Condividi tramite


Configurare Monitoraggio di Azure in tenant esterni (anteprima)

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant delle risorse Cerchio verde con segno di spunta bianco. Tenant esterni (altre informazioni)

Monitoraggio di Azure è una soluzione di monitoraggio completa per la raccolta, l'analisi e la risposta ai dati di monitoraggio dagli ambienti cloud e locali. Le impostazioni di diagnostica nella risorsa monitorata specificano i dati da inviare e dove inviarli. Per Microsoft Entra, le opzioni di destinazione includono Archiviazione di Azure, Analisi dei log e Hub eventi di Azure.

Diagramma del flusso di Monitoraggio di Azure.

Quando si prevede di trasferire i log del tenant esterno a diverse soluzioni di monitoraggio o repository, tenere in considerazione che i log tenant esterni contengono dati personali. Quando si elaborano tali dati, assicurarsi di usare misure di sicurezza appropriate per i dati personali. Include la protezione contro l'elaborazione non autorizzata o illecita, utilizzando misure tecniche o organizzative appropriate.

Panoramica della distribuzione

Il tenant esterno usa il monitoraggio di Microsoft Entra. A differenza dei tenant di Microsoft Entra, a un tenant esterno non può essere associata una sottoscrizione. È quindi necessario eseguire passaggi aggiuntivi per abilitare l'integrazione tra tenant esterno e Analisi dei log, che è dove vengono inviati i log. Per abilitare le impostazioni di diagnostica nel tenant della forza lavoro all'interno del tenant esterno, si usa Azure Lighthouse per delegare una risorsa, che consente al tenant esterno (il provider di servizi) di gestire una risorsa tenant della forza lavoro (il cliente).

Suggerimento

Azure Lighthouse viene in genere usato per gestire le risorse per più clienti. Tuttavia, può essere usato anche per semplificare l'amministrazione tra tenant all'interno di un'azienda con più tenant Microsoft Entra propri. In questo caso, viene usato per delegare la gestione di un singolo gruppo di risorse.

Seguendo i passaggi descritti in questo articolo, si creerà un nuovo gruppo di risorse denominato ExtIDMonitor nel tenant della forza lavoro e si otterrà l'accesso allo stesso gruppo di risorse contenente l'area di lavoro Log Analytics nel tenant esterno. Inoltre, sarà possibile trasferire i log dal tenant esterno all'area di lavoro Log Analytics.

Nel corso di questa distribuzione si autorizza un utente o un gruppo nella directory del tenant esterno a configurare l'istanza dell'area di lavoro Log Analytics all'interno del tenant che contiene la sottoscrizione di Azure. Per creare l'autorizzazione, distribuire un modello di Azure Resource Manager nella sottoscrizione che contiene l'area di lavoro Log Analytics.

Il diagramma seguente illustra i componenti che verranno configurati nel tenant della forza lavoro e nei tenant esterni.

Diagramma di flusso della proiezione del gruppo di risorse.

Nel corso di questa distribuzione si configurerà il tenant esterno in cui vengono generati i log. Si configurerà anche il tenant esterno in cui verrà ospitata l'area di lavoro Log Analytics. Agli account tenant esterni usati (ad esempio l'account amministratore) deve essere assegnato il ruolo amministratore globale nel tenant esterno. All'account che si userà per eseguire la distribuzione nel tenant esterno deve essere assegnato il ruolo Proprietario nella sottoscrizione di Microsoft Entra. Inoltre, è importante assicurarsi di aver eseguito l'accesso alla directory corretta durante il completamento di ogni passaggio, come descritto.

In sintesi, si userà Azure Lighthouse per consentire a un utente o a un gruppo nel tenant esterno di gestire un gruppo di risorse in una sottoscrizione associata a un tenant diverso (il tenant della forza lavoro). Al termine dell'autorizzazione, è possibile selezionare la sottoscrizione e l'area di lavoro Log Analytics come destinazione nelle impostazioni di diagnostica nel tenant esterno.

Prerequisiti

Panoramica della configurazione

Per seguire i passaggi di configurazione descritti in questo articolo, è consigliabile aprire due finestre o schede separate del browser: una per il tenant della forza lavoro e una per il tenant esterno. Questa configurazione consente di passare tra i due tenant in base alle esigenze.

Passaggio 1: Configurazione del tenant della forza lavoro - Creare un gruppo di risorse e un'area di lavoro dei log

Creare un gruppo di risorse

In primo luogo, creare o scegliere un gruppo di risorse che contiene l'area di lavoro Log Analytics di destinazione che riceverà i dati dal tenant esterno. Il nome del gruppo di risorse verrà specificato quando si distribuisce il modello di Azure Resource Manager.

