Compartir a través de

Configuración de Azure Monitor en inquilinos externos (versión preliminar)

  • Artículo

Se aplica a: Círculo blanco con un símbolo X gris. Inquilinos de personal Círculo verde con un símbolo de marca de verificación blanco. Inquilinos externos (obtener más información)

Azure Monitor es una solución completa es una solución completa para recopilar, analizar y responder a los datos de supervisión de sus entornos en la nube y locales. La configuración de diagnóstico en el recurso supervisado especifica qué datos se van a enviar y dónde enviarlos. Para Microsoft Entra, las opciones de destino incluyen Azure Storage, Log Analytics y Azure Event Hubs.

Diagrama del flujo de Azure Monitor.

Al planear la transferencia de registros de inquilinos externos a diferentes soluciones de supervisión, o repositorio, ten en cuenta que los registros de inquilinos externos contienen datos personales. Al procesar estos datos, asegúrate de usar las medidas de seguridad adecuadas para los datos personales. Entre estas se incluye protección contra el procesamiento no autorizado o ilegal mediante las medidas técnicas u organizativas adecuadas.

Descripción general de la implementación

El inquilino externo usa la supervisión de Microsoft Entra. A diferencia de los inquilinos de Microsoft Entra, un inquilino externo no puede tener una suscripción asociada. Por lo tanto, es necesario realizar algunos pasos adicionales para habilitar la integración entre un inquilino externo y Log Analytics, que es donde se enviarán los registros. Para habilitar la configuración de diagnóstico en el inquilino del personal dentro del inquilino externo, usa Azure Lighthouse para delegar un recurso, lo que permite que el inquilino externo (el proveedor de servicios) administre un recurso de inquilino de personal (el cliente).

Sugerencia

Azure Lighthouse se usa normalmente para administrar recursos de varios clientes. Sin embargo, también se puede usar para simplificar la administración entre inquilinos dentro de una empresa que tiene varios inquilinos de Microsoft Entra propios. En nuestro caso, lo usamos para delegar la administración de un único grupo de recursos.

Siguiendo los pasos descritos en este artículo, crearás un nuevo grupo de recursos denominado ExtIDMonitor en el inquilino del personal y obtendrás acceso al mismo grupo de recursos que contiene el área de trabajo de Log Analytics en el inquilino externo. También podrás transferir los registros desde el inquilino externo al área de trabajo de Log Analytics.

Durante esta implementación, autorizarás a un usuario o grupo en el directorio de inquilino externo para configurar la instancia del área de trabajo de Log Analytics en el inquilino que contiene su suscripción a Azure. Para crear la autorización, implementa una plantilla de Azure Resource Manager en la suscripción que contiene el área de trabajo de Log Analytics.

En el siguiente diagrama se muestran los componentes que se configurarán en tu inquilino de personal y en los inquilinos externos.

Gráfica de flujo de la proyección del grupo de recursos.

Durante esta implementación, configurarás el inquilino externo donde se generan los registros. También configurarás el inquilino externo donde se hospedará el área de trabajo de Log Analytics. Las cuentas de Azure AD B2C utilizadas (como tu cuenta de administrador) deben asignarse al rol de Administrador global en el inquilino externo. La cuenta que usarás para ejecutar la implementación en el inquilino externo debe tener asignado el rol Propietario en la suscripción de Microsoft Entra. También es importante asegurarte de que has iniciado sesión en el directorio correcto a medida que completa cada paso tal y como se describe.

En resumen, usarás Azure Lighthouse para permitir que un usuario o grupo del inquilino externo administre un grupo de recursos en una suscripción asociada a otro inquilino (el inquilino de personal). Una vez completada esta autorización, la suscripción y el área de trabajo de Log Analytics se pueden seleccionar como destino en la configuración de diagnóstico del inquilino externo.

Requisitos previos

  • Suscripción a Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.
  • Una cuenta de Microsoft Entra con el rol Propietario en la suscripción de Microsoft Entra.
  • Una cuenta en el inquilino externo a la que se le ha asignado el rol de administrador global.

Información general sobre la configuración

Para seguir los pasos de configuración de este artículo, se recomienda abrir dos ventanas o pestañas del explorador independientes: una para el inquilino de personal y otra para el inquilino externo. Esta configuración te ayudará a cambiar entre los dos inquilinos según sea necesario.

