Konfigurera Azure Monitor i externa klienter (förhandsversion)

Gäller för: Personalklientorganisationer Externa klienter (läs mer)

Azure Monitor är en omfattande lösning för att samla in, analysera och svara på övervakningsdata från molnmiljöer och lokala miljöer. Diagnostikinställningarna för den övervakade resursen anger vilka data som ska skickas och var den ska skickas. För Microsoft Entra är målalternativen Azure Storage, Log Analytics och Azure Event Hubs.

När du planerar att överföra externa klientloggar till olika övervakningslösningar eller lagringsplats bör du tänka på att externa klientloggar innehåller personliga data. När du bearbetar sådana data ska du se till att du använder lämpliga säkerhetsåtgärder för personuppgifterna. Det omfattar skydd mot obehörig eller olaglig bearbetning med lämpliga tekniska eller organisatoriska åtgärder.

Distributionsöversikt

Den externa klientorganisationen använder Microsoft Entra-övervakning. Till skillnad från Microsoft Entra-klienter kan en extern klientorganisation inte ha någon associerad prenumeration. Därför måste vi vidta extra åtgärder för att aktivera integreringen mellan den externa klientorganisationen och Log Analytics, där vi skickar loggarna. Om du vill aktivera diagnostikinställningar i personalklientorganisationen i din externa klientorganisation använder du Azure Lighthouse för att delegera en resurs, vilket gör att din externa klient ( tjänstleverantören) kan hantera en klientresurs för personal ( kunden).

Dricks

Azure Lighthouse används vanligtvis för att hantera resurser för flera kunder. Men det kan också användas för att förenkla administration mellan klientorganisationer inom ett företag som har flera egna Microsoft Entra-klienter. I vårt fall använder vi den för att delegera hanteringen av en enskild resursgrupp.

Genom att följa stegen i den här artikeln skapar du en ny resursgrupp med namnet ExtIDMonitor i arbetsstyrkans klientorganisation och får åtkomst till samma resursgrupp som innehåller Log Analytics-arbetsytan i din externa klientorganisation. Du kommer också att kunna överföra loggarna från den externa klientorganisationen till din Log Analytics-arbetsyta.

Under den här distributionen ska du auktorisera en användare eller grupp i din externa klientkatalog för att konfigurera Log Analytics-arbetsyteinstansen i klientorganisationen som innehåller din Azure-prenumeration. Om du vill skapa auktoriseringen distribuerar du en Azure Resource Manager-mall till den prenumeration som innehåller Log Analytics-arbetsytan.

Följande diagram visar de komponenter som du konfigurerar i din personalklientorganisation och externa klienter.

Under den här distributionen konfigurerar du den externa klientorganisationen där loggar genereras. Du konfigurerar även den externa klientorganisationen där Log Analytics-arbetsytan ska finnas. De externa klientkonton som används (till exempel ditt administratörskonto) ska tilldelas rollen Global administratör för den externa klientorganisationen. Det konto som du ska använda för att köra distributionen i den externa klientorganisationen måste tilldelas rollen Ägare i Microsoft Entra-prenumerationen. Det är också viktigt att se till att du är inloggad i rätt katalog när du slutför varje steg enligt beskrivningen.

Sammanfattningsvis använder du Azure Lighthouse för att tillåta att en användare eller grupp i din externa klientorganisation hanterar en resursgrupp i en prenumeration som är associerad med en annan klientorganisation (personalklientorganisationen). När den här auktoriseringen har slutförts kan arbetsytan för prenumeration och log analytics väljas som mål i diagnostikinställningarna i den externa klientorganisationen.

Förutsättningar

• En Azure-prenumeration. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.
• Ett Microsoft Entra-konto med ägarrollen i Microsoft Entra-prenumerationen.
• Ett konto i den externa klientorganisationen som har tilldelats rollen Global administratör .

Konfiguration – översikt

Om du vill följa konfigurationsstegen i den här artikeln rekommenderar vi att du öppnar två separata webbläsarfönster eller flikar: en för arbetsstyrkans klientorganisation och en för den externa klientorganisationen. Den här konfigurationen hjälper dig att växla mellan de två klienterna efter behov.

