Vlastní výstrahy pro správu ID v Microsoft Entra
Řízení identit Microsoft Entra ID usnadňuje upozorňování lidí ve vaší organizaci, když potřebují provést akci (např. schválit žádost o přístup k prostředku) nebo když obchodní proces nefunguje správně (např. novým zaměstnancům nejsou nastavovány přístupy).
Následující tabulka uvádí některá standardní oznámení, která poskytuje Microsoft Entra ID Governance. To zahrnuje cílovou osobu v organizaci, jakým způsobem a kdy jsou upozorněni.
Ukázka existujících standardních oznámení
| Osoba | Metoda upozornění | Dochvilnost | Příklad upozornění |
|---|---|---|---|
| Koncový uživatel | Teams | Minuty | Tuto žádost o přístup musíte schválit nebo zamítnout; Požadovaný přístup je schválen, použijte novou aplikaci. Další informace |
| Koncový uživatel | Týmy | Dny | Požadovaný přístup vyprší příští týden. Obnovte ho prosím.Víc se uč |
| Koncový uživatel | Dny | Vítejte ve Woodgrovu, tady je váš dočasný přístupový průkaz. Další informace. | |
| Helpdesk | ServiceNow | Minuty | Uživatel musí být ručně nastaven ve starší verzi softwaru aplikace. Další informace |
| It provoz | Hodiny | Nově přijatí zaměstnanci se neimportují z Workday. Další informace |
Vlastní oznámení výstrah
Kromě standardních oznámení poskytovaných Microsoft Entra ID Governance mohou organizace vytvářet vlastní upozornění, aby splnily své potřeby.
Veškerá aktivita prováděná službami zásad správného řízení ID Microsoft Entra se protokoluje v protokolech auditu Microsoft Entra. Zasláním protokolů do pracovního prostoru Azure Monitor Log Analytics mohou organizace vytvářet vlastní výstrahy.
Následující část obsahuje příklady vlastních upozornění, která můžou zákazníci vytvořit integrací zásad správného řízení ID Microsoft Entra se službou Azure Monitor. Pomocí služby Azure Monitor můžou organizace přizpůsobit, jaké výstrahy se generují, kdo výstrahy obdrží a jak obdrží upozornění (e-mail, SMS, lístek technické podpory atd.).
| Funkce | Příklad upozornění |
|---|---|
| Kontroly přístupů | Upozornit správce IT, když je kontrola přístupu odstraněna. |
| Správa nároků | Upozorněte správce IT, když se uživatel přidá přímo do skupiny bez použití přístupového balíčku. |
| Správa nároků | Upozorňovat správce IT při přidání nové připojené organizace. |
| Správa nároků | Upozorňování správce IT na selhání vlastního rozšíření |
| Správa nároků | Upozornit správce IT při vytvoření nebo aktualizaci zásad přiřazení přístupového balíčku pro správu nároků bez nutnosti schválení. |
| Pracovní postupy životního cyklu | Upozornit správce IT, když selže konkrétní pracovní postup. |
| Spolupráce s více tenanty | Upozornění správce IT, když je povolená synchronizace mezi tenanty |
| Spolupráce s více tenanty | Upozornění správce IT, když je povolená zásada přístupu mezi tenanty |
| Řízení privilegované identity | Upozorňovat správce IT, když jsou upozornění PIM zakázaná. |
| Správa privilegiovaných identit | Upozornit správce IT, když je nějaká role přidělena mimo PIM. |
| Zřizování | Upozornit správce IT, když došlo k prudkému nárůstu počtu selhání provisioning za poslední den. |
| Zřizování | Upozornit správce IT, když někdo spustí, zastaví, zakáže, restartuje nebo odstraní konfiguraci zřizování. |
| Nasazení | Upozornit správce IT, když úloha zřizování přejde do karantény. |
Kontroly přístupu
Upozorňovat správce IT na odstranění kontroly přístupu.
Dotaz
AuditLogs
| where ActivityDisplayName == "Delete access review"
Správa nároků
Upozorněte správce IT, když se uživatel přidá přímo do skupiny bez použití přístupového balíčku.
Dotaz
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Upozornit správce IT, když je vytvořena nová připojená organizace. Uživatelé z této organizace teď můžou požádat o přístup k prostředkům dostupným všem připojeným organizacím.
Dotaz
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Upozornit správce IT, když dojde k selhání vlastního rozšíření správy oprávnění.
Dotaz
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Upozornit správce IT při vytvoření nebo aktualizaci zásad přiřazení přístupového balíčku pro správu nároků bez nutnosti schválení.
Dotaz
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Pracovní postupy životního cyklu
Upozornit administrátora IT, když selže konkrétní pracovní postup životního cyklu.
Dotaz
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logika upozornění
- Na základě: Počet výsledků
- Operátor: Rovná se
- Prahová hodnota: 0
Spolupráce s více tenanty
Upozornit správce IT při vytvoření nové zásady přístupu mezi tenanty. Díky tomu může vaše organizace zjistit, kdy byla vytvořena relace s novou organizací.
Dotaz
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Jako správce se mi může zobrazit upozornění, když je zásada synchronizace mezi tenanty nastavená na true. To vaší organizaci umožňuje zjistit, kdy má organizace oprávnění synchronizovat identity s vaším tenantem.
Dotaz
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logika upozornění
Správa privilegovaných identit
Upozorňovat správce IT, když jsou zakázány konkrétní výstrahy zabezpečení PIM.
Dotaz
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Upozornění správce IT při přidání uživatele do role mimo PIM
Následující dotaz je založený na id šablony. Tady najdete seznam ID šablon.
Dotaz
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Zřizování
Upozorněte správce IT, pokud došlo k nárůstu množství selhání při zřizování během posledního dne. Při konfiguraci upozornění v Log Analytics nastavte úroveň agregace na 1 den.
Dotaz
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logika upozornění
- Na základě: Počet výsledků
- Operátor: Větší než
- Prahová hodnota: 10
Upozornit správce IT, když někdo spustí, zastaví, zakáže, restartuje nebo odstraní konfiguraci zřizování.
Dotaz
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Upozornění správce IT, když úloha zřizování přejde do karantény
Dotaz
AuditLogs
| where ActivityDisplayName == "Quarantine"
Další kroky
- Analýza protokolů aktivit Microsoft Entra s využitím služby Azure Monitor Log Analytics
- Začínáme s dotazy v protokolech služby Azure Monitor
- Vytváření a správa skupin upozornění na webu Azure Portal
- Instalace a použití zobrazení Log Analytics pro Microsoft Entra ID
- Archivace protokolů a vytváření zpráv o správě nároků ve službě Azure Monitor