Udostępnij za pośrednictwem

Samouczek: nadzorowanie i monitorowanie aplikacji

  • Artykuł

Administrator IT w firmie Fabrikam dodał i skonfigurował aplikację z galerii aplikacji Firmy Microsoft Entra. Upewnili się również, że można zarządzać dostępem i że aplikacja jest bezpieczna, korzystając z informacji w temacie Samouczek: Zarządzanie dostępem do aplikacji i zabezpieczeniami. Teraz muszą zrozumieć zasoby, które są dostępne do zarządzania aplikacją i monitorowania jej.

Korzystając z informacji w tym samouczku, administrator aplikacji uczy się, jak wykonywać następujące czynności:

  • Tworzenie przeglądu dostępu
  • Uzyskiwanie dostępu do dzienników inspekcji
  • Uzyskiwanie dostępu do logowań
  • Wysyłanie dzienników do usługi Azure Monitor

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, utwórz bezpłatne konto.
  • Jedną z następujących ról: Administrator ładu tożsamości, Administrator ról uprzywilejowanych, Administrator aplikacji w chmurze lub Administrator aplikacji.
  • Aplikacja dla przedsiębiorstw, która została skonfigurowana w dzierżawie usługi Microsoft Entra.

Tworzenie przeglądu dostępu

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Administrator chce upewnić się, że użytkownicy lub goście mają odpowiedni dostęp. Zdecydują się poprosić użytkowników aplikacji o uczestnictwo w przeglądzie dostępu i ponownecertyfikować lub potwierdzić potrzebę uzyskania dostępu. Po zakończeniu przeglądu dostępu mogą oni wprowadzać zmiany i usuwać dostęp od użytkowników, którzy już jej nie potrzebują. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem użytkowników i gości za pomocą przeglądów dostępu.

Aby utworzyć przegląd dostępu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do strony Identity>Identity Governance Access reviews (Przeglądy dostępu do ładu>tożsamości).
  3. Wybierz pozycję Nowy przegląd dostępu, aby utworzyć nowy przegląd dostępu.
  4. W obszarze Wybierz, co chcesz przejrzeć, wybierz pozycję Aplikacje.
  5. Wybierz pozycję + Wybierz aplikacje, wybierz aplikację, a następnie wybierz pozycję Wybierz.
  6. Teraz możesz wybrać zakres przeglądu. Dostępne są następujące opcje:
    • Tylko użytkownicy-goście — ta opcja ogranicza przegląd dostępu tylko do użytkowników-gości microsoft Entra B2B w katalogu.
    • Wszyscy użytkownicy — ta opcja obejmuje przegląd dostępu do wszystkich obiektów użytkownika skojarzonych z zasobem. Wybierz pozycję Wszyscy użytkownicy.
  7. Wybierz pozycję Dalej: Recenzje.
  8. W sekcji Określanie recenzentów w polu Wybierz recenzentów wybierz pozycję Wybrane użytkowników lub grupy, wybierz pozycję + Wybierz recenzentów, a następnie wybierz konto użytkownika przypisane do aplikacji.
  9. W sekcji Określanie cyklu przeglądu określ następujące opcje:
    • Czas trwania (w dniach) — zaakceptuj wartość domyślną 3.
    • Przegląd cyklu — wybierz pozycję Jeden raz.
    • Data rozpoczęcia — zaakceptuj bieżącą datę jako datę rozpoczęcia.
  10. Wybierz pozycję Dalej: Ustawienia.
  11. W sekcji Ustawienia po zakończeniu możesz określić, co się stanie po zakończeniu przeglądu. Wybierz pozycję Automatycznie zastosuj wyniki do zasobu.
  12. Wybierz opcję Dalej: przejrzyj + utwórz.
  13. Nadaj nazwę przeglądowi dostępu. Opcjonalnie nadaj przeglądowi opis. Nazwa i opis są wyświetlane recenzentom.
  14. Przejrzyj informacje i wybierz pozycję Utwórz.

Rozpoczynanie przeglądu dostępu

Przegląd dostępu rozpoczyna się w ciągu kilku minut i pojawia się na liście ze wskaźnikiem jego stanu.

Domyślnie identyfikator Entra firmy Microsoft wysyła wiadomość e-mail do recenzentów wkrótce po rozpoczęciu przeglądu. Jeśli nie chcesz, aby identyfikator Entra firmy Microsoft wysłał wiadomość e-mail, pamiętaj, aby poinformować recenzentów, że przegląd dostępu czeka na ukończenie. Możesz wyświetlić instrukcje dotyczące przeglądania dostępu do grup lub aplikacji. Jeśli twoja recenzja jest dla gości do przeglądania własnego dostępu, pokaż im instrukcje dotyczące przeglądania dostępu dla siebie do grup lub aplikacji.