Steg 1: Konfiguration av personalklientorganisation – skapa arbetsyta för resursgrupper och loggar

Skapa en resursgrupp

Skapa eller välj först en resursgrupp som innehåller log analytics-målarbetsytan som tar emot data från en extern klientorganisation. Du anger resursgruppens namn när du distribuerar Azure Resource Manager-mallen.

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .
3. Skapa en resursgrupp eller välj en befintlig. I det här exemplet används en resursgrupp med namnet ExtIDMonitor.

Skapa en Log Analytics-arbetsyta

En Log Analytics-arbetsyta är en unik miljö för Azure Monitor-loggdata. Du använder den här Log Analytics-arbetsytan för att samla in data från en extern klientorganisation och sedan visualisera dem med frågor.

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .
3. Skapa en Log Analytics-arbetsyta. I det här exemplet används en Log Analytics-arbetsyta med namnet ExtIDLogAnalytics i en resursgrupp med namnet ExtIDMonitor.

Lägga till microsoft.insights som resursprovider

I det här steget väljer du din externa klientorganisation som tjänstleverantör. Du definierar också de auktoriseringar som du behöver för att tilldela lämpliga inbyggda roller till grupper i din Microsoft Entra-klientorganisation. Så här visar du alla resursprovidrar och registreringsstatusen för din prenumeration:

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .
3. På Azure-portalens meny söker du efter Prenumerationer.
4. Välj den prenumeration som du vill visa.
5. På menyn till vänster går du till Inställningar och väljer Resursprovidrar.
6. Välj resursprovidern microsoft.insights och välj Registrera.

Steg 2: Konfiguration av extern klientorganisation – hämta externt klient-ID och skapa en grupp för extern ID-övervakning

Hämta ditt externa klient-ID

Hämta först klientorganisations-ID: t för din externa klientorganisation. Du behöver det här ID:t för att konfigurera den externa klientorganisationen för att skicka loggar till Log Analytics-arbetsytan i arbetsstyrkans klientorganisation.

1. Logga in på administrationscentret för Microsoft Entra.
2. Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn och växlar till din externa klient från menyn Kataloger + prenumerationer.
3. Välj Klientorganisationsöversikt och välj Översikt.
4. Registrera klientorganisations-ID :t.

Skapa en grupp för extern ID-övervakning

Skapa nu en grupp eller användare som du vill ge behörighet till den resursgrupp som du skapade tidigare i katalogen som innehåller din prenumeration.

För att underlätta hanteringen rekommenderar vi att du använder Microsoft Entra-användargrupper för varje roll, så att du kan lägga till eller ta bort enskilda användare i gruppen i stället för att tilldela behörigheter direkt till den användaren. I den här genomgången lägger vi till en säkerhetsgrupp.

1. Logga in på administrationscentret för Microsoft Entra.
2. Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn och växlar till din externa klient från menyn Kataloger + prenumerationer.
3. Välj Grupper och välj sedan en grupp. Om du inte har någon befintlig grupp skapar du en säkerhetsgrupp och lägger sedan till medlemmar. Mer information finns i proceduren Skapa en grundläggande grupp och lägg till medlemmar med hjälp av arbetsstyrkans klientorganisation.
4. Välj Översikt och registrera gruppens objekt-ID.

Steg 3: Konfiguration av personalklientorganisation – konfigurera Azure Lighthouse

Skapa en Azure Resource Manager-mall

För att skapa anpassad auktorisering och delegering i Azure Lighthouse använder vi en Azure Resource Manager-mall. Den här mallen ger den externa klientorganisationen åtkomst till Microsoft Entra-resursgruppen, som du skapade tidigare, till exempel ExtIDMonitor. Distribuera mallen från GitHub-exemplet med hjälp av knappen Distribuera till Azure, som öppnar Azure Portal och låter dig konfigurera och distribuera mallen direkt i portalen. För de här stegen kontrollerar du att du är inloggad på din Microsoft Entra-arbetsstyrka (inte den externa klientorganisationen).

1. Logga in på Azure-portalen.

2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .

3. Använd knappen Distribuera till Azure för att öppna Azure Portal och distribuera mallen direkt i portalen. Mer information finns i skapa en Azure Resource Manager-mall.

