Configurer Azure Monitor dans des clients externes (préversion)

S’applique à : Clients de main-d’œuvre Clients externes (en savoir plus)

Azure Monitor est une solution de complète qui permet de collecter et d’analyser des données de télémétrie en vue d’y répondre, à partir des vos environnements cloud et locaux. Les paramètres de diagnostic de la ressource surveillée spécifient les données à envoyer et où l’envoyer. Pour Microsoft Entra, les options de destination incluent Stockage Azure, Log Analytics et Azure Event Hubs.

Lorsque vous envisagez de transférer les journaux des clients externes vers différentes solutions de surveillance ou vers un référentiel, tenez compte du fait que les journaux des clients externes contiennent des données personnelles. Lorsque vous traitez ces données, veillez à utiliser les mesures de sécurité appropriées sur les données personnelles. Elles incluent la protection contre le traitement non autorisé ou illégal, à l’aide de mesures techniques ou organisationnelles appropriées.

Vue d’ensemble du déploiement

Le client externe utilise la surveillance Microsoft Entra. Contrairement aux clients Microsoft Entra, un client externe ne peut pas avoir d’abonnement associé. Nous devons donc prendre des mesures supplémentaires pour activer l’intégration entre le client externe et Log Analytics, qui est l’emplacement où nous allons envoyer les journaux. Pour activer les paramètres de diagnostic dans le client de main-d’œuvre au sein de votre client externe, vous utilisez Azure Lighthouse pour déléguer une ressource, ce qui permet à votre client externe (le fournisseur de services) de gérer une ressource du client de main-d’œuvre (le Client).

Conseil

Azure Lighthouse est généralement utilisé pour gérer des ressources pour plusieurs clients. Cependant, il peut également être utilisé pour simplifier l’administration des clients au sein d’une entreprise qui possède plusieurs clients Microsoft Entra. Dans notre cas, nous l’utilisons pour déléguer la gestion d’un seul groupe de ressources.

En suivant les étapes décrites dans cet article, vous allez créer un groupe de ressources nommé ExtIDMonitor dans votre client de main d’œuvre et accéder au même groupe de ressources contenant l’espace de travail Log Analytics dans votre client externe. Vous pourrez également transférer les journaux d’un client externe vers votre espace de travail Log Analytics.

Pendant ce déploiement, vous allez autoriser un utilisateur ou un groupe de votre répertoire client externe à configurer l’instance de l’espace de travail Log Analytics au sein du client qui contient votre abonnement Azure. Pour créer l’autorisation, vous déployez un modèle Azure Resource Manager sur l’abonnement qui contient votre espace de travail Log Analytics.

Le diagramme suivant décrit les composants que vous configurerez dans votre client de main-d’œuvre et dans les clients externes.

Pendant ce déploiement, vous allez configurer votre client externe où les journaux d’activité sont générés. Vous allez également configurer le client externe où l’espace de travail Log Analytics sera hébergé. Les comptes des clients externes utilisés (comme votre compte Administrateur) doivent se voir attribuer le rôle Administrateur général sur le client externe. Le compte que vous utiliserez pour exécuter le déploiement dans le client externe doit se voir attribuer le rôle Propriétaire dans l’abonnement à Microsoft Entra. Il est également important de vérifier que vous êtes connecté à l’répertoire correct lorsque vous effectuez chaque étape, comme décrit.

En résumé, vous allez utiliser Azure Lighthouse pour permettre à un utilisateur ou à un groupe de votre client externe de gérer un groupe de ressources dans un abonnement associé à un autre client (le client de main d’œuvre). Une fois cette autorisation terminée, vous pouvez sélectionner l’abonnement et l’espace de travail Log Analytics en tant que cible dans les paramètres de diagnostic dans le client externe.

Prérequis

• Un abonnement Azure. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
• Un compte Microsoft Entra avec le rôle Propriétaire dans l’abonnement Microsoft Entra.
• Un compte dans le client externe affecté au rôle Administrateur général.

Présentation de la configuration

Pour suivre les étapes de configuration décrites dans cet article, nous vous recommandons d’ouvrir deux fenêtres ou onglets de navigateur distincts : un pour le client de main d’œuvre et un pour le client externe. Cette configuration vous aidera à basculer entre les deux clients en fonction des besoins.

