu prostředků.

Související obsah

• Použití protokolů auditu a kontrol přístupu