Monitorowanie zmian konfiguracji federacji w identyfikatorze entra firmy Microsoft
Podczas federacji środowiska lokalnego za pomocą identyfikatora Entra firmy Microsoft ustanawiasz relację zaufania między lokalnym dostawcą tożsamości a identyfikatorem Entra firmy Microsoft.
Ze względu na to ustanowione zaufanie identyfikator Entra firmy Microsoft honoruje token zabezpieczający wystawiony przez lokalnego dostawcę tożsamości po uwierzytelnieniu w celu udzielenia dostępu do zasobów chronionych przez identyfikator Entra firmy Microsoft.
W związku z tym ważne jest, aby ta relacja zaufania (konfiguracja federacji) była ściśle monitorowana, a wszystkie nietypowe lub podejrzane działania są przechwytywane.
Aby monitorować relację zaufania, zalecamy skonfigurowanie alertów w celu powiadamiania o wprowadzeniu zmian w konfiguracji federacji.
Konfigurowanie alertów w celu monitorowania relacji zaufania
Wykonaj następujące kroki, aby skonfigurować alerty w celu monitorowania relacji zaufania:
- Skonfiguruj dzienniki inspekcji firmy Microsoft w celu przepływu do obszaru roboczego usługi Azure Log Analytics.
- Utwórz regułę alertu, która jest wyzwalana na podstawie zapytania dziennika microsoft Entra ID.
- Dodaj grupę akcji do reguły alertu, która jest powiadamiana o spełnieniu warunku alertu.
Po skonfigurowaniu środowiska dane przepływa w następujący sposób:
Dzienniki entra firmy Microsoft są wypełniane zgodnie z działaniem w dzierżawie.
Informacje dziennika przepływa do obszaru roboczego usługi Azure Log Analytics.
Zadanie w tle z usługi Azure Monitor wykonuje zapytanie dziennika na podstawie konfiguracji reguły alertu w kroku konfiguracji (2) powyżej.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
Jeśli wynik zapytania jest zgodny z logiką alertu (oznacza to, że liczba wyników jest większa lub równa 1), grupa akcji rozpoczyna się. Załóżmy, że został on wyrzucony, więc przepływ będzie kontynuowany w kroku 5.
Powiadomienie jest wysyłane do grupy akcji wybranej podczas konfigurowania alertu.
Uwaga
Oprócz konfigurowania alertów zalecamy okresowe przeglądanie skonfigurowanych domen w dzierżawie firmy Microsoft Entra i usuwanie wszelkich nieaktualnych, nierozpoznanych lub podejrzanych domen.
Następne kroki
- Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor
- Tworzenie, wyświetlanie alertów dzienników i zarządzanie nimi przy użyciu usługi Azure Monitor
- Zarządzanie relacjami zaufania usług AD FS za pomocą identyfikatora Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft
- Najlepsze rozwiązania dotyczące zabezpieczania usług Active Directory Federation Services