Monitorování změn konfigurace federace v ID Microsoft Entra
Když federujete místní prostředí s ID Microsoft Entra, vytvoříte vztah důvěryhodnosti mezi místním zprostředkovatelem identity a ID Microsoft Entra.
Vzhledem k této zavedené důvěře Microsoft Entra ID uznává zabezpečovací token vydaný místním zprostředkovatelem identity po ověření, aby udělil přístup k prostředkům chráněným Microsoft Entra ID.
Proto je důležité, aby se tento vztah důvěryhodnosti (konfigurace federace) pečlivě monitoroval a všechna neobvyklá nebo podezřelá aktivita se zachytila.
Pokud chcete monitorovat důvěryhodný vztah, doporučujeme nastavit upozornění, abyste byli informováni o změnách konfigurace federace.
Nastavení upozornění pro monitorování vztahu důvěryhodnosti
Pokud chcete nastavit výstrahy pro monitorování vztahu důvěryhodnosti, postupujte takto:
- Nakonfigurujte protokoly auditu Microsoft Entra pro tok do pracovního prostoru Azure Log Analytics.
- Vytvoření pravidla upozornění, které se aktivuje na základě dotazu protokolu Microsoft Entra ID.
- Přidat skupinu akcí do pravidla upozornění, které obdrží oznámení, když je splněna podmínka upozornění.
Po nakonfigurování prostředí probíhá tok dat takto:
Protokoly Microsoft Entra se plní podle aktivity v nájemci.
Informace protokolu se přetékají do pracovního prostoru služby Azure Log Analytics.
Úloha na pozadí ze služby Azure Monitor spustí dotaz protokolu na základě konfigurace pravidla upozornění v kroku konfigurace (2) výše.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
Pokud výsledek dotazu odpovídá logice upozornění (tj. počet výsledků je větší nebo roven 1), pak se skupina akcí spustí. Předpokládejme, že to zafungovalo, takže tok pokračuje v kroku 5.
Oznámení se odešle skupině akcí vybrané při konfiguraci výstrahy.
Poznámka
Kromě nastavení upozornění doporučujeme pravidelně kontrolovat nakonfigurované domény v rámci vašeho tenanta Microsoft Entra a odebírat všechny zastaralé, nerozpoznané nebo podezřelé domény.
Další kroky
- integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
- Vytvořte, zobrazte a spravujte upozornění protokolu pomocí služby Azure Monitor
- Správa důvěryhodnosti služby AD FS s ID Microsoft Entra pomocí Microsoft Entra Connect
- osvědčené postupy pro zabezpečení služby Active Directory Federation Services