  1. Accedere al portale di Azure.
  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.
  3. Creare un nuovo gruppo di risorse o sceglierne uno esistente. In questo esempio viene usato un gruppo di risorse denominato ExtIDMonitor.

Creare un'area di lavoro Log Analytics

Un'area di lavoro Log Analytics è un ambiente univoco per i dati di log di Monitoraggio di Azure. Si userà questa area di lavoro Log Analytics per raccogliere dati dal tenant esterno e quindi visualizzarli con le query.

  1. Accedere al portale di Azure.
  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.
  3. Creare un'area di lavoro Log Analytics. Questo esempio usa un'area di lavoro Log Analytics denominata ExtIDLogAnalytics in un gruppo di risorse denominato ExtIDMonitor.

Abilitare il provider di risorse microsoft.insights

In questo passaggio si sceglie il tenant esterno come provider di servizi. Si definiscono anche le autorizzazioni necessarie per assegnare i ruoli predefiniti appropriati ai gruppi nel tenant di Microsoft Entra. Per visualizzare tutti i provider di risorse e lo stato di registrazione della propria sottoscrizione:

  1. Accedere al portale di Azure.
  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.
  3. Nel menu del portale di Azure, cercare Sottoscrizioni.
  4. Selezionare la sottoscrizione da visualizzare.
  5. Nel menu sinistro, in Impostazioni, scegliere Provider di risorse.
  6. Selezionare il provider di risorse microsoft.insights, poi Registra.

Passaggio 2: Configurazione del tenant esterno: ottenere l'ID tenant esterno e creare un gruppo per il monitoraggio degli ID esterni

Ottenere l'ID tenant esterno

Per prima cosa, ottenere l'ID tenant del tenant esterno. Questo ID sarà necessario per configurare il tenant esterno al fine di inviare i log all'area di lavoro Log Analytics nel tenant della forza lavoro.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Selezionare Panoramica del tenant e selezionare Panoramica.
  4. Registrare l'ID tenant.

Creare un gruppo per il monitoraggio degli ID esterni

Creare ora un gruppo o un utente a cui si vuole concedere l'autorizzazione per il gruppo di risorse creato in precedenza nella directory contenente la sottoscrizione.

Per semplificare la gestione, è consigliabile usare i gruppi di utenti di Microsoft Entra per ogni ruolo, che consentono di aggiungere o rimuovere singoli utenti al gruppo invece di assegnare le autorizzazioni direttamente a tale utente. In questa procedura dettagliata verrà aggiunto un gruppo di sicurezza.

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.
  3. Selezionare Gruppi e quindi selezionare un gruppo. Se non si dispone di un gruppo esistente, creare un gruppo di sicurezza, quindi aggiungere i membri. Per altre informazioni, seguire la procedura Creare un gruppo di base e aggiungere i membri usando il tenant della forza lavoro.
  4. Selezionare Panoramica e registrare l'ID oggetto del gruppo.

Passaggio 3: Configurazione del tenant della forza lavoro - Configurare Azure Lighthouse

Creare un modello di Azure Resource Manager

Per creare l'autorizzazione e la delega personalizzati in Azure Lighthouse si usa un modello di Azure Resource Manager. Questo modello concede al tenant esterno l'accesso al gruppo di risorse Microsoft Entra creato in precedenza, ad esempio ExtIDMonitor. Distribuire il modello dall'esempio GitHub usando il pulsante Distribuisci in Azure, che apre il portale di Azure e consente di configurare e distribuire il modello direttamente nel portale. Per questi passaggi, assicurarsi di aver eseguito l'accesso al tenant del flusso di lavoro di Microsoft Entra (non al tenant esterno).

  1. Accedere al portale di Azure.

  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.

  3. Usare il pulsante Distribuisci in Azure per aprire il portale di Azure e distribuire il modello direttamente nel portale. Per altre informazioni, vedere Creazione di un modello di Azure Resource Manager.

