Avvisi personalizzati di Microsoft Entra ID Governance
Microsoft Entra ID Governance semplifica l'invio di avvisi agli utenti dell'organizzazione quando devono intervenire (ad esempio, approvare una richiesta di accesso a una risorsa) o quando un processo aziendale non funziona correttamente (ad esempio, i nuovi assunti non vengono sottoposti a provisioning).
La tabella seguente illustra alcune delle notifiche standard fornite da Microsoft Entra ID Governance, l'utente di destinazione in un'organizzazione, dove si prevede di ricevere un avviso e la velocità con cui l'utente interessato viene avvisato.
Esempio di notifiche standard esistenti
| Utente tipo | Metodo avviso | Tempestività | Avviso di esempio |
|---|---|---|---|
| Utente finale | Teams | Minuti | È necessario approvare o negare questa richiesta per l'accesso; L'accesso richiesto è stato approvato, usare la nuova app. Ulteriori informazioni |
| Utente finale | Teams | Giorni | L'accesso richiesto scadrà la settimana prossima. Rinnovare. Ulteriori informazioni |
| Utente finale | Giorni | Benvenuti in Woodgrove, ecco il pass di accesso temporaneo. Altre informazioni. | |
| Supporto tecnico | ServiceNow | Minuti | È necessario eseguire manualmente il provisioning di un utente in un'applicazione legacy. Ulteriori informazioni |
| Operazioni IT | Ore | I dipendenti appena assunti non vengono importati da Workday. Ulteriori informazioni |
Notifiche di avviso personalizzate
Oltre alle notifiche standard fornite da Microsoft Entra ID Governance, le organizzazioni possono creare avvisi personalizzati per soddisfare le proprie esigenze.
Tutte le attività eseguite dai servizi di Microsoft Entra ID Governance vengono registrate nei log di audit di Microsoft Entra. Eseguendo il push dei log in un'area di lavoro Log Analytics, le organizzazioni possono creare avvisi personalizzati.
La sezione seguente fornisce esempi di avvisi personalizzati che i clienti possono creare integrando Microsoft Entra ID Governance con Monitoraggio di Azure. Attraverso l'uso di monitoraggio di Azure, le organizzazioni possono personalizzare gli avvisi generati, gli utenti che ricevono gli avvisi e il modo in cui ricevono l'avviso (posta elettronica, SMS, ticket help desk e così via).
| Funzionalità | Avviso di esempio |
|---|---|
| Verifiche di accesso | Avvisare un amministratore IT quando viene eliminata una verifica di accesso. |
| Gestione entitlement | Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso. |
| Gestione dei diritti | Avvisare un amministratore IT quando viene aggiunta una nuova organizzazione connessa. |
| Gestione dei diritti | Avvisare un amministratore IT quando un'estensione personalizzata ha esito negativo. |
| Gestione dei diritti | Avvisare un amministratore IT quando viene creato o aggiornato un criterio di assegnazione dei pacchetti di accesso alla gestione entitlement senza richiedere l'approvazione. |
| Flussi di lavoro del ciclo di vita | Avvisare un amministratore IT quando un flusso di lavoro specifico ha esito negativo. |
| Collaborazione multi-tenant | Avvisare un amministratore IT quando la sincronizzazione tra tenant è abilitata |
| Collaborazione multi-tenant | Avvisare un amministratore IT quando è abilitato un criterio di accesso tra tenant |
| Privileged Identity Management | Avvisare un amministratore IT quando gli avvisi PIM sono disabilitati. |
| Privileged Identity Management | Avvisare un amministratore IT quando viene concesso un ruolo all'esterno di PIM. |
| Provisioning in corso | Avvisare un amministratore IT quando si verifica un picco negli errori di provisioning nell'ultimo giorno. |
| Provisioning in corso | Avvisare un amministratore IT all'avvio, arresto, disabilitazione, riavvio o eliminazione di una configurazione di provisioning. |
| Provisioning in corso | Avvisare un amministratore IT quando un processo di provisioning entra in quarantena. |
Verifiche di accesso
Avvisare un amministratore IT quando è stata eliminata una verifica di accesso.
Query
AuditLogs
| where ActivityDisplayName == "Delete access review"
Gestione entitlement
Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso.
Query
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Avvisare un amministratore IT quando viene creata una nuova organizzazione connessa. Gli utenti di questa organizzazione possono ora richiedere l'accesso alle risorse rese disponibili a tutte le organizzazioni connesse.
Query
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Avvisare un amministratore IT quando un'estensione personalizzata di gestione entitlement ha esito negativo.
Query
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Avvisare un amministratore IT quando viene creato o aggiornato un criterio di assegnazione dei pacchetti di accesso alla gestione entitlement senza richiedere l'approvazione.
Query
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Flussi di lavoro del ciclo di vita
Avvisare un amministratore IT quando un flusso di lavoro specifico del ciclo di vita ha esito negativo.
Query
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logica avvisi
- In base a: Numero di risultati
- Operatore: Uguale a
- Soglia: 0
Collaborazione multi-tenant
Avvisare un amministratore IT quando viene creato un nuovo criterio di accesso tra tenant. Ciò consente all'organizzazione di rilevare quando è stata creata una relazione con una nuova organizzazione.
Query
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Gli amministratori possono ricevere un avviso quando un criterio di sincronizzazione tra tenant in ingresso è impostato su true. Ciò consente all'organizzazione di rilevare quando un'organizzazione è autorizzata a sincronizzare le identità nel tenant.
Query
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logica avvisi
Privileged Identity Management
Avvisare un amministratore IT quando specifici avvisi di sicurezza PIM sono disabilitati.
Query
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Avvisare un amministratore IT quando un utente viene aggiunto a un ruolo esterno a PIM
La query seguente si basa su un templateId. È possibile trovare un elenco di ID modello qui.
Query
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Provisioning in corso
Avvisare un amministratore IT quando si verifica un picco negli errori di provisioning nell'ultimo giorno. Quando si configura l'avviso in Analisi dei log, impostare la granularità di aggregazione su 1 giorno.
Query
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logica avvisi
- In base a: Numero di risultati
- Operatore: Maggiore di
- Valore soglia: 10
Avvisare un amministratore IT all'avvio, arresto, disabilitazione, riavvio o eliminazione di una configurazione di provisioning.
Query
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Avvisare un amministratore IT quando un processo di provisioning entra in quarantena
Query
AuditLogs
| where ActivityDisplayName == "Quarantine"
Passaggi successivi