Condividi tramite

Esercitazione: Gestire e monitorare le applicazioni

  • Articolo

L'amministratore IT di Fabrikam ha aggiunto e configurato un'applicazione dalla raccolta di applicazioni Microsoft Entra. Hanno anche verificato che l'accesso possa essere gestito e che l'applicazione sia sicura usando le informazioni in Esercitazione: Gestire l'accesso e la sicurezza delle applicazioni. Ora devono comprendere le risorse disponibili per gestire e monitorare l'applicazione.

Usando le informazioni contenute in questa esercitazione, un amministratore dell'applicazione apprende come:

  • Creare una verifica di accesso
  • Accedere ai log di controllo
  • Accedere agli accessi
  • Inviare log a Monitoraggio di Azure

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non si ha un account, Crearne uno gratuito.
  • Uno dei ruoli seguenti: Amministratore di Identity Governance, Amministratore ruolo con privilegi, Amministratore applicazione cloud o Amministratore applicazione.
  • Un'applicazione aziendale configurata nel tenant di Microsoft Entra.

Creare una verifica di accesso

L'amministratore vuole assicurarsi che gli utenti o gli utenti guest abbiano accesso appropriato. Decide di chiedere agli utenti dell'applicazione di partecipare a una verifica di accesso e di ricertificare o attestare la necessità di accedere. Al termine della verifica di accesso, possono apportare modifiche e rimuovere l'accesso dagli utenti che non ne hanno più bisogno. Per altre informazioni, vedere Gestire l'accesso utente e guest con verifiche di accesso.

Per creare una verifica di accesso:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Verifiche di accesso di >Identity Governance.>
  3. Selezionare Nuova verifica di accesso per creare una nuova verifica di accesso.
  4. In Selezionare gli elementi da esaminare selezionare Applicazioni.
  5. Selezionare + Selezionare le applicazioni, selezionare l'applicazione e quindi selezionare Seleziona.
  6. Ora è possibile selezionare un ambito per la verifica. Le opzioni possibili sono:
    • Solo utenti guest: questa opzione limita la verifica di accesso solo agli utenti guest di Microsoft Entra B2B nella directory.
    • Tutti gli utenti : questa opzione definisce l'ambito della verifica di accesso a tutti gli oggetti utente associati alla risorsa. Selezionare Tutti gli utenti.
  7. Selezionare Successivo: Verifiche.
  8. Nella sezione Specifica revisori, nella casella Seleziona revisori selezionare Utenti selezionati o gruppi, selezionare + Seleziona revisori e quindi selezionare l'account utente assegnato all'applicazione.
  9. Nella sezione Specificare la ricorrenza della revisione specificare le selezioni seguenti:
    • Durata (in giorni) - Accettare il valore predefinito 3.
    • Verifica ricorrenza : selezionare Una volta.
    • Data di inizio: accettare la data odierna come data di inizio.
  10. Selezionare Avanti: Impostazioni.
  11. Nella sezione Impostazioni al completamento è possibile specificare cosa accade dopo il termine della verifica. Selezionare Applica automaticamente i risultati alla risorsa.
  12. Selezionare Avanti: Rivedi e crea.
  13. Assegnare un nome alla verifica di accesso. Facoltativamente è possibile assegnare una descrizione alla verifica. Il nome e la descrizione vengono visualizzati dai revisori.
  14. Esaminare le informazioni e selezionare Crea.

Avviare la verifica di accesso

La verifica di accesso inizia in pochi minuti e viene visualizzata nell'elenco con un indicatore del relativo stato.

Per impostazione predefinita, Microsoft Entra ID invia un messaggio di posta elettronica ai revisori poco dopo l'avvio della revisione. Se si sceglie di non inviare l'ID Entra di Microsoft, assicurarsi di informare i revisori che una verifica di accesso è in attesa del completamento. È possibile mostrare loro le istruzioni su come verificare l'accesso a gruppi o applicazioni. Se la revisione è destinata agli utenti guest a esaminare il proprio accesso, visualizzare le istruzioni per esaminare l'accesso per se stessi a gruppi o applicazioni.

Se degli utenti guest sono stati assegnati come revisori e non hanno accettato l'invito al tenant, non riceveranno messaggi di posta elettronica dalle verifiche di accesso. Devono prima accettare l'invito poter iniziare la verifica.