    Distribuisci in Azure

  4. Nella pagina Distribuzione personalizzata specificare le informazioni seguenti:

    Campo Definizione
    Abbonamento Selezionare la directory contenente la sottoscrizione di Azure in cui è stato creato il gruppo di risorse ExtIDMonitor.
    Paese Selezionare l’area in cui verrà distribuita la risorsa.
    Nome dell'offerta msp Nome che descrive questa definizione. Ad esempio, ExtIDMonitor. Si tratta del nome che verrà visualizzato in Azure Lighthouse. Il nome dell'offerta MSP deve essere univoco nel tenant della forza lavoro. Per monitorare più tenant esterni, usare nomi diversi.
    Descrizione dell'offerta Msp Breve descrizione dell'offerta. Ad esempio, Abilitare Monitoraggio di Azure nel tenant esterno.
    Gestito dall’ID tenant L'ID tenant, noto anche come ID directory, per il tenant esterno.
    Autorizzazioni Specificare una matrice JSON di oggetti che includano il tenant della forza lavoro principalId, principalIdDisplayName e Azure roleDefinitionId. principalId è l'ID oggetto del gruppo o dell'utente che avrà accesso alle risorse in questa sottoscrizione di Azure. Per questa procedura dettagliata, specificare l'ID oggetto del gruppo registrato in precedenza nel tenant esterno. Per roleDefinitionId, usare il valore del ruolo predefinito per il ruolo Collaboratore, b24988ac-6180-42a0-ab88-20f7382dd24c.
    Nome gruppo di risorse Nome del gruppo di risorse creato in precedenza nel tenant della forza lavoro. Ad esempio, ExtIDMonitor.

    Nell'esempio seguente viene illustrata una matrice Autorizzazioni con un gruppo di sicurezza.

    [
      {
        "principalId": "<Replace with group's OBJECT ID>",
        "principalIdDisplayName": "external tenant administrators",
        "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
      }
    ]
    

Dopo aver distribuito il modello, il completamento della proiezione delle risorse può richiedere alcuni minuti (in genere, non più di cinque). È possibile verificare la distribuzione nel tenant =workforce e ottenere i dettagli della proiezione delle risorse. Per altre informazioni, vedere Visualizzare e gestire i provider di servizi.

Passaggio 4: Configurazione del tenant esterno: selezionare la sottoscrizione

Dopo aver distribuito il modello e aver atteso alcuni minuti per il completamento della proiezione delle risorse, seguire questa procedura per associare la sottoscrizione al tenant esterno.

Nota

Nella pagina Impostazioni del portale | Directory e sottoscrizioni, assicurarsi che i tenant esterni e della forza lavoro siano selezionati in Directory correnti e delegate.

Selezionare la sottoscrizione

  1. Disconnettersi dal portale di Azure e accedere di nuovo con l'account amministrativo del tenant esterno. Questo account deve essere membro del gruppo di sicurezza specificato in precedenza. La disconnessione e il nuovo accesso consentono di aggiornare le credenziali della sessione nel passaggio successivo.
  2. Selezionare l’icona Impostazioni dalla barra degli strumenti del portale Web.
  3. Nella pagina Impostazioni del portale | Directory e sottoscrizioni, nell'elenco Nome directory individuare la directory del tenant della forza lavoro che contiene la sottoscrizione di Azure e il gruppo di risorse ExtIDMonitor creato, quindi selezionare Cambia.
  4. Verificare di aver selezionato la directory corretta e che la sottoscrizione di Azure sia elencata e selezionata nel Filtro sottoscrizione predefinita.

Screenshot del filtro delle sottoscrizioni predefinito.

Configurare le impostazioni di diagnostica

Le impostazioni di diagnostica definiscono la destinazione a cui devono essere inviati i log e le metriche inerenti a una risorsa. Le possibili destinazioni sono:

In questo esempio viene usata l'area di lavoro Log Analytics per creare un dashboard. Seguire la procedura per configurare le impostazioni di monitoraggio per i log attività del tenant esterno:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni. Questo account deve essere membro del gruppo di sicurezza specificato in precedenza.

  3. Passare a Impostazioni di diagnostica andando a Identità>Monitoraggio e integrità.

  4. Se sono presenti impostazioni per la risorsa, verrà visualizzato un elenco di impostazioni già configurate. Selezionare Aggiungi impostazione di diagnostica per aggiungere una nuova impostazione o selezionare Modifica impostazioni per modificare un'impostazione esistente. Ogni impostazione non può avere più di un tipo di destinazione.

    Screenshot di Impostazioni di diagnostica

  5. Assegnare un nome all'impostazione se non ne ha già uno.

  6. Selezionare AuditLogs e SignInLogs.

  7. Selezionare Invia all'area di lavoro Log Analytics, quindi:

    1. In Sottoscrizione selezionare la propria sottoscrizione.
    2. In Area di lavoro Log Analytics selezionare il nome dell'area di lavoro creata in precedenza, ad esempio ExtIDLogAnalytics.
  8. Seleziona Salva.

