Udostępnij za pośrednictwem


Monitorowanie zmian konfiguracji federacji w identyfikatorze entra firmy Microsoft

Podczas federacji środowiska lokalnego za pomocą identyfikatora Entra firmy Microsoft ustanawiasz relację zaufania między lokalnym dostawcą tożsamości a identyfikatorem Entra firmy Microsoft.

Ze względu na to ustanowione zaufanie identyfikator Entra firmy Microsoft honoruje token zabezpieczający wystawiony przez lokalnego dostawcę tożsamości po uwierzytelnieniu w celu udzielenia dostępu do zasobów chronionych przez identyfikator Entra firmy Microsoft.

W związku z tym ważne jest, aby ta relacja zaufania (konfiguracja federacji) była ściśle monitorowana, a wszystkie nietypowe lub podejrzane działania są przechwytywane.

Aby monitorować relację zaufania, zalecamy skonfigurowanie alertów w celu powiadamiania o wprowadzeniu zmian w konfiguracji federacji.

Konfigurowanie alertów w celu monitorowania relacji zaufania

Wykonaj następujące kroki, aby skonfigurować alerty w celu monitorowania relacji zaufania:

  1. Skonfiguruj dzienniki inspekcji firmy Microsoft w celu przepływu do obszaru roboczego usługi Azure Log Analytics.
  2. Utwórz regułę alertu, która jest wyzwalana na podstawie zapytania dziennika microsoft Entra ID.
  3. Dodaj grupę akcji do reguły alertu, która jest powiadamiana o spełnieniu warunku alertu.

Po skonfigurowaniu środowiska dane przepływa w następujący sposób:

  1. Dzienniki entra firmy Microsoft są wypełniane zgodnie z działaniem w dzierżawie.

  2. Informacje dziennika przepływa do obszaru roboczego usługi Azure Log Analytics.

  3. Zadanie w tle z usługi Azure Monitor wykonuje zapytanie dziennika na podstawie konfiguracji reguły alertu w kroku konfiguracji (2) powyżej.

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. Jeśli wynik zapytania jest zgodny z logiką alertu (oznacza to, że liczba wyników jest większa lub równa 1), grupa akcji rozpoczyna się. Załóżmy, że został on wyrzucony, więc przepływ będzie kontynuowany w kroku 5.

  5. Powiadomienie jest wysyłane do grupy akcji wybranej podczas konfigurowania alertu.

Uwaga

Oprócz konfigurowania alertów zalecamy okresowe przeglądanie skonfigurowanych domen w dzierżawie firmy Microsoft Entra i usuwanie wszelkich nieaktualnych, nierozpoznanych lub podejrzanych domen.

Następne kroki