Zarządzanie tożsamością Microsoft Entra alerty niestandardowe
Zarządzanie tożsamością Microsoft Entra ułatwia powiadamianie osób w organizacji o konieczności podjęcia działań (np. zatwierdzenie żądania dostępu do zasobu) lub nieprawidłowe działanie procesu biznesowego (np. nowych pracowników nie jest aprowizowania).
W poniższej tabeli opisano niektóre standardowe powiadomienia, które Zarządzanie tożsamością Microsoft Entra udostępniają, osobę docelową w organizacji, gdzie spodziewają się otrzymywać alerty i jak szybko będą otrzymywać alerty.
Przykład istniejących standardowych powiadomień
| Osoba | Metoda alertu | Terminowość | Alert przykładowy |
|---|---|---|---|
| Użytkownik końcowy | Teams | Minuty | Musisz zatwierdzić lub odrzucić to żądanie dostępu; Żądany dostęp został zatwierdzony, a następnie użyj nowej aplikacji. Dowiedz się więcej |
| Użytkownik końcowy | Teams | Dni | Żądany dostęp wygaśnie w przyszłym tygodniu. Odnów.Dowiedz się więcej |
| Użytkownik końcowy | Dni | Witamy w Woodgrove, oto tymczasowy dostęp. Dowiedz się więcej. | |
| Pomoc techniczna | ServiceNow | Minuty | Użytkownik musi zostać ręcznie aprowizowany w starszej aplikacji. Dowiedz się więcej |
| Operacje IT | Godziny | Nowo zatrudnieni pracownicy nie są importowane z produktu Workday. Dowiedz się więcej |
Powiadomienia o alertach niestandardowych
Oprócz standardowych powiadomień udostępnianych przez Zarządzanie tożsamością Microsoft Entra organizacje mogą tworzyć niestandardowe alerty, aby spełnić ich potrzeby.
Wszystkie działania wykonywane przez usługi Zarządzanie tożsamością Microsoft Entra są rejestrowane w dziennikach inspekcji firmy Microsoft. Wypychając dzienniki do obszaru roboczego usługi Log Analytics, organizacje mogą tworzyć niestandardowe alerty.
W poniższej sekcji przedstawiono przykłady alertów niestandardowych, które klienci mogą tworzyć, integrując Zarządzanie tożsamością Microsoft Entra z usługą Azure Monitor. Za pomocą usługi Azure Monitor organizacje mogą dostosowywać generowane alerty, odbierać alerty i otrzymywać alerty (wiadomości e-mail, wiadomości SMS, bilet pomocy technicznej itp.).
| Funkcja | Alert przykładowy |
|---|---|
| Przeglądy dostępu | Alert administratora IT po usunięciu przeglądu dostępu. |
| Zarządzanie upoważnieniami | Alert administratora IT, gdy użytkownik jest bezpośrednio dodawany do grupy bez korzystania z pakietu dostępu. |
| Zarządzanie upoważnieniami | Alert administratora IT po dodaniu nowej połączonej organizacji. |
| Zarządzanie upoważnieniami | Alert administratora IT, gdy rozszerzenie niestandardowe zakończy się niepowodzeniem. |
| Zarządzanie upoważnieniami | Alert administratora IT po utworzeniu lub zaktualizowaniu zasad przypisania pakietu dostępu do zarządzania upoważnieniami bez konieczności zatwierdzania. |
| Przepływy pracy cyklu życia | Alert administratora IT, gdy określony przepływ pracy zakończy się niepowodzeniem. |
| Współpraca wielodostępna | Alert administratora IT po włączeniu synchronizacji między dzierżawami |
| Współpraca wielodostępna | Alert administratora IT po włączeniu zasad dostępu między dzierżawami |
| Privileged Identity Management | Alert administratora IT, gdy alerty PIM są wyłączone. |
| Privileged Identity Management | Alert administratora IT, gdy rola jest udzielana poza usługą PIM. |
| Inicjowanie obsługi | Ostrzegaj administratora IT, gdy w ciągu ostatniego dnia występuje wzrost liczby niepowodzeń aprowizacji. |
| Inicjowanie obsługi | Alert administratora IT po uruchomieniu, zatrzymaniu, wyłączeniu, ponownym uruchomieniu lub usunięciu konfiguracji aprowizacji. |
| Inicjowanie obsługi | Alert administratora IT, gdy zadanie aprowizacji przechodzi do kwarantanny. |
Przeglądy dostępu
Alert administratora IT po usunięciu przeglądu dostępu.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Delete access review"
Zarządzanie upoważnieniami
Alert administratora IT, gdy użytkownik jest bezpośrednio dodawany do grupy bez korzystania z pakietu dostępu.
Zapytanie
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Alert administratora IT po utworzeniu nowej połączonej organizacji . Użytkownicy z tej organizacji mogą teraz żądać dostępu do zasobów udostępnionych wszystkim połączonym organizacjom.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Alert administratora IT, gdy niestandardowe rozszerzenie zarządzania upoważnieniami kończy się niepowodzeniem.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Alert administratora IT po utworzeniu lub zaktualizowaniu zasad przypisania pakietu dostępu do zarządzania upoważnieniami bez konieczności zatwierdzania.
Zapytanie
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Przepływy pracy cyklu życia
Alert administratora IT, gdy przepływ pracy określonego cyklu życia zakończy się niepowodzeniem.
Zapytanie
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logika alertu
- Na podstawie: liczba wyników
- Operator: równe
- Próg: 0
Współpraca wielodostępna
Alert administratora IT po utworzeniu nowych zasad dostępu między dzierżawami. Dzięki temu organizacja może wykryć, kiedy relacja została utworzona z nową organizacją.
Zapytanie
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Jako administrator mogę uzyskać alert, gdy zasady synchronizacji dla ruchu przychodzącego między dzierżawami są ustawione na wartość true. Dzięki temu organizacja może wykryć, kiedy organizacja ma autoryzację do synchronizowania tożsamości z dzierżawą.
Zapytanie
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logika alertu
Privileged identity management
Alert administratora IT, gdy określone alerty zabezpieczeń usługi PIM są wyłączone.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Alert administratora IT po dodaniu użytkownika do roli poza usługą PIM
Poniższe zapytanie jest oparte na identyfikatorze templateId. Listę identyfikatorów szablonów można znaleźć tutaj.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Inicjowanie obsługi
Alert administratora IT, gdy w ciągu ostatniego dnia występuje skok liczby niepowodzeń aprowizacji. Podczas konfigurowania alertu w usłudze Log Analytics ustaw stopień szczegółowości agregacji na 1 dzień.
Zapytanie
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logika alertów
- Na podstawie: liczba wyników
- Operator: większe niż
- Wartość progowa: 10
Alert administratora IT po uruchomieniu, zatrzymaniu, wyłączeniu, ponownym uruchomieniu lub usunięciu konfiguracji aprowizacji.
Zapytanie
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Alert administratora IT, gdy zadanie aprowizacji przechodzi do kwarantanny
Zapytanie
AuditLogs
| where ActivityDisplayName == "Quarantine"
Następne kroki
- Analiza dzienników
- Wprowadzenie do zapytań w dziennikach usługi Azure Monitor
- Tworzenie grup alertów i zarządzanie nimi w witrynie Azure Portal
- Instalowanie i używanie widoków usługi Log Analytics dla identyfikatora Entra firmy Microsoft
- Archiwizowanie dzienników i raportowanie zarządzania upoważnieniami w usłudze Azure Monitor