Jeśli goście zostali przypisani jako recenzenci i nie zaakceptowali zaproszenia do dzierżawy, nie otrzymają wiadomości e-mail z przeglądów dostępu. Muszą najpierw zaakceptować zaproszenie, zanim będą mogli rozpocząć przeglądanie.

Wyświetlanie stanu przeglądu dostępu

Możesz śledzić postęp przeglądów dostępu w miarę ich ukończenia.

  1. Przejdź do obszaru Identity>Identity Governance Access reviews (Przeglądy dostępu do ładu>tożsamości).
  2. Na liście wybierz utworzony przegląd dostępu.
  3. Na stronie Przegląd sprawdź postęp przeglądu dostępu.

Strona Wyniki zawiera informacje dotyczące każdego użytkownika przeglądane w wystąpieniu, w tym możliwość zatrzymywania, resetowania i pobierania wyników. Aby dowiedzieć się więcej, zapoznaj się z artykułem Complete an access review of groups and applications in Microsoft Entra access reviews (Ukończ przeglądy dostępu do grup i aplikacji w witrynie Microsoft Entra access reviews ).

Uzyskiwanie dostępu do dzienników inspekcji

Dzienniki inspekcji firmy Microsoft Entra przechwytują szeroką gamę działań w ramach dzierżawy. Te dzienniki zapewniają cenny wgląd w działania, które należy monitorować. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft.

Aby uzyskać dostęp do dzienników audytu, przejdź do Identity>Monitoring & health>Audit logs.

Dzienniki inspekcji przechwytują działania, które należą do następujących kategorii. Ta lista nie jest wyczerpująca. Aby uzyskać pełną listę kategorii i działań dziennika inspekcji, zobacz Działania dziennika inspekcji.

  • Działania związane z resetowaniem haseł
  • Działanie rejestracji resetowania hasła
  • Działania grup samoobsługi
  • Zmiany nazwy grupy usługi Office365
  • Działanie aprowizacji konta
  • Stan przerzucania hasła
  • Błędy aprowizacji kont

Uzyskiwanie dostępu do dzienników logowania

Dzienniki wejść Microsoft Entra przechwytują interaktywne i nieinteraktywne logowania, zarządzane identyfikatory oraz logowania przy użyciu jednostek serwisowych. Aby uzyskać więcej informacji, zobacz dzienniki wejść w usłudze Microsoft Entra ID.

Aby uzyskać dostęp do dzienników logowania, przejdź do Identity>Monitoring & health>Log-in logs.

Informacje logowania aplikacji można również wyświetlić w obszarze Aplikacje dla przedsiębiorstw. Dzienniki logowania otwierają te same dzienniki z Monitorowanie kondycji & kondycji>dzienniki logowania, ale filtr jest już ustawiony na wybraną aplikację. Raport Usage & insights zawiera również podsumowanie działań logowania dla aplikacji.

Wysyłanie dzienników do usługi Azure Monitor

Dzienniki aktywności firmy Microsoft Entra przechowują informacje tylko przez siedem dni dla usługi Microsoft Entra ID Free i 30 dni dla microsoft Entra ID P1/P2. W zależności od potrzeb może być wymagane dodatkowe miejsce do tworzenia kopii zapasowych danych dzienników aktywności.

Korzystając z dzienników usługi Azure Monitor, można dłużej przechowywać dane i włączać zaawansowane narzędzia do analizy, takie jak wizualizacje i alerty. Aby uzyskać więcej informacji na temat integrowania dzienników z dziennikami usługi Azure Monitor, zobacz Integrowanie dzienników firmy Microsoft z usługą Azure Monitor.

Aby wysyłać dzienniki do usługi Azure Monitor, potrzebny jest obszar roboczy usługi Log Analytics. Po utworzeniu skonfigurujesz ustawienia diagnostyczne w celu integracji z usługą Log Analytics. Istnieją zagadnienia dotyczące kosztów związane z integracją dzienników z usługami Azure Monitor i Log Analytics, dlatego przed kontynuowaniem zapoznaj się z tą sekcją dzienników aktywności firmy Microsoft Entra w usłudze Azure Monitor.

Po skonfigurowaniu obszaru roboczego usługi Log Analytics:

  1. Wybierz pozycję Ustawienia diagnostyczne, a następnie wybierz pozycję Dodaj ustawienie diagnostyczne. Możesz również wybrać pozycję Eksportuj ustawienia na stronie Dzienniki inspekcji lub Logowania, aby przejść do strony konfiguracji ustawień diagnostycznych.
  2. Wybierz dzienniki, które chcesz przesłać strumieniowo, wybierz opcję Wyślij do obszaru roboczego usługi Log Analytics i wypełnij pola.
  3. Wybierz pozycję Zapisz.

Po około 15 minutach sprawdź, czy zdarzenia są przesyłane strumieniowo do obszaru roboczego usługi Log Analytics.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak...

Zarządzanie zgodą na aplikacje i ocenianie żądań zgody