Étape 1 : Configuration du client de main d’œuvre – Créer un groupe de ressources et un espace de travail de journaux

Créer un groupe de ressources

Tout d’abord, créez ou choisissez un groupe de ressources qui contient l’espace de travail Log Analytics de destination qui recevra les données du client externe. Spécifiez le nom du groupe de ressources lorsque vous déployez le modèle Azure Resource Manager.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.
3. Créez un groupe de ressources ou utilisez un groupe existant. Cet exemple utilise un groupe de ressources nommé ExtIDMonitor.

Créer un espace de travail Log Analytics

Un espace de travail Log Analytics est un environnement unique pour les données de journal d’activité Azure Monitor. Vous allez utiliser cet espace de travail Log Analytics pour collecter des données à partir d’un client externe, puis la visualiser avec des requêtes.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.
3. Créez un espace de travail Log Analytics. Cet exemple utilise un espace de travail Log Analytics nommé ExtIDLogAnalytics, dans un groupe de ressources nommé ExtIDMonitor.

Ajouter microsoft.insights comme fournisseur de ressources

Au cours de cette étape, vous choisissez votre client externe en tant que fournisseur de services. Vous pouvez définir les autorisations nécessaires pour attribuer les rôles intégrés appropriés aux groupes de votre client Microsoft Entra. Pour afficher tous les fournisseurs de ressources et l’état d’inscription de votre abonnement :

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.
3. Dans le menu du portail Azure, recherchez Abonnements.
4. Sélectionnez l’abonnement que vous souhaitez afficher.
5. Dans le menu de gauche, sous Paramètres, sélectionnez Fournisseurs de ressources.
6. Sélectionnez le fournisseur de ressources microsoft.insights, puis cliquez sur Enregistrer.

Étape 2 : Configuration du client externe : obtenir l’ID de client externe et créer un groupe pour la surveillance des ID externes

Obtenir votre ID de client externe

Tout d’abord, obtenez l’ID de client de votre client externe. Vous aurez besoin de cet ID pour configurer le client externe pour envoyer des journaux à l’espace de travail Log Analytics dans le client du personnel.

1. Connectez-vous au Centre d’administration Microsoft Entra.
2. Si vous avez accès à plusieurs clients, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
3. Sélectionnez Vue d’ensemble du client, puis sélectionnez Vue d’ensemble.
4. Enregistrez l’ID de client.

Création d’un groupe pour la surveillance des ID externes

Créez maintenant un groupe ou utilisateur auquel vous voulez octroyer l’autorisation sur le groupe de ressources que vous avez créé précédemment dans l’répertoire contenant votre abonnement.

Pour faciliter la gestion, nous vous recommandons d’utiliser des groupes d’utilisateurs Microsoft Entra pour chaque rôle, ce qui vous permet d’ajouter ou de supprimer des utilisateurs dans le groupe au lieu d’attribuer directement des autorisations aux utilisateurs. Dans cette procédure pas à pas, nous allons ajouter un groupe de sécurité.

1. Connectez-vous au Centre d’administration Microsoft Entra.
2. Si vous avez accès à plusieurs clients, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
3. Sélectionnez Groupes, puis sélectionnez un groupe. Si vous n’avez pas de groupe existant, créez un groupe Sécurité, puis ajoutez des membres. Pour plus d’informations, suivez la procédure figurant dans Créer un groupe de base et ajouter des membres avec le client de main d’œuvre.
4. Sélectionnez Vue d’ensemble et enregistrez l’ID d’objet du groupe.

Étape 3 : Configuration du client de main-d’œuvre – configurer Azure Lighthouse

Création d’un modèle Azure Resource Manager

Pour créer l’autorisation et la délégation personnalisées dans Azure Lighthouse, nous utilisons un modèle Azure Resource Manager. Ce modèle permet au client externe d’accéder au groupe de ressources Microsoft Entra que vous avez créé précédemment, par exemple ExtIDMonitor. Déployez le modèle à partir de l’exemple GitHub à l’aide du bouton Déployer sur Azure, qui ouvre le portail Azure et vous permet de configurer et de déployer le modèle directement dans le portail. Pour cette procédure, assurez-vous que vous êtes connecté à votre client de main d’œuvre Microsoft Entra (et non au client externe).

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.

3. Le bouton Déployer sur Azure permet d’ouvrir le portail Azure et de déployer le modèle directement dans le portail. Pour plus d’informations, consultez Créer un modèle Azure Resource Manager.

