Delen via

Zelfstudie: Toepassingen beheren en bewaken

  • Artikel

De IT-beheerder van Fabrikam heeft een toepassing toegevoegd en geconfigureerd vanuit de Microsoft Entra-toepassingsgalerie. Ze hebben er ook voor gezorgd dat de toegang kan worden beheerd en dat de toepassing veilig is met behulp van de informatie in zelfstudie: Toegang en beveiliging van toepassingen beheren. Ze moeten nu inzicht krijgen in de resources die beschikbaar zijn om de toepassing te beheren en te bewaken.

Met behulp van de informatie in deze zelfstudie leert een beheerder van de toepassing het volgende:

  • Een toegangsbeoordeling maken
  • Toegang tot de auditlogboeken
  • Toegang tot de aanmeldingen
  • Logboeken verzenden naar Azure Monitor

Vereisten

  • Een Azure-account met een actief abonnement. Als u nog geen account hebt, maakt u gratis een account.
  • Een van de volgende rollen: Identity Governance Administrator, Privileged Role Administrator, Cloud Application Administrator of Application Administrator.
  • Een ondernemingstoepassing die is geconfigureerd in uw Microsoft Entra-tenant.

Een toegangsbeoordeling maken

De beheerder wil ervoor zorgen dat gebruikers of gasten de juiste toegang hebben. Ze besluiten gebruikers van de toepassing te vragen om deel te nemen aan een toegangsbeoordeling en opnieuw te verifiëren of te bevestigen dat ze toegang nodig hebben. Wanneer de toegangsbeoordeling is voltooid, kunnen ze vervolgens wijzigingen aanbrengen en de toegang verwijderen van gebruikers die deze niet meer nodig hebben. Zie Gebruikers- en gastgebruikerstoegang beheren met toegangsbeoordelingen voor meer informatie.

Een toegangsbeoordeling maken:

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar identiteitsbeheertoegangsbeoordelingen>>.
  3. Selecteer Nieuwe toegangsbeoordeling om een nieuwe toegangsbeoordeling te maken.
  4. Selecteer toepassingen in Selecteren wat u wilt controleren.
  5. Selecteer +Toepassing(en) selecteren, selecteer de toepassing en kies vervolgens Selecteren.
  6. U kunt nu een bereik voor de beoordeling selecteren. Uw opties zijn:
    • Alleen gastgebruikers: met deze optie wordt de toegangsbeoordeling beperkt tot alleen de Gastgebruikers van Microsoft Entra B2B in uw directory.
    • Alle gebruikers : met deze optie wordt de toegangsbeoordeling beperkt tot alle gebruikersobjecten die aan de resource zijn gekoppeld. Selecteer Alle gebruikers.
  7. Selecteer Volgende: Beoordelingen.
  8. Selecteer in de sectie Revisoren opgeven in het vak Revisoren selecteren geselecteerde gebruikers of groepen, selecteer + Revisoren selecteren en selecteer vervolgens het gebruikersaccount dat aan de toepassing is toegewezen.
  9. Geef in de sectie Terugkeerpatroon opgeven de volgende selecties op:
    • Duur (in dagen) - Accepteer de standaardwaarde van 3.
    • Terugkeerpatroon controleren - selecteer eenmalig.
    • Begindatum : accepteer de datum van vandaag als de begindatum.
  10. Selecteer Volgende: Instellingen.
  11. In de sectie Instellingen voor bij voltooiing kunt u opgeven wat er gebeurt nadat de beoordeling is voltooid. Selecteer Resultaten automatisch toepassen op de resource.
  12. Selecteer Volgende: controleren en maken.
  13. Geef de toegangsbeoordeling een naam. Geef desgewenst een beschrijving voor de beoordeling op. De naam en beschrijving worden weergegeven voor de revisoren.
  14. Controleer de gegevens en selecteer Maken.

De toegangsbeoordeling starten

De toegangsbeoordeling begint over een paar minuten en wordt weergegeven in uw lijst met een indicator van de status.

Standaard verzendt Microsoft Entra-id een e-mail naar revisoren kort nadat de beoordeling is gestart. Als u ervoor kiest om microsoft Entra ID de e-mail niet te laten verzenden, moet u de revisoren informeren dat een toegangsbeoordeling wacht totdat ze zijn voltooid. U kunt ze de instructies laten zien voor het beoordelen van de toegang voor groepen of toepassingen. Als uw beoordeling is bedoeld voor gasten om hun eigen toegang te bekijken, laat u ze de instructies zien voor het controleren van de toegang voor zichzelf tot groepen of toepassingen.

Als u gasten hebt toegewezen als revisor en ze hun uitnodiging voor de tenant niet hebben geaccepteerd, ontvangen ze geen e-mail van toegangsbeoordelingen. Ze moeten eerst de uitnodiging accepteren voordat ze kunnen beginnen met beoordelen.