   

4. På sidan Anpassad distribution anger du följande information:

   Fält	Definition
   Prenumeration	Välj den katalog som innehåller Azure-prenumerationen där resursgruppen ExtIDMonitor skapades.
   Region	Välj den region där resursen ska distribueras.
   Msp-erbjudandenamn	Ett namn som beskriver definitionen. Till exempel ExtIDMonitor. Det är namnet som ska visas i Azure Lighthouse. MSP-erbjudandenamnet måste vara unikt i din personalklientorganisation. Om du vill övervaka flera externa klienter använder du olika namn.
   Beskrivning av Msp-erbjudande	En kort beskrivning av ditt erbjudande. Till exempel Aktivera Azure Monitor i den externa klientorganisationen.
   Hanteras av klientorganisations-ID	Klientorganisations-ID för din externa klientorganisation (kallas även katalog-ID).
   Auktoriseringar	Ange en JSON-matris med objekt som innehåller arbetsstyrkans klientorganisation principalId, principalIdDisplayNameoch Azure roleDefinitionId. principalId är objekt-ID för den grupp eller användare som ska ha åtkomst till resurser i den här Azure-prenumerationen. För den här genomgången anger du gruppens objekt-ID som du registrerade tidigare i den externa klientorganisationen. roleDefinitionIdFör använder du det inbyggda rollvärdet för rollen Deltagare, b24988ac-6180-42a0-ab88-20f7382dd24c.
   Rg-namn	Namnet på resursgruppen som du skapade tidigare i personalklientorganisationen. Till exempel ExtIDMonitor.

   I följande exempel visas en auktoriseringsmatris med en säkerhetsgrupp.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

När du har distribuerat mallen kan det ta några minuter (vanligtvis inte mer än fem) innan resursprojektionen har slutförts. Du kan verifiera distributionen i din =personalklientorganisation och få information om resursprojektionen. Mer information finns i Visa och hantera tjänstleverantörer.

Steg 4: Konfiguration av extern klientorganisation – välj din prenumeration

När du har distribuerat mallen och väntat några minuter på att resursprojektionen ska slutföras följer du de här stegen för att associera din prenumeration med din externa klientorganisation.

Kommentar

I portalinställningarna | På sidan Kataloger + prenumerationer ser du till att dina externa klienter och personalklienter väljs under Aktuella + delegerade kataloger.

Välj din prenumeration

1. Logga ut från Azure Portal och logga in igen med ditt externa administrationskonto för klientorganisationen. Det här kontot måste vara medlem i den säkerhetsgrupp som du angav tidigare. Genom att logga ut och sjunga tillbaka i kan dina sessionsautentiseringsuppgifter uppdateras i nästa steg.
2. Välj ikonen Inställningar i portalens verktygsfält.
3. I portalinställningarna | På sidan Kataloger + prenumerationer går du till listan Katalognamn och letar reda på din klientkatalog för arbetsstyrkan som innehåller Azure-prenumerationen och resursgruppen ExtIDMonitor som du skapade och väljer sedan Växla.
4. Kontrollera att du har valt rätt katalog och att din Azure-prenumeration visas och väljs i standardprenumerationsfiltret.

Konfigurera diagnostikinställningar

Diagnostikinställningar definierar var loggar och mått för en resurs ska skickas. Möjliga mål är:

• Azure Storage-konto
• Lösningar för händelsehubbar
• Log Analytics-arbetsyta

I det här exemplet använder vi Log Analytics-arbetsytan för att skapa en instrumentpanel. Följ stegen för att konfigurera övervakningsinställningar för externa klientaktivitetsloggar:

1. Logga in på administrationscentret för Microsoft Entra.

2. Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn och växlar till din externa klient från menyn Kataloger + prenumerationer. Det här kontot måste vara medlem i den säkerhetsgrupp som du angav tidigare.

3. Bläddra till Diagnostikinställningar genom att gå till Identitetsövervakning>och hälsa.

4. Om det finns befintliga inställningar för resursen visas en lista med inställningar som redan har konfigurerats. Välj Antingen Lägg till diagnostikinställning för att lägga till en ny inställning eller välj Redigera inställningar för att redigera en befintlig inställning. Varje inställning får inte ha mer än en av varje måltyper.

