Monitorování změn konfigurace federace v ID Microsoft Entra

Když federujete místní prostředí s ID Microsoft Entra, vytvoříte vztah důvěryhodnosti mezi místním zprostředkovatelem identity a ID Microsoft Entra.

Vzhledem k této zavedené důvěře Microsoft Entra ID uznává zabezpečovací token vydaný místním zprostředkovatelem identity po ověření, aby udělil přístup k prostředkům chráněným Microsoft Entra ID.

Proto je důležité, aby se tento vztah důvěryhodnosti (konfigurace federace) pečlivě monitoroval a všechna neobvyklá nebo podezřelá aktivita se zachytila.

Pokud chcete monitorovat důvěryhodný vztah, doporučujeme nastavit upozornění, abyste byli informováni o změnách konfigurace federace.

Nastavení upozornění pro monitorování vztahu důvěryhodnosti

Pokud chcete nastavit výstrahy pro monitorování vztahu důvěryhodnosti, postupujte takto:

1. Nakonfigurujte protokoly auditu Microsoft Entra pro tok do pracovního prostoru Azure Log Analytics.
2. Vytvoření pravidla upozornění, které se aktivuje na základě dotazu protokolu Microsoft Entra ID.
3. Přidat skupinu akcí do pravidla upozornění, které obdrží oznámení, když je splněna podmínka upozornění.

Po nakonfigurování prostředí probíhá tok dat takto:

1. Protokoly Microsoft Entra se plní podle aktivity v nájemci.

2. Informace protokolu se přetékají do pracovního prostoru služby Azure Log Analytics.

3. Úloha na pozadí ze služby Azure Monitor spustí dotaz protokolu na základě konfigurace pravidla upozornění v kroku konfigurace (2) výše.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Pokud výsledek dotazu odpovídá logice upozornění (tj. počet výsledků je větší nebo roven 1), pak se skupina akcí spustí. Předpokládejme, že to zafungovalo, takže tok pokračuje v kroku 5.

5. Oznámení se odešle skupině akcí vybrané při konfiguraci výstrahy.

Poznámka

Kromě nastavení upozornění doporučujeme pravidelně kontrolovat nakonfigurované domény v rámci vašeho tenanta Microsoft Entra a odebírat všechny zastaralé, nerozpoznané nebo podezřelé domény.

Další kroky

• integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
• Vytvořte, zobrazte a spravujte upozornění protokolu pomocí služby Azure Monitor
• Správa důvěryhodnosti služby AD FS s ID Microsoft Entra pomocí Microsoft Entra Connect
• osvědčené postupy pro zabezpečení služby Active Directory Federation Services