Paso 1: Configuración del inquilino del personal: creación de un grupo de recursos y un área de trabajo de registros

Crear un grupo de recursos

En primer lugar, crea o elige un grupo de recursos que contenga el área de trabajo de Log Analytics de destino que recibirá los datos del inquilino externo. El nombre del grupo de recursos se especificará al implementar la plantilla de Resource Manager.

  1. Inicia sesión en Azure Portal.
  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Crea un grupo de recursos o elige uno existente. En este ejemplo se usa un grupo de recursos denominado ExtIDMonitor.

Creación de un área de trabajo de Log Analytics

Un área de trabajo de Log Analytics es un entorno único de datos de registro de Azure Monitor. Usarás este área de trabajo de Log Analytics para recopilar datos del inquilino externo y, a continuación, visualizarlos con consultas.

  1. Inicie sesión en Azure Portal.
  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Crear un área de trabajo de Log Analytics. En este ejemplo se usa un área de trabajo de Log Analytics denominada ExtIDLogAnalytics, en un grupo de recursos denominado ExtIDMonitor.

Añade el proveedor de recursos "microsoft.insights"

En este paso, se elige el inquilino externo como proveedor de servicios. También puedes definir las autorizaciones que necesites para asignar los roles integrados adecuados a grupos de tu inquilino de Microsoft Entra. Para ver todos los proveedores de recursos y el estado de registro de tu suscripción:

  1. Inicie sesión en Azure Portal.
  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. En el menú de Azure Portal, busca Suscripciones.
  4. Selecciona la suscripción que quieres ver.
  5. En el menú de la izquierda, en Configuración, selecciona Proveedores de recursos.
  6. Selecciona el proveedor de recursos microsoft.insights y Registrar.

Paso 2: Configuración de inquilino externo: obtener el identificador de inquilino externo y crear un grupo para la supervisión de identificadores externos

Obtención del identificador de inquilino externo

Primero, obtén el identificador de inquilino de tu inquilino externo. Necesitarás este identificador para configurar el inquilino externo para enviar registros al área de trabajo de Log Analytics en el inquilino del personal.

  1. Inicia sesión en el Centro de administración Microsoft Entra.
  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior y cambia a tu inquilino externo desde el menú Directorios y suscripciones.
  3. Selecciona Información general sobre inquilinos e Información general.
  4. Anota el Identificador de inquilino.

Crear un grupo para la supervisión de identificadores externos

Ahora crea un grupo o usuario al que desees conceder permiso para el grupo de recursos que creaste anteriormente en el directorio que contiene la suscripción.

Para facilitar la administración, se recomienda usar grupos de usuarios de Microsoft Entra para cada rol, y así poder agregar o quitar usuarios individuales en el grupo, en lugar de asignar permisos directamente a ese usuario. En este tutorial, se agregará un grupo de seguridad.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior y cambia a tu inquilino externo desde el menú Directorios y suscripciones.
  3. Selecciona Grupos y, a continuación, un grupo. Si no tienes un grupo existente, crea un grupo de seguridad y, a continuación, agrega miembros. Para más información, sigue el procedimiento que se describe en Creación de un grupo básico e incorporación de miembros con el inquilino de personal.
  4. Selecciona Información general y anota el identificador de objeto del grupo.

Paso 3: Configuración del inquilino del personal: configuración de Azure Lighthouse

Crear de una plantilla de Azure Resource Manager

Para crear la autorización y delegación personalizadas en Azure Lighthouse, se usa una plantilla de Azure Resource Manager. Esta plantilla concede al inquilino externo acceso al grupo de recursos de Microsoft Entra que creaste anteriormente, por ejemplo, ExtIDMonitor. Implementa la plantilla desde el ejemplo de GitHub mediante el botón Implementar en Azure, que abre Azure Portal y te permite configurar e implementar la plantilla directamente en el portal. Para estos pasos, asegúrate de que has iniciado sesión en tu inquilino de personal de Microsoft Entra (no en el inquilino externo).

  1. Inicie sesión en Azure Portal.

  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Usa el botón Implementar en Azure para abrir Azure Portal e implementar la plantilla directamente en el portal. Para más información, consulte Creación de una plantilla de Azure Resource Manager.

