Monitorare le modifiche apportate alla configurazione della federazione nell'ID Microsoft Entra

Quando si esegue la federazione dell'ambiente locale con Microsoft Entra ID, si stabilisce una relazione di trust tra il provider di identità locale e l'ID Microsoft Entra.

A causa di questo trust stabilito, Microsoft Entra ID rispetta il token di sicurezza rilasciato dal provider di identità locale dopo l'autenticazione, per concedere l'accesso alle risorse protette da Microsoft Entra ID.

Pertanto, è fondamentale monitorare attentamente questa relazione di affidabilità (configurazione federativa) e acquisire eventuali attività insolite o sospette.

Per monitorare la relazione di trust, è consigliabile configurare gli avvisi per ricevere una notifica quando vengono apportate modifiche alla configurazione della federazione.

Configurare gli avvisi per monitorare la relazione di trust

Seguire questa procedura per configurare gli avvisi per monitorare la relazione di fiducia:

1. Configurare i log di controllo di Microsoft Entra per far confluire in un'area di lavoro di Log Analytics di Azure.
2. Creare una regola di avviso che viene attivata in base alla query di log dell'ID di Microsoft Entra.
3. Aggiungere un gruppo di azioni alla regola di avviso che riceve una notifica quando viene soddisfatta la condizione di avviso.

Dopo aver configurato l'ambiente, i flussi di dati sono i seguenti:

1. I log di Microsoft Entra vengono popolati in base all'attività nel tenant.

2. Le informazioni di log passano all'area di lavoro Log Analytics di Azure.

3. Un processo in background di Azure Monitor esegue la query di log in base alla configurazione della regola di avviso al punto di configurazione (2) sopra.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Se il risultato della query corrisponde alla logica di avviso, ovvero il numero di risultati è maggiore o uguale a 1, il gruppo di azioni inizia. Supponiamo che sia stato attivato, in modo che il flusso continui nel passaggio 5.

5. La notifica viene inviata al gruppo di azioni selezionato durante la configurazione dell'avviso.

Nota

Oltre a configurare gli avvisi, è consigliabile esaminare periodicamente i domini configurati all'interno del tenant di Microsoft Entra e rimuovere eventuali domini non aggiornati, non riconosciuti o sospetti.

Passaggi successivi

• integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
• Creare, visualizzare e gestire gli avvisi di log usando Monitoraggio di Azure
• Gestire l'attendibilità di AD FS con Microsoft Entra ID con Microsoft Entra Connect
• Procedure consigliate per la protezione di Active Directory Federation Services