Поделиться через

Руководство. Управление приложениями и их мониторинг

  • Статья

ИТ-администратор в Fabrikam добавил и настроил приложение из коллекции приложений Microsoft Entra. Он также понял, что доступом можно управлять, а приложение безопасно, изучив руководство по управлению доступом к приложениям и их безопасностью. Теперь ему необходимо разобраться в ресурсах, доступных для мониторинга приложения и управления им.

С помощью сведений, приведенных в этом руководстве, администратор приложения узнает, как выполнять следующие задачи:

  • Создание проверки доступа
  • Доступ к журналам аудита
  • Доступ к авторизациям
  • Отправка журналов в Azure Monitor

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, создайте ее бесплатно.
  • Одна из следующих ролей: администратор управления удостоверениями, администратор привилегированных ролей, администратор облачных приложений или администратор приложений.
  • Корпоративное приложение, настроенное в арендаторе Microsoft Entra.

Создание проверки доступа

Администратор хочет убедиться, что у пользователей или гостей есть соответствующие права доступа. Он решил попросить пользователей приложения принять участие в проверке доступа, а также повторно подтвердить или засвидетельствовать их потребность в доступе. По завершении проверки доступа он может внести изменения и отозвать разрешение на доступ для пользователей, которым он больше не нужен. Дополнительные сведения см. в статье Управление пользовательским и гостевым доступом с помощью проверок доступа.

Чтобы создать проверку доступа, выполните приведенные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к проверкам доступа к управлению удостоверениями>
  3. Щелкните Создать проверку доступа, чтобы создать проверку доступа.
  4. В окне Выбор задач проверки выберите Приложения.
  5. Щелкните + Выбрать приложения, выберите приложение и нажмите кнопку Выбрать.
  6. Теперь можно выбрать область для проверки. Возможные варианты:
    • Только гостевые пользователи . Этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
    • Все пользователи. Выбор этого параметра ограничивает проверку доступа всеми объектами пользователей, связанными с ресурсом. Выберите Все пользователи.
  7. Выберите Далее: проверка.
  8. В разделе Укажите рецензентов в поле "Выбор рецензентов" выберите Выбранные пользователи или группы, щелкните + Выбрать рецензентов, а затем выберите учетную запись пользователя, которой назначено приложение.
  9. В разделе "Указание повторения проверки" укажите следующие выборы:
    • Длительность (в днях). Примите значение по умолчанию 3.
    • Периодичность проверки. Выберите Один раз.
    • Дата начала. Примите сегодняшнюю дату в качестве даты начала.
  10. Выберите Далее: параметры.
  11. В разделе Настройки после завершения можно указать, что происходит после завершения проверки. Выберите Автоматически применять результаты к ресурсу.
  12. По завершении выберите Next: Просмотр + создание.
  13. Назовите проверку доступа. При необходимости укажите описание проверки. Имя и описание отображаются для рецензентов.
  14. Просмотрите сведения и щелкните Создать.

Запуск проверки доступа

Проверка доступа начинается через несколько минут и отображается в списке с индикатором его состояния.

По умолчанию идентификатор Microsoft Entra отправляет сообщение электронной почты рецензентам вскоре после начала проверки. Если у вас нет идентификатора Microsoft Entra, отправьте сообщение электронной почты, обязательно сообщите рецензентам, что проверка доступа ожидает их завершения. Вы можете показать им инструкции по проверке доступа к группам или приложениям. Если проверка предназначена для гостей, чтобы они могли проверить собственный доступ, покажите им инструкции по проверке доступа к группам или приложениям, которые они могут выполнить самостоятельно.

Если вы назначили гостей в качестве рецензентов, но они не приняли приглашение на присоединение к клиенту, они не получат сообщение электронной почты для проверки доступа. Прежде чем они смогут начать проверку, они должны принять приглашение.

Просмотр состояния проверки доступа

Вы можете отслеживать ход проверки доступа по мере их завершения.

  1. Перейдите к проверкам доступа к управлению удостоверениями>>.
  2. В списке выберите созданную проверку доступа.
  3. На странице Обзор проверьте прогресс проверки доступа.

На странице Результаты содержатся сведения о каждом пользователе в разделе проверки в экземпляре, включая возможность прекращать, сбрасывать и скачивать результаты. Дополнительные сведения см . в статье "Полный обзор доступа групп и приложений" в статье проверки доступа Microsoft Entra.

Доступ к журналам аудита

Журналы аудита Microsoft Entra записывают множество действий в клиенте. Эти журналы предоставляют ценные сведения о действиях, которые необходимо отслеживать. Дополнительные сведения см. в журналах аудита в идентификаторе Microsoft Entra.

Чтобы получить доступ к журналам аудита, перейдите к Identity>Monitoring & health>audit logs.

Журналы аудита фиксируют действия, которые относятся к следующим категориям. Этот список не является исчерпывающим. Полный список категорий и действий журнала аудита см. в разделе действия журнала аудита.

  • Действие сброса пароля
  • Действия регистрации сброса пароля
  • действия групп по самообслуживанию;
  • Операции изменения имен групп Office 365
  • Действия по подготовке учетных записей
  • Состояние смены пароля
  • Ошибки подготовки учетной записи

Доступ к журналам входа

Журналы входа Microsoft Entra записывают интерактивные, неинтерактивные, управляемые идентичности и входы учетных записей службы. Дополнительные сведения см. в журналах входов в Microsoft Entra ID.

Чтобы получить доступ к журналам входа, перейдите в раздел Identity>Monitoring & health>Sign-in logs.

Вы также можете просматривать сведения о входе в приложение в разделе корпоративных приложений. Журналы входа открывают те же журналы из журналов мониторинга & работоспособности>входа, но фильтр уже установлен для выбранного приложения. В отчете & аналитика использования также приводится сводка действий входа для приложения.

Отправка журналов в Azure Monitor

Журналы действий Microsoft Entra хранят только информацию в течение семи дней для идентификатора Microsoft Entra ID бесплатно и 30 дней для идентификатора Microsoft Entra ID P1/P2. В зависимости от потребностей может потребоваться дополнительное хранилище для резервного копирования данных журналов действий.

С помощью журналов Azure Monitor можно хранить данные дольше и включать мощные средства анализа, такие как визуализация и оповещения. Дополнительные сведения об интеграции журналов с журналами Azure Monitor см. в статье Интеграция журналов Microsoft Entra с azure Monitor.

Для отправки журналов в Azure Monitor требуется рабочая область Log Analytics. После создания вы настроите параметры диагностики для интеграции с Log Analytics. Существуют факторы затрат, связанные с интеграцией журналов с Azure Monitor и Log Analytics, поэтому перед продолжением ознакомьтесь с этим разделом журналов действий Microsoft Entra в Azure Monitor.

Если настроена рабочая область Log Analytics:

  1. Выберите Параметры диагностики, а затем — Добавить параметр диагностики. Чтобы получить доступ к странице конфигурации параметров диагностики, можно выбрать Параметры экспорта со страницы Журналы аудита или Вход в систему.
  2. Выберите журналы, которые вы хотите передавать, выберите Отправить в рабочую область Log Analytics, и заполните поля.
  3. Выберите Сохранить.

Примерно через 15 минут убедитесь, что события отправлены в рабочую область Log Analytics.

Следующие шаги

Дополнительные сведения см. в следующей статье:

Управление согласием для приложений и оценка запросов на согласие