Управление системой идентификаций Microsoft Entra – пользовательские оповещения
Управление идентификацией Microsoft Entra упрощает оповещение людей в организации, когда им нужно принять меры (например, утвердить запрос на доступ к ресурсу) или когда бизнес-процесс не работает должным образом (например, новые сотрудники не подготавливаются).
В следующей таблице описаны некоторые стандартные уведомления, которые предоставляет система управления идентификаторами Майкрософт. Это включает в себя целевую персону в организации, как они оповещаются и когда они оповещаются.
Пример существующих стандартных уведомлений
| Персона | Метод оповещения | Своевременность | Пример оповещения |
|---|---|---|---|
| Конечный пользователь | Команды | Минуты | Необходимо утвердить или запретить этот запрос на доступ; Запрошенный доступ утвержден, перейдите к новому приложению. Подробнее |
| конечный пользователь | Команды | Дни | Запрошенный доступ истекает на следующей неделе, обновите его.Подробнее |
| Конечный пользователь | Эл. почта | Дни | Добро пожаловать в Вудгров! Вот ваш временный пропуск. Подробнее. |
| Служба поддержки | ServiceNow | Минуты | Пользователь должен быть добавлен вручную в старое приложение. Подробнее |
| ИТ-операции | Эл. почта | часы | Недавно нанятые сотрудники не импортируются из Workday. Подробнее |
Пользовательские оповещения
Помимо стандартных уведомлений, предоставляемых Управление идентификацией Microsoft Entra, организации могут создавать пользовательские оповещения для удовлетворения своих потребностей.
Все действия, выполняемые службами Управление идентификацией Microsoft Entra, регистрируются в журналах аудита Microsoft Entra. При отправке журналов в рабочую область Azure Monitor Log Analyticsорганизации могут создавать пользовательские оповещения.
В следующем разделе приведены примеры пользовательских оповещений, которые клиенты могут создавать, интегрируя Управление идентификацией Microsoft Entra с Azure Monitor. С помощью Azure Monitor организации могут настроить созданные оповещения, которые получают оповещения и как они получают оповещение (электронная почта, SMS, запрос службы поддержки и т. д.).
| Функция | Пример оповещения |
|---|---|
| Проверки доступа | Оповещение ИТ-администратора при удалении проверки доступа. |
| Управление правами | Оповещение ИТ-администратора при непосредственном добавлении пользователя в группу без использования пакета доступа. |
| Управление правами | Оповещение ИТ-администратора при добавлении новой подключенной организации. |
| Управление правами | Оповещать ИТ-администратора о сбое пользовательского расширения. |
| Управление правами | Оповещайте ИТ-администратора о создании или обновлении политики назначения пакета управления правами без необходимости утверждения. |
| Рабочие процессы жизненного цикла | Оповещение ИТ-администратора при сбое определенного рабочего процесса. |
| Мультитенантная совместная работа | Оповещение ИТ-администратора при включенной синхронизации между клиентами |
| Мультитенантная совместная работа | Оповещение ИТ-администратора при включении политики доступа между клиентами |
| Управление привилегированными пользователями | Оповещение ИТ-администратора при отключении оповещений PIM. |
| Управление привилегированными пользователями | Оповещение ИТ-администратора при предоставлении роли за пределами PIM. |
| Обеспечение | Уведомление ИТ-администратора о всплеске сбоев в процессе предоставления услуг за последний день. |
| Обеспечение | Уведомлять ИТ-администратора, когда кто-то запускает, останавливает, отключает, перезапускает или удаляет конфигурацию подготовки. |
| Подготовка | Оповестить администратора ИТ, когда задание подготовки переходит в карантин. |
Проверки доступа
Оповещать ИТ-администратора об удалении проверки доступа.
Запрос
AuditLogs
| where ActivityDisplayName == "Delete access review"
Управление правами
Оповещение ИТ-администратора при непосредственном добавлении пользователя в группу без использования пакета доступа.
Запрос
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Оповещение ИТ-администратора при создании новой подключенной организации . Теперь пользователи из этой организации могут запрашивать доступ к ресурсам, доступным для всех подключенных организаций.
Запрос
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Оповещать ИТ-администратора при сбое пользовательского расширения управления правами.
Запрос
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Оповестите ИТ-администратора, когда создается или обновляется политика назначения пакета управления правами без утверждения.
Запрос
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Рабочие процессы жизненного цикла
Оповещение ИТ-администратора при сбое определенного рабочего процесса жизненного цикла.
Запрос
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Логика оповещений
- Основа: число результатов.
- Оператор: равно
- Пороговое значение: 0.
Мультитенантная совместная работа
Оповещение ИТ-администратора при создании новой политики доступа между клиентами. Это позволяет вашей организации обнаруживать, когда связь была сформирована с новой организацией.
Запрос
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Как администратор, я могу получить оповещение, если для входящей политики синхронизации между клиентами задано значение true. Это позволяет вашей организации обнаруживать, когда организация авторизована на синхронизацию удостоверений в клиенте.
Запрос
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Логика оповещений
Управление привилегированными пользователями
Оповещение ИТ-администратора при отключении определенных оповещений системы безопасности PIM.
Запрос
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Оповещение ИТ-администратора при добавлении пользователя в роль за пределами PIM
Следующий запрос основан на идентификаторе шаблона. Здесь можно найти список идентификаторов шаблонов.
Запрос
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Обеспечение
Уведомить ИТ-администратора, когда за прошедший день происходит всплеск сбоев предоставления ресурсов. При настройке оповещения в Log Analytics установите гранулярность агрегирования на 1 день.
Запрос
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Логика оповещений
- На основе количества результатов.
- Оператор: Больше чем
- Пороговое значение: 10
Оповестите ИТ-администратора, когда кто-то запускает, останавливает, отключает, перезапускает или удаляет конфигурацию подготовки.
Запрос
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Оповещение ИТ-администратора при переходе задания подготовки в карантин
Запрос
AuditLogs
| where ActivityDisplayName == "Quarantine"
Дальнейшие действия
- Анализ журналов действий Microsoft Entra с помощью Azure Monitor Log Analytics
- Начало работы с запросами журналов Azure Monitor
- Создание и управление группами оповещений на портале Azure
- Установка и использование представлений аналитики журналов для Microsoft Entra ID
- Архивирование журналов и отчетов об управлении правами в Azure Monitor