   

5. Ge inställningen ett namn om den inte redan har en.

6. Välj AuditLogs och SignInLogs.

7. Välj Skicka till Log Analytics-arbetsyta och sedan:

   1. Välj din prenumeration under Prenumeration.
   2. Under Log Analytics-arbetsyta väljer du namnet på arbetsytan som du skapade tidigare, till exempel ExtIDLogAnalytics.

8. Välj Spara.

Kommentar

Det kan ta upp till 15 minuter efter att en händelse har genererats för att den ska visas på en Log Analytics-arbetsyta. Medan du väntar kan det vara bra att utföra vissa åtgärder för att generera loggar. Du kan till exempel följa guiden Kom igång för att skapa några konfigurationer och registrera en användare.

Steg 5: Konfiguration av personalklientorganisation – visualisera dina data

Nu kan du konfigurera Log Analytics-arbetsytan för att visualisera dina data och konfigurera aviseringar. Du kan göra dessa konfigurationer både på din arbetsyta och i den externa klientorganisationen.

Skapa en fråga

Loggfrågor hjälper dig att fullt ut använda värdet för de data som samlas in i Azure Monitor-loggar. Med ett kraftfullt frågespråk kan du koppla data från flera tabeller, aggregera stora uppsättningar data och utföra komplexa åtgärder med minimal kod. Praktiskt taget alla frågor kan besvaras och analys utföras så länge stöddata har samlats in och du förstår hur du skapar rätt fråga. Mer information finns i Kom igång med loggfrågor i Azure Monitor.

1. Logga in på Azure-portalen.

2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .

3. I fönstret Log Analytics-arbetsyta väljer du Loggar

4. I frågeredigeraren klistrar du in följande Kusto-frågespråk fråga. Den här frågan visar principanvändning per åtgärd under de senaste x dagarna. Standardvaraktigheten är inställd på 90 dagar (90d). Observera att frågan endast fokuserar på den åtgärd där en token/kod utfärdas av en princip.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Markera Kör. Frågeresultatet visas längst ned på skärmen.

6. Om du vill spara frågan för senare användning väljer du Spara.

7. Fyll i följande information:

   • Namn – Ange namnet på frågan.
   • Spara som – Välj query.
   • Kategori – Välj Log.

8. Välj Spara.

Du kan också ändra frågan för att visualisera data med hjälp av återgivningsoperatorn.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Ändra kvarhållningsperioden för data

Azure Monitor-loggar är utformade för att skala och stödja insamling, indexering och lagring av enorma mängder data per dag från alla källor i företaget eller distribuerade i Azure. Som standard behålls loggar i 30 dagar, men kvarhållningstiden kan ökas till upp till två år. Lär dig hur du hanterar användning och kostnader med Azure Monitor-loggar. När du har valt prisnivå kan du ändra datakvarhållningsperioden.

Inaktivera insamling av övervakningsdata

Om du vill sluta samla in loggar till Log Analytics-arbetsytan tar du bort de diagnostikinställningar som du skapade. Du fortsätter att debiteras för att behålla loggdata som du redan har samlat in på din arbetsyta. Om du inte längre behöver de övervakningsdata som du har samlat in kan du ta bort din Log Analytics-arbetsyta och resursgruppen som du skapade för Azure Monitor. Om du tar bort Log Analytics-arbetsytan tas alla data bort på arbetsytan och du kan inte debiteras ytterligare datakvarhållningsavgifter.

Ta bort Log Analytics-arbetsyta och resursgrupp

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din personalklientorganisation från menyn Kataloger + prenumerationer .
3. Välj den resursgrupp som innehåller Log Analytics-arbetsytan. I det här exemplet används en resursgrupp med namnet ExtIDMonitor och en Log Analytics-arbetsyta med namnet ExtIDLogAnalytics.
4. Ta bort Logs Analytics-arbetsytan.
5. Välj knappen Ta bort för att ta bort resursgruppen.

Relaterat innehåll

• Använda granskningsloggar och åtkomstgranskningar