   

4. Sur la page Déploiement personnalisé, entrez les informations suivantes :

   Champ	Définition
   Abonnement	Sélectionnez le répertoire qui contient l’abonnement Azure dans lequel le groupe de ressources ExtIDMonitor a été créé.
   Région	Sélectionnez la région où la ressource sera déployée.
   Nom de l’offre MSP	Nom décrivant cette définition. Par exemple, ExtIDMonitor. Il s’agit du nom qui sera affiché dans Azure Lighthouse. Le nom de l’offre MSP doit être unique dans votre client de main d’œuvre. Pour surveiller plusieurs clients externes, utilisez des noms différents.
   Description de l’offre MSP	Courte description de votre offre. Par exemple, activez Azure Monitor dans le client externe.
   Géré par l’ID de client	L’ID de client de votre client externe (également appelé ID de répertoire).
   Autorisations	Spécifiez un tableau JSON d’objets qui incluent le client de main-d’œuvre principalId, principalIdDisplayName et Azure roleDefinitionId. Ce principalId est l’ID d’objet du groupe ou de l’utilisateur qui aura accès aux ressources de cet abonnement Azure. Pour cette démonstration, spécifiez l’ID d’objet du groupe que vous avez enregistré plus tôt dans le client externe. Pour roleDefinitionId, utilisez la valeur du rôle intégré du rôle Contributeur, b24988ac-6180-42a0-ab88-20f7382dd24c.
   Nom du groupe de ressources	Nom du groupe de ressources que vous avez créé précédemment dans votre client de main d’œuvre. Par exemple, ExtIDMonitor.

   L’exemple suivant illustre un tableau d’autorisations avec un groupe de sécurité.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

Une fois le modèle déployé, quelques minutes peuvent être nécessaires (généralement pas plus de cinq) pour effectuer la projection des ressources. Vous pouvez vérifier le déploiement dans votre client de main d’œuvre et obtenir les détails de la projection de ressources. Pour plus d’informations, consultez Voir et gérer les fournisseurs de services.

Étape 4 : Configuration du client externe – sélectionner votre abonnement

Une fois que vous avez déployé le modèle et patienté quelques minutes pour que la projection des ressources s’effectue, procédez comme suit pour associer votre abonnement à votre client externe.

Remarque

Dans la page Paramètres du portail | Répertoires + abonnements, assurez-vous que vos clients externes et de main d’œuvre sont sélectionnés sous Répertoires délégués + actuels.

Sélectionner votre abonnement

1. Déconnectez-vous du portail Azure et reconnectez-vous avec votre compte administratif de client externe. Ce compte doit être membre du groupe de sécurité que vous avez spécifié précédemment. La déconnexion et la restauration permettent à vos informations d’identification de session d’être actualisées à l’étape suivante.
2. Sélectionnez l’icône Paramètres dans la barre d’outils du portail.
3. Sur la page Paramètres du portail | Répertoires + abonnements, dans la liste Nom du répertoire, recherchez votre répertoire de client externe qui contient l’abonnement Azure et le groupe de ressources ExtIDMonitor que vous avez créé, puis sélectionnez Basculer.
4. Vérifiez que vous avez sélectionné le répertoire approprié et que votre abonnement Azure est répertorié et sélectionné dans le filtre Abonnement par défaut.

Configurer les paramètres de diagnostic

Les paramètres de diagnostic définissent où les journaux et les métriques d’une ressource doivent être envoyés. Les destinations possibles sont les suivantes :

• Compte Azure Storage
• Solutions Event Hub
• Espace de travail Log Analytics

Dans cet exemple, nous utilisons l’espace de travail Log Analytics pour créer un tableau de bord. Suivez les étapes pour configurer les paramètres de surveillance des journaux d’activité du client externe :

1. Connectez-vous au Centre d’administration Microsoft Entra.

2. Si vous avez accès à plusieurs clients, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements. Ce compte doit être membre du groupe de sécurité que vous avez spécifié précédemment.

3. Accédez aux paramètres de diagnostic en naviguant vers Identité>Surveillance et santé.

4. Si des paramètres sont définis pour la ressource, la liste des paramètres configurés s’affiche. Sélectionnez Ajouter un paramètre de diagnostic pour ajouter un paramètre ou Modifier les paramètres pour modifier un paramètre existant. Chaque paramètre ne peut pas avoir plus d’un type de destination.