    Implementación en Azure

  4. En la página Implementación personalizada, especifique la siguiente información:

    Campo Definición
    Suscripción Selecciona el directorio que contiene la suscripción de Azure en la que se creó el grupo de recursos ExtIDMonitor.
    Región Elija la región donde se va a implementar el recurso.
    Nombre de la oferta de MSP Nombre que describe esta definición. Por ejemplo, ExtIDMonitor. Es el nombre que se mostrará en Azure Lighthouse. El nombre de la oferta de MSP debe ser único en el inquilino de personal. Para supervisar varios inquilinos externos, usa nombres diferentes.
    Descripción de la oferta de MSP Descripción breve de la oferta. Por ejemplo, Habilita Azure Monitor en el inquilino externo.
    Administrado por identificador de inquilino El identificador de inquilino del inquilino externo (también conocido como identificador de directorio).
    Autorizaciones Especifica una matriz JSON de objetos que incluya el inquilino de personal principalId, principalIdDisplayName y roleDefinitionId de Azure. principalId es el identificador de objeto del grupo o usuario que tendrá acceso a los recursos de esta suscripción a Azure. Para este tutorial, especifica el identificador de objeto del grupo que anotaste anteriormente en el inquilino externo. Para roleDefinitionId, usa el valor rol integrado para el rol Colaborador, b24988ac-6180-42a0-ab88-20f7382dd24c.
    Nombre del grupo de recursos Nombre del grupo de recursos que creaste anteriormente en el inquilino de personal. Por ejemplo, ExtIDMonitor.

    En el ejemplo siguiente se muestra una matriz de autorizaciones con un grupo de seguridad.

    [
  {
    "principalId": "<Replace with group's OBJECT ID>",
    "principalIdDisplayName": "external tenant administrators",
    "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
  }
]

Después de implementar la plantilla, la proyección de recursos puede tardar unos minutos en completarse (habitualmente menos de 5 minutos). Puedes comprobar la implementación en el inquilino de personal y obtener los detalles de la proyección de recursos. Para obtener más información, consulta Visualización y administración de proveedores de servicios.

Paso 4: Configuración de inquilino externo: selección de la suscripción

Una vez que hayas implementado la plantilla y esperado unos minutos a que se complete la proyección de recursos, sigue estos pasos para asociar la suscripción con tu inquilino externo.

Nota:

En la Configuración del portal | en la página Directorios y suscripciones, asegúrate de que los inquilinos externos y de personal estén seleccionados en Directorios actuales y delegados.

Selecciona la suscripción

  1. Cierra sesión en Azure portal e inicia sesión con tu cuenta administrativa externa. Esta cuenta debe ser miembro del grupo de seguridad que especificaste anteriormente. Cerrar sesión y volver a iniciarla permite actualizar las credenciales de sesión en el paso siguiente.
  2. Selecciona el icono Configuración en la barra de herramientas del portal.
  3. En la página Configuración del portal | Directorios y suscripciones, en la lista Nombre de directorio, busca el directorio de inquilino de personal que contiene la suscripción de Azure y el grupo de recursos ExtIDMonitor que has creado y, después, selecciona Cambiar.
  4. Comprueba que has seleccionado el directorio correcto y que la suscripción de Azure aparece y está seleccionada en el filtro Suscripción predeterminada.

Captura de pantalla del filtro de suscripciones predeterminado.

Configuración de diagnóstico

La configuración de diagnóstico define dónde se deben enviar los registros y las métricas de un recurso. Los posibles destinos son:

En este ejemplo, se usa el área de trabajo de Log Analytics para crear un panel. Sigue los pasos para configurar las opciones de supervisión de los registros de actividad del inquilino externo:

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Si tienes acceso a varios inquilinos, usa el icono Configuración en el menú superior y cambia a tu inquilino externo desde el menú Directorios y suscripciones. Esta cuenta debe ser miembro del grupo de seguridad que especificaste anteriormente.

  3. Ve a Configuración de diagnóstico a través de Identidad>Supervisión y mantenimiento.

  4. Si hay una configuración para el recurso, verás una lista de opciones ya configuradas. Puede seleccionar Agregar configuración de diagnóstico para agregar una nueva configuración o Editar configuración para modificar una existente. Cada configuración no puede tener más de uno de los tipos de destino.

    Captura de pantalla de la Configuración de diagnóstico.