Visualizzare lo stato di una verifica di accesso

È possibile tenere traccia dello stato di avanzamento delle verifiche di accesso man mano che sono state completate.

  1. Passare a Verifiche di accesso di Identity Identity>Governance.>
  2. Nell'elenco selezionare la verifica di accesso creata.
  3. Nella pagina Panoramica controllare lo stato di avanzamento della verifica di accesso.

La pagina Risultati fornisce informazioni su ogni utente sottoposto a revisione nell'istanza, inclusa la possibilità di arrestare, reimpostare e scaricare i risultati. Per altre informazioni, vedere l'articolo Completare una verifica di accesso di gruppi e applicazioni in Verifiche di accesso di Microsoft Entra.

Accedere ai log di controllo

I log di controllo di Microsoft Entra acquisiscono un'ampia gamma di attività nel tenant. Questi log forniscono informazioni dettagliate utili sulle attività che è necessario monitorare. Per altre informazioni, vedere Controlla log in Microsoft Entra ID.

Per accedere ai log di controllo, passare a Identity>Monitoring & health>Audit logs.

Il log di controllo acquisisce le attività che rientrano nelle categorie seguenti. Questo elenco non è esaustivo. Per un elenco completo delle categorie e delle attività del log di controllo, vedere le attività del log di controllo .

  • Attività di reimpostazione password
  • Attività di registrazione reimpostazione password
  • Attività dei gruppi self-service
  • Modifiche del nome del gruppo di Office 365
  • Attività di provisioning dell'account
  • Stato rollover della password
  • Errori di provisioning dell'account

Accedere ai log di accesso

I log di accesso di Microsoft Entra acquisiscono accessi interattivi, non interattivi, identità gestite e accessi tramite entità del servizio. Per ulteriori informazioni, vedere Log di accesso in Microsoft Entra ID.

Per accedere ai log di accesso, passare a Identity>Monitoring & health>log di accesso.

È anche possibile visualizzare le informazioni di accesso dell'applicazione dall'area Applicazioni aziendali. I log di accesso aprono gli stessi log dal monitoraggio della salute &>log di accesso, ma il filtro è già impostato sull'applicazione selezionata. Il report Usage & insights riepiloga anche l'attività di accesso per l'applicazione.

Inviare log a Monitoraggio di Azure

I log attività di Microsoft Entra archiviano solo le informazioni per sette giorni per Microsoft Entra ID Free e 30 giorni per Microsoft Entra ID P1/P2. A seconda delle esigenze, potrebbe essere necessario spazio di archiviazione aggiuntivo per eseguire il backup dei dati dei log attività.

Usando i log di Monitoraggio di Azure, è possibile conservare i dati per più tempo e abilitare potenti strumenti di analisi, ad esempio la visualizzazione e gli avvisi. Per altre informazioni sull'integrazione dei log con i log di Monitoraggio di Azure, vedere Integrare i log di Microsoft Entra con Monitoraggio di Azure.

Per inviare i log a Azure Monitor, è necessaria un'area di lavoro di Log Analytics. Una volta creato questo, si configurano le impostazioni di diagnostica per l'integrazione con Log Analytics. Esistono considerazioni sui costi associati all'integrazione dei log con Monitoraggio di Azure e Log Analytics, quindi esaminare questa sezione di log attività di Microsoft Entra in Monitoraggio di Azure prima di procedere.

Con un'area di lavoro Log Analytics configurata:

  1. Selezionare Impostazioni di diagnostica e quindi Aggiungi impostazione di diagnostica. È anche possibile selezionare Esporta impostazioni dalla pagina Log di controllo o Accessi per visualizzare la pagina di configurazione delle impostazioni di diagnostica.
  2. Scegliere i log da trasmettere, selezionare l'opzione Invia all'area di lavoro Log Analytics e completare i campi.
  3. Selezionare Salva.

Dopo circa 15 minuti, verificare che gli eventi vengano trasmessi all'area di lavoro Log Analytics.

Passaggi successivi

Passare all'articolo successivo per informazioni su come...

Gestire il consenso alle applicazioni e valutare le richieste di consenso