Delen via

aangepaste waarschuwingen Microsoft Entra ID-governance

  • Artikel

Microsoft Entra ID-governance maakt het eenvoudig om personen in uw organisatie te waarschuwen wanneer ze actie moeten ondernemen (bijvoorbeeld een aanvraag voor toegang tot een resource goedkeuren) of wanneer een bedrijfsproces niet goed functioneert (bijvoorbeeld: nieuwe medewerkers worden niet ingericht).

De volgende tabel bevat een overzicht van enkele standaardmeldingen die Microsoft Entra ID Governance biedt. Dit omvat de doelpersoon in een organisatie, hoe ze worden gewaarschuwd en wanneer ze worden gewaarschuwd.

Voorbeeld van bestaande standaardmeldingen

Persona Waarschuwingsmethode Tijdigheid Voorbeeldwaarschuwing
Eindgebruiker Teams Minuten U moet deze aanvraag voor toegang goedkeuren of weigeren;
De toegang die u hebt aangevraagd, wordt goedgekeurd. Gebruik uw nieuwe app.

Meer informatie
Eindgebruiker Teams Dagen De aangevraagde toegang verloopt volgende week. Verleng deze.Meer informatie
Eindgebruiker E-mailen Dagen Welkom bij Woodgrove, hier is uw tijdelijke toegangspas. Meer informatie.
Helpdesk ServiceNow Minuten Een gebruiker moet handmatig worden ingericht in een verouderde toepassing. Meer informatie
IT-bewerkingen E-mailen Tijden Nieuw ingehuurde werknemers worden niet geïmporteerd uit Workday. Meer informatie

Aangepaste waarschuwingsmeldingen

Naast de standaardmeldingen van Microsoft Entra ID-governance kunnen organisaties aangepaste waarschuwingen maken om aan hun behoeften te voldoen.

Alle activiteiten die door de Microsoft Entra ID-governance-services worden uitgevoerd, worden vastgelegd in de Microsoft Entra-auditlogboeken. Door de logboeken te pushen naar een Azure Monitor Log Analytics-werkruimte, kunnen organisaties aangepaste waarschuwingenmaken.

De volgende sectie bevat voorbeelden van aangepaste waarschuwingen die klanten kunnen maken door Microsoft Entra ID-governance te integreren met Azure Monitor. Met behulp van Azure Monitor kunnen organisaties aanpassen welke waarschuwingen worden gegenereerd, wie de waarschuwingen ontvangt en hoe ze de waarschuwing ontvangen (e-mail, sms, helpdeskticket, enzovoort).

Functie Voorbeeldwaarschuwing
Toegangsbeoordelingen Waarschuw een IT-beheerder wanneer een toegangsbeoordeling wordt verwijderd.
Rechtenbeheer Waarschuw een IT-beheerder wanneer een gebruiker rechtstreeks aan een groep wordt toegevoegd zonder een toegangspakket te gebruiken.
Rechtenbeheer Waarschuw een IT-beheerder wanneer er een nieuwe verbonden organisatie wordt toegevoegd.
Rechtenbeheer Waarschuw een IT-beheerder wanneer een aangepaste extensie mislukt.
Rechtenbeheer Waarschuw een IT-beheerder wanneer een toewijzingsbeleid voor rechtenbeheertoegangspakketten wordt gemaakt of bijgewerkt zonder goedkeuring.
Werkstromen voor levenscyclus Waarschuw een IT-beheerder wanneer een specifieke werkstroom mislukt.
Samenwerking met meerdere tenants Een IT-beheerder waarschuwen wanneer synchronisatie tussen tenants is ingeschakeld
Samenwerking met meerdere tenants Een IT-beheerder waarschuwen wanneer een toegangsbeleid voor meerdere tenants is ingeschakeld
Privileged Identity Management Waarschuw een IT-beheerder wanneer PIM-waarschuwingen zijn uitgeschakeld.
Privileged Identity Management Waarschuw een IT-beheerder wanneer een rol buiten PIM wordt verleend.
Inrichting Waarschuw een IT-beheerder wanneer er een piek is in de voorzieningsfouten van de afgelopen dag.
Inrichting Waarschuw een IT-beheerder wanneer iemand een inrichtingsconfiguratie start, stopt, uitschakelt, opnieuw start of verwijdert.
Inrichting Waarschuw een IT-beheerder wanneer een inrichtingstaak in quarantaine wordt geplaatst.

Toegangsbeoordelingen

Waarschuw een IT-beheerder wanneer een toegangsbeoordeling is verwijderd.

Query

AuditLogs
| where ActivityDisplayName == "Delete access review"

Rechtenbeheer

Waarschuw een IT-beheerder wanneer een gebruiker rechtstreeks aan een groep wordt toegevoegd zonder een toegangspakket te gebruiken.

Query

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Waarschuw een IT-beheerder wanneer er een nieuwe verbonden organisatie wordt gemaakt. Gebruikers van deze organisatie kunnen nu toegang aanvragen tot resources die beschikbaar zijn voor alle verbonden organisaties.

Query

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Waarschuw een IT-beheerder wanneer een aangepaste extensie voor rechtenbeheer mislukt.

Query

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')

Waarschuw een IT-beheerder wanneer een toewijzingsbeleid voor rechtenbeheertoegangspakketten wordt gemaakt of bijgewerkt zonder goedkeuring .

Query

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Werkstromen voor levenscyclus

Waarschuw een IT-beheerder wanneer een specifieke levenscycluswerkstroom mislukt.

Query

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Waarschuwingslogica

  • Gebaseerd op: aantal resultaten
  • Operator: gelijk aan
  • Drempelwaarde: 0

Samenwerking met meerdere tenants

Waarschuw een IT-beheerder wanneer er een nieuw toegangsbeleid voor meerdere tenants wordt gemaakt. Hierdoor kan uw organisatie detecteren wanneer er een relatie is gevormd met een nieuwe organisatie.

Query

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Als beheerder kan ik een waarschuwing ontvangen wanneer een binnenkomende synchronisatiebeleid voor meerdere tenants is ingesteld op waar. Hierdoor kan uw organisatie detecteren wanneer een organisatie is gemachtigd om identiteiten te synchroniseren met uw tenant.

Query

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Waarschuwingslogica

Privileged Identity Management

Waarschuw een IT-beheerder wanneer specifieke PIM-beveiligingswaarschuwingen zijn uitgeschakeld.

Query

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Een IT-beheerder waarschuwen wanneer een gebruiker wordt toegevoegd aan een rol buiten PIM

De volgende query is gebaseerd op een templateId. Hier vindt u een lijst met sjabloon-id's.

Query

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

Inrichting

Waarschuw een IT-beheerder wanneer er een toename is van voorzieningsfouten gedurende de afgelopen dag. Bij het configureren van uw waarschuwing in Log Analytics stelt u de granulariteit van de aggregratie in op 1 dag.

Query

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Waarschuwingslogica

  • Gebaseerd op: aantal resultaten
  • Operator: groter dan
  • Drempelwaarde: 10

Waarschuw een IT-beheerder wanneer iemand een inrichtingsconfiguratie start, stopt, uitschakelt, opnieuw start of verwijdert.

Query

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Een IT-beheerder waarschuwen wanneer een inrichtingstaak in quarantaine wordt geplaatst

Query

AuditLogs
| where ActivityDisplayName == "Quarantine"

Volgende stappen