De status van een toegangsbeoordeling weergeven

U kunt de voortgang van toegangsbeoordelingen bijhouden wanneer ze zijn voltooid.

  1. Ga naar identiteitsbeheertoegangsbeoordelingen>>.
  2. Selecteer in de lijst de toegangsbeoordeling die u hebt gemaakt.
  3. Controleer op de pagina Overzicht de voortgang van de toegangsbeoordeling.

De pagina Resultaten bevat informatie over elke gebruiker die wordt bekeken in het exemplaar, inclusief de mogelijkheid om de resultaten te stoppen, opnieuw in te stellen en te downloaden. Voor meer informatie raadpleegt u het artikel Complete an access review of groups and applications in Microsoft Entra access reviews article.

Toegang tot de auditlogboeken

In de Auditlogboeken van Microsoft Entra worden diverse activiteiten binnen uw tenant vastgelegd. Deze logboeken bieden waardevolle inzichten in de activiteiten die u moet bewaken. Zie Auditlogboeken in Microsoft Entra ID voor meer informatie.

Voor toegang tot de auditlogboeken gaat u naar Identity>Monitoring & health>Audit logs.

In de auditlogboeken worden activiteiten vastgelegd die onder de volgende categorieën vallen. Deze lijst is niet volledig. Zie Activiteiten van auditlogboekenvoor een volledige lijst met categorieën en activiteiten in het auditlogboek.

  • Activiteit voor wachtwoord opnieuw instellen
  • Registratieactiviteit voor het opnieuw instellen van een wachtwoord
  • Activiteit voor selfservicegroepen
  • Wijzigingen in Office365-groepsnamen
  • Activiteit voor het inrichten van accounts
  • Status van wachtwoordrollover
  • Fouten bij het inrichten van een account

Toegang tot de aanmeldingslogboeken

In de aanmeldingslogboeken van Microsoft Entra worden interactieve, niet-interactieve, beheerde identiteiten en aanmeldingen van service-principals vastgelegd. Zie aanmeldingslogboeken in Microsoft Entra IDvoor meer informatie.

Voor toegang tot de aanmeldingslogboeken gaat u naar Identity>Monitoring & health>sign-in logs.

U kunt ook aanmeldingsgegevens voor toepassingen bekijken vanuit het gebied Bedrijfstoepassingen. De aanmeldingslogboeken openen dezelfde logboeken uit Bewaking & statuslogboeken>aanmeldingslogboeken, maar het filter is al ingesteld op de geselecteerde toepassing. Het rapport Usage & insights bevat ook een overzicht van de aanmeldingsactiviteit voor de toepassing.

Logboeken verzenden naar Azure Monitor

In de activiteitenlogboeken van Microsoft Entra worden alleen gegevens gedurende zeven dagen opgeslagen voor Microsoft Entra ID Gratis en 30 dagen voor Microsoft Entra ID P1/P2. Afhankelijk van uw behoeften hebt u mogelijk extra opslagruimte nodig om een back-up te maken van de gegevens van de activiteitenlogboeken.

Met behulp van Azure Monitor-logboeken kunt u de gegevens langer bewaren en krachtige analysehulpprogramma's inschakelen, zoals visualisatie en waarschuwingen. Zie Microsoft Entra-logboeken integreren met Azure Monitorvoor meer informatie over het integreren van logboeken met Azure Monitor-logboeken.

Als u logboeken naar Azure Monitor wilt verzenden, hebt u een Log Analytics-werkruimte nodig. Zodra dat is gemaakt, configureert u diagnostische instellingen om te integreren met Log Analytics. Er zijn kostenoverwegingen met betrekking tot het integreren van logboeken met Azure Monitor en Log Analytics. Bekijk daarom deze sectie van Activiteitenlogboeken van Microsoft Entra in Azure Monitor voordat u doorgaat.

Wanneer de Log Analytics-werkruimte is geconfigureerd:

  1. Selecteer Diagnostische instellingen en selecteer vervolgens Diagnostische instelling toevoegen. U kunt ook Exportinstellingen vanuit de Auditlogboeken of de pagina Aanmeldingen om naar de configuratiepagina voor diagnostische instellingen te gaan.
  2. Kies de logboeken die u wilt streamen, selecteer de verzenden naar Log Analytics-werkruimte optie en vul de velden in.
  3. Selecteer opslaan.

Controleer na ongeveer 15 minuten of gebeurtenissen naar uw Log Analytics-werkruimte worden gestreamd.

Volgende stappen

Ga naar het volgende artikel om te lezen hoe u dit doet...

Toestemming voor apps beheren en toestemmingsaanvragen evalueren