Nota

Possono essere necessari fino a 15 minuti dopo l'emissione di un evento perché questo venga visualizzato in un'area di lavoro Log Analytics. Durante l'attesa, potrebbe essere utile eseguire alcune azioni per generare i log. Ad esempio, è possibile seguire la Guida introduttiva per creare alcune configurazioni e iscrivere un utente.

Passaggio 5: Configurazione del tenant della forza lavoro: visualizzare i dati

È ora possibile configurare l'area di lavoro Log Analytics per visualizzare i dati e impostare gli avvisi. È possibile eseguire queste configurazioni sia nell'area di lavoro che nel tenant esterno.

Creare una query

Le query su log consentono di usare appieno il valore dei dati raccolti nei log di Monitoraggio di Azure. Un linguaggio di query potente consente di unire dati da più tabelle, aggregare set di dati di grandi dimensioni ed eseguire operazioni complesse con una quantità minima di codice. Praticamente è possibile rispondere a qualsiasi domanda e l'analisi viene eseguita finché i dati di supporto sono stati raccolti e si comprende come costruire la query giusta. Per altre informazioni, vedere Introduzione alle query dei log del Monitoraggio di Azure.

  1. Accedere al portale di Azure.

  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.

  3. Dalla finestra dell'area di lavoro Log Analytics, selezionare Log.

  4. Nell'editor di query incollare la query di Linguaggio di query Kusto seguente: Questa query mostra l'utilizzo dei criteri in base all'operazione negli ultimi x giorni. La durata predefinita è impostata su 90 giorni (90gg). Si noti che la query è incentrata solo sull'operazione per la quale un token/codice viene emesso in base al criterio.

    AuditLogs
    | where TimeGenerated  > ago(90d)
    | where OperationName contains "issue"
    | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
    | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
    | summarize SignInCount = count() by Policy, OperationName
    | order by SignInCount desc  nulls last
    
  5. Selezionare Esegui. I risultati della query vengono visualizzati nella parte inferiore della schermata.

  6. Per salvare la query per un utilizzo successivo, selezionare Salva.

Screenshot dell'editor dei log di Log Analytics.

  1. Inserire i dettagli seguenti:

    • Nome: immettere il nome della query.
    • Salva con nome - Selezionare query.
    • Categoria - Selezionare Log.
  2. Seleziona Salva.

Inoltre, è possibile modificare la query per visualizzare i dati usando l'operatore render.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Screenshot del grafico a torta dell'editor di log di Log Analytics.

Modificare il periodo di conservazione dei dati

Log di Monitoraggio di Azure è un servizio progettato per offrire scalabilità e supportare la raccolta, l'indicizzazione e l'archiviazione di grandi quantità di dati al giorno da qualsiasi origine aziendale o distribuita in Azure. Per impostazione predefinita, i log vengono conservati per 30 giorni, ma la durata della conservazione può essere aumentata fino a due anni. Informazioni su come gestire l'utilizzo e i costi con i log di Monitoraggio di Azure. Dopo aver selezionato il piano tariffario, è possibile modificare il periodo di conservazione dei dati.

Disattivare la raccolta di dati di monitoraggio

Per interrompere la raccolta dei log nell'area di lavoro Log Analytics, eliminare le impostazioni di diagnostica create. Si continuerà a incorrere in addebiti per la conservazione dei dati di log già raccolti nell'area di lavoro. Se non sono più necessari i dati di monitoraggio raccolti, è possibile eliminare l'area di lavoro Log Analytics e il gruppo di risorse creato per Monitoraggio di Azure. L'eliminazione dell'area di lavoro Log Analytics elimina tutti i dati presenti nell'area di lavoro e impedisce di incorrere in costi aggiuntivi per la conservazione dei dati.

Eliminare l'area di lavoro Log Analytics e il gruppo di risorse

  1. Accedere al portale di Azure.
  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant della forza lavoro dal menu Directory e sottoscrizioni.
  3. Scegliere il gruppo di risorse che contiene l'area di lavoro Log Analytics. Questo esempio usa un gruppo di risorse denominato ExtIDMonitor e un'area di lavoro Log Analytics denominata ExtIDLogAnalytics.
  4. Eliminare l'area di lavoro Log Analytics.
  5. Selezionare il pulsante Elimina per eliminare il gruppo di risorse.