Управление идентификацией Microsoft Entra пользовательские оповещения
Управление идентификацией Microsoft Entra упрощает оповещение людей в организации, когда им нужно принять меры (например, утвердить запрос на доступ к ресурсу) или когда бизнес-процесс не работает должным образом (например, новые сотрудники не подготавливаются).
В следующей таблице описаны некоторые стандартные уведомления, которые Управление идентификацией Microsoft Entra предоставляются, целевая персона в организации, где они ожидают оповещения и как быстро они будут оповещены.
Пример существующих стандартных уведомлений
| Пользователь | Метод генерации оповещен | Своевременность | Пример оповещения |
|---|---|---|---|
| Трафик | Teams | Минуты | Необходимо утвердить или запретить этот запрос на доступ; Запрошенный доступ был утвержден, перейдите к новому приложению. Подробнее |
| Трафик | Teams | Дни | Запрошенный доступ истекает на следующей неделе, обновите его.Подробнее |
| Трафик | Эл. почта | Дни | Добро пожаловать в Woodgrove, вот ваш временный проход доступа. Подробнее. |
| Поддержка службы технической поддержки | ServiceNow | Минуты | Пользователь должен быть подготовлен вручную в устаревшем приложении. Подробнее |
| службы ИТ-операций; | Эл. почта | часов | Недавно нанятые сотрудники не импортируются из Workday. Подробнее |
Пользовательские уведомления оповещений
Помимо стандартных уведомлений, предоставляемых Управление идентификацией Microsoft Entra, организации могут создавать пользовательские оповещения для удовлетворения своих потребностей.
Все действия, выполняемые службами Управление идентификацией Microsoft Entra, регистрируются в журналах аудита Microsoft Entra. При отправке журналов в рабочую область Log Analytics организации могут создавать пользовательские оповещения.
В следующем разделе приведены примеры пользовательских оповещений, которые клиенты могут создавать, интегрируя Управление идентификацией Microsoft Entra с Azure Monitor. С помощью Azure Monitor организации могут настроить созданные оповещения, которые получают оповещения и как они получают оповещение (электронная почта, SMS, запрос службы поддержки и т. д.).
| Функция | Пример оповещения |
|---|---|
| Проверки доступа | Оповещение ИТ-администратора при удалении проверки доступа. |
| Управление правами | Оповещение ИТ-администратора при непосредственном добавлении пользователя в группу без использования пакета доступа. |
| Управление правами | Оповещение ИТ-администратора при добавлении новой подключенной организации. |
| Управление правами | Оповещение ИТ-администратора при сбое пользовательского расширения. |
| Управление правами | Оповещение ИТ-администратора при создании или обновлении политики назначения пакетов управления правами без утверждения. |
| Рабочие процессы жизненного цикла | Оповещение ИТ-администратора при сбое определенного рабочего процесса. |
| Мультитенантная совместная работа | Оповещение ИТ-администратора при включенной синхронизации между клиентами |
| Мультитенантная совместная работа | Оповещение ИТ-администратора при включении политики доступа между клиентами |
| Управление привилегированными пользователями | Оповещение ИТ-администратора при отключении оповещений PIM. |
| Управление привилегированными пользователями | Оповещение ИТ-администратора при предоставлении роли за пределами PIM. |
| Подготовка | Оповещение ИТ-администратора, когда за последний день наблюдается всплеск сбоев подготовки. |
| Подготовка | Оповещение ИТ-администратора при запуске, остановке, отключении, перезапуске или удалении конфигурации подготовки. |
| Подготовка | Оповещение ИТ-администратора при переходе задания подготовки в карантин. |
Проверки доступа
Оповещение ИТ-администратора при удалении проверки доступа.
Запрос
AuditLogs
| where ActivityDisplayName == "Delete access review"
Управление правами
Оповещение ИТ-администратора при непосредственном добавлении пользователя в группу без использования пакета доступа.
Запрос
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Оповещение ИТ-администратора при создании новой подключенной организации . Теперь пользователи из этой организации могут запрашивать доступ к ресурсам, доступным для всех подключенных организаций.
Запрос
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Оповещение ИТ-администратора при сбое пользовательского расширения управления правами.
Запрос
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Оповещение ИТ-администратора при создании или обновлении политики назначения пакетов управления правами без утверждения .
Запрос
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Рабочие процессы жизненного цикла
Оповещение ИТ-администратора при сбое определенного рабочего процесса жизненного цикла.
Запрос
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Логика оповещений
- Основа: число результатов.
- Оператор: равно
- Пороговое значение: 0.
Мультитенантная совместная работа
Оповещение ИТ-администратора при создании новой политики доступа между клиентами. Это позволяет вашей организации обнаруживать, когда связь была сформирована с новой организацией.
Запрос
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Как администратор, можно получить оповещение, если для политики синхронизации между клиентами задано значение true. Это позволяет вашей организации обнаруживать, когда организация авторизована на синхронизацию удостоверений в клиенте.
Запрос
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Логика оповещений
Управление привилегированными пользователями
Оповещение ИТ-администратора при отключении определенных оповещений системы безопасности PIM.
Запрос
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Оповещение ИТ-администратора при добавлении пользователя в роль за пределами PIM
Приведенный ниже запрос основан на шаблонеId. Здесь можно найти список идентификаторов шаблонов.
Запрос
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Подготовка
Оповещение ИТ-администратора при возникновении всплеска сбоев подготовки за последний день. При настройке оповещений в log analytics задайте для агрегирования степень детализации в 1 день.
Запрос
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Логика оповещений
- Основа: число результатов.
- Оператор: Больше
- Пороговое значение: 10
Оповещение ИТ-администратора при запуске, остановке, отключении, перезапуске или удалении конфигурации подготовки.
Запрос
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Оповещение ИТ-администратора при переходе задания подготовки в карантин
Запрос
AuditLogs
| where ActivityDisplayName == "Quarantine"
Дальнейшие действия