   

5. Si votre paramètre n’a pas de nom, nommez-le.

6. Sélectionnez AuditLogs et SignInLogs.

7. Sélectionnez Envoyer à l’espace de travail Log Analytics, puis :

   1. Sous Abonnement, sélectionnez votre abonnement.
   2. Sous Espace de travail Log Analytics, sélectionnez le nom de l’espace de travail que vous avez créé précédemment, par exemple ExtIDLogAnalytics.

8. Cliquez sur Enregistrer.

Notes

Il peut falloir jusqu’à 15 minutes après l’émission d’un événement pour qu’il s’affiche dans un espace de travail Log Analytics. Pendant que vous attendez, il peut être utile d’effectuer certaines actions pour générer des journaux. Par exemple, vous pouvez suivre le guide de prise en main pour créer certaines configurations et inscrire un utilisateur.

Étape 5 : Configuration du client de main-d’œuvre : visualiser vos données

Vous pouvez maintenant configurer votre espace de travail Log Analytics pour visualiser vos données et configurer des alertes. Vous pouvez effectuer ces configurations dans votre espace de travail et votre client externe.

Créer une requête

Les requêtes de journal vous permettent d’utiliser pleinement la valeur des données collectées dans les journaux d’activité Azure Monitor. Un puissant langage de requête vous permet de joindre des données provenant de plusieurs tables, d’agréger des jeux de données volumineux et d’effectuer des opérations complexes avec un minimum de code. Vous pouvez répondre à pratiquement n’importe quelle question et effectuer n’importe quelle analyse tant que les données de soutien ont été collectées et que vous comprenez comment construire la bonne requête. Pour plus d’informations, consultez Bien démarrer avec les requêtes de journal dans Azure Monitor.

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.

3. Dans la fenêtre espace de travail Log Analytics, sélectionnez Journaux

4. Dans l’éditeur de requête, collez la requête Langage de requête Kusto suivante. Cette requête affiche l’utilisation de la stratégie par opération au cours des x derniers jours. La durée par défaut est définie sur 90 jours (90j). Notez que la requête est axée uniquement sur l’opération dans laquelle un jeton/code est émis par la stratégie.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Sélectionnez Exécuter. Les résultats de la requête sont affichés en bas de l’écran.

6. Pour enregistrer votre requête en vue d’une utilisation ultérieure, sélectionnez Enregistrer.

7. Complétez les détails suivants :

   • Nom : entrez le nom de votre requête.
   • Enregistrer sous : sélectionnez query.
   • Catégorie : sélectionnez Log.

8. Sélectionnez Enregistrer.

Vous pouvez également modifier votre requête pour visualiser les données à l’aide de l’opérateur afficher.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Changer la période de rétention des données

Les journaux Azure Monitor sont conçus pour la mise à l’échelle et la prise en charge de la collecte, de l’indexation et du stockage de quantités importantes de données quotidiennes provenant de toute source de votre entreprise ou déployées dans Azure. Par défaut, les journaux sont conservés pendant 30 jours, mais la durée de rétention peut être augmentée jusqu’à deux ans. Apprenez à Gérer l’utilisation et les coûts avec les journaux Azure Monitor. Après avoir sélectionné le niveau tarifaire, vous pouvez Modifier la période de conservation des données.

Désactiver la surveillance des collectes de données

Pour arrêter la collecte des journaux dans votre espace de travail Log Analytics, supprimez les paramètres de diagnostic créés. Vous continuerez à être facturé pour conserver les données de journaux que vous avez déjà collectées dans votre espace de travail. Si vous n’avez plus besoin des données de surveillance que vous avez collectées, vous pouvez supprimer votre espace de travail Log Analytics et le groupe de ressources créé pour Azure Monitor. La suppression de l’espace de travail Log Analytics supprime toutes les données de l’espace de travail et vous évite de devoir payer des frais de conservation des données supplémentaires.

Suppression d’un espace de travail et d’un groupe de ressources Log Analytics

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs clients, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre client de main d’œuvre à partir du menu Répertoires + abonnements.
3. Choisissez le groupe de ressources contenant l’espace de travail Log Analytics. Cet exemple utilise un groupe de ressources nommé ExtIDMonitor et un espace de travail Log Analytics nommé ExtIDLogAnalytics.
4. Supprimez l’espace de travail Logs Analytics.
5. Sélectionnez le bouton Supprimer pour supprimer le groupe de ressources.

Contenu connexe

• Utiliser des journaux d’audit et des révisions d’accès