  5. Asigna un nombre a la configuración, si aún no lo tiene.

  6. Seleccione AuditLogs y SignInLogs.

  7. Seleccione Enviar al área de trabajo de Log Analytics y, a continuación, haga lo siguiente:

    1. En Suscripción, selecciona la suscripción.
    2. En Área de trabajo de Log Analytics, selecciona el nombre del área de trabajo que creaste anteriormente, como ExtIDLogAnalytics.

  8. Selecciona Guardar.

Nota:

Pueden transcurrir hasta 15 minutos para que un evento emitido aparezca en un área de trabajo de Log Analytics. Mientras esperas, puede resultar útil realizar algunas acciones para generar registros. Por ejemplo, puedes seguir la Guía de introducción para crear algunas configuraciones y registrar un usuario.

Paso 5: Configuración del inquilino del personal: visualización de los datos

Ahora puedes configurar el área de trabajo de Log Analytics para visualizar los datos y configurar alertas. Puedes realizar estas configuraciones tanto en el área de trabajo como en el inquilino externo.

Creación de una consulta

Las consultas de registro ayudan a usar al máximo el valor de los datos recopilados en los registros de Azure Monitor. Un lenguaje de consulta eficaz permite combinar datos de varias tablas, agregar grandes conjuntos de datos y realizar operaciones complejas con una mínima cantidad de código. Se puede responder casi cualquier pregunta y realizar cualquier análisis, siempre y cuando se hayan recopilado los datos de respaldo y comprendas cómo construir la consulta adecuada. Para más información, consulta Introducción a las consultas de registro en Azure Monitor.

  1. Inicie sesión en Azure Portal.

  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. En la ventana Área de trabajo de Log Analytics, selecciona Registros

  4. En el editor de consultas, pegue la siguiente consulta del lenguaje de consulta Kusto. Esta consulta muestra el uso de la directiva por operación durante los últimos X días. El período predeterminado está establecido en 90 días (90d). Tenga en cuenta que la consulta solo se centra en operaciones en las que se emite un token o código mediante la directiva.

    AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last

  5. Seleccione Run (Ejecutar). Los resultados de la consulta se muestran en la parte inferior de la pantalla.

  6. Para guardar la consulta para su uso posterior, selecciona Guardar.

Captura de pantalla del editor de registro de Log Analytics.

  1. Rellena la siguiente información:

    • Nombre: escriba el nombre de la consulta.
    • Guardar como: seleccione query.
    • Categoría: seleccione Log.

  2. Seleccione Guardar.

También puedes cambiar la consulta para visualizar los datos mediante el operador render.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Captura de pantalla del gráfico circular del editor de registro de Log Analytics.

Cambio del período de retención de datos

Los registros de Azure Monitor están diseñados para escalar y admitir la recopilación, indexación y almacenamiento de grandes cantidades de datos por día provenientes de cualquier origen dentro de su empresa o implementados en Azure. De forma predeterminada, los registros se conservan durante 30 días, pero la duración de la retención se puede aumentar hasta 2 años. Obtenga información acerca de cómo administrar el uso y los costos con los registros de Azure Monitor. Después de seleccionar el plan de tarifa, puede cambiar el período de retención de datos.

Deshabilitar supervisión y recopilación de datos

Para dejar de recopilar registros en el área de trabajo de Log Analytics, elimine la configuración de diagnóstico que ha creado. Seguirá incurriendo en cargos por conservar los datos de registro que ya ha recopilado en el área de trabajo. Si ya no necesita los datos de supervisión que ha recopilado, puede eliminar el área de trabajo de Log Analytics y el grupo de recursos que ha creado para Azure Monitor. Al eliminar el área de trabajo de Log Analytics, se eliminan todos los datos del área de trabajo y se impide incurrir en cargos de retención de datos adicionales.

Eliminación del área de trabajo y el grupo de recursos de Log Analytics

  1. Inicie sesión en Azure Portal.
  2. Si tienes acceso a varios inquilinos, selecciona el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
  3. Elige el grupo de recursos que contiene el área de trabajo de Log Analytics. En este ejemplo, se usa un grupo de recursos denominado ExtIDMonitor y un área de trabajo de Log Analytics denominada ExtIDLogAnalytics.
  4. Elimina el área de trabajo de Log Analytics.
  5. Selecciona el botón Eliminar para eliminar el grupo de recursos.

Contenido relacionado