通过

教程:管理和监视应用程序

  • 项目

Fabrikam 的 IT 管理员已从 Microsoft Entra 应用程序库添加并配置了一个应用程序。 它们还使用教程:管理应用程序访问和安全中的信息来确保可以管理访问权限,并确保应用程序的安全。 他们现在需要了解可用于治理和监视应用程序的资源。

使用本教程中的信息,应用程序的管理员将了解如何:

  • 创建访问评审
  • 访问审核日志
  • 访问登录
  • 将日志发送到 Azure Monitor

先决条件

  • 具有活动订阅的 Azure 帐户。 如果没有帐户,可免费创建一个帐户
  • 以下角色之一:标识治理管理员、特权角色管理员、云应用程序管理员或应用程序管理员。
  • 已在你的 Microsoft Entra 租户中配置好的企业应用程序。

创建访问评审

提示

本文中的步骤可能因开始使用的门户而略有不同。

管理员希望确保用户或来宾具有适当的访问权限。 他们决定要求应用程序的用户参与访问评审,并再次验证或证明其访问需求。 访问评审完成后,他们可进行更改,并删除不再需要访问权限的用户的访问权限。 有关详细信息,请参阅使用访问评审管理用户和来宾用户访问权限

创建访问评审:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“标识治理”>“访问评审”。
  3. 选择“新建访问评审”来创建新的访问评审。
  4. 在“选择要评审的内容”中,选择“应用程序”。
  5. 选择“+ 选择应用程序”,然后选择应用程序,再选择“选择”。
  6. 现在,你可以选择要评审的范围。 选项包括:
    • 仅来宾用户–此选项可将访问评审限制为仅目录中的 Microsoft Entra B2B 来宾用户。
    • 所有用户:此选项可将访问评审的范围限定为与资源关联的所有用户对象。 选择“所有用户”。
  7. 选择“下一步: 评审”。
  8. 在“指定审阅者”部分的“选择审阅者”框中,依次选择“选定的用户或组”、“+ 选择审阅者”,然后选择已分配到应用程序的用户帐户。
  9. 在“指定评审重复周期”部分,指定以下选择:
    • 持续时间(以天为单位) - 接受默认值 3。
    • 审阅重复周期 - 一次性。
    • 开始日期 - 接受今天的日期作为开始日期。
  10. 选择“下一步: 设置”。
  11. 在“完成设置后”部分中,可指定评审完成后会发生的情况。 选择“将结果自动应用于资源”。
  12. 在完成时选择“下一步:查看 + 创建”。
  13. 命名访问评审。 可选择为评审提供说明。 名称和说明向评审者显示。
  14. 查看信息,然后选择“创建”。

启动访问评审

访问评审在几分钟内开始,它会显示在列表中,其中包含其状态指示器。

默认情况下,在评审开始后不久,Microsoft Entra ID 会向评审者发送一封电子邮件。 如果选择不让 Microsoft Entra ID 发送电子邮件,请务必通知评审者有一个访问评审任务等待他们完成。 可以向他们显示有关如何评审对组或应用程序的访问权限的说明。 如果评审工作是让来宾评审他们自己的访问权限,则可以显示有关如何评审他们自己对组或应用程序的访问权限的说明。

如果已分配来宾作为审阅者,而他们尚未接受针对租户的邀请,他们将不会收到访问评审的电子邮件。 他们必须先接受邀请,然后才能开始评审。

查看访问评审的状态

您可以在访问评审完成的过程中跟踪其进展。

  1. 转至“标识”>“标识治理”>“访问评审”。
  2. 在列表中,选择你创建的访问评审。
  3. 在“概述”页上,检查访问评审的进度。

“结果”页面上有关于实例中评审的每位用户的信息,包括停止、重置和下载结果的功能。 若要了解详细信息,请查看在 Microsoft Entra 访问评审中完成组和应用程序的访问评审一文。

访问审核日志

Microsoft Entra 审核日志会捕获租户中的各种活动。 这些日志提供有关需要监视的活动的宝贵见解。 有关详细信息,请参阅 Microsoft Entra ID 中的审核日志

若要访问审核日志,请转到“标识”>“监视和运行状况”>“审核日志”

审核日志捕获属于以下类别的活动。 此列表并不详尽。 有关审核日志类别和活动的完整列表,请参阅 审核日志活动

  • 密码重置活动
  • 密码重置注册活动
  • 自助服务组活动
  • Office365 组名称更改
  • 帐户设置活动
  • 密码滚动更新状态
  • 帐户设置错误

访问登录日志

Microsoft Entra 登录日志会捕获交互式、非交互式、托管标识和服务主体登录信息。有关详细信息,请参阅 Microsoft Entra ID 中的登录日志

若要访问登录日志,请转到“标识”>“监视和运行状况”>“登录日志”

还可以从企业应用程序区域查看应用程序登录信息。 登录日志从“监视和运行状况”>“登录日志”打开相同日志,但筛选器已设置为所选应用程序。 使用情况和见解报告还汇总了应用程序的登录活动

将日志发送到 Azure Monitor

Microsoft Entra 活动日志仅存储 Microsoft Entra ID 免费版的信息 7 天,Microsoft Entra ID P1/P2 的信息 30 天。 根据需求,可能需要额外的存储来备份活动日志数据。

使用 Azure Monitor 日志,可以保留数据更长的时间,并启用功能强大的分析工具,例如可视化和警报。 有关将日志与 Azure Monitor 日志集成的详细信息,请参阅 将 Microsoft Entra 日志与 Azure Monitor集成。

若要将日志发送到 Azure Monitor,需要一个 Log Analytics 工作区。 创建后,将诊断设置配置为与 Log Analytics 集成。 存在与将日志与 Azure Monitor 和 Log Analytics 集成相关的成本注意事项,因此请在继续操作之前,在 Azure Monitor 中查看 Microsoft Entra 活动日志的这一部分。

配置了 Log Analytics 工作区:

  1. 选择“诊断设置”,然后选择“添加诊断设置”。 还可以从“审核日志”或“登录”页选择“导出设置”,以转到诊断设置配置页。
  2. 选择要流式传输的日志,选择发送到 Log Analytics 工作区选项,然后填写字段。
  3. 选择 保存

大约 15 分钟后,验证事件是否已流式传输到 Log Analytics 工作区。

后续步骤

转到下一篇文章,了解如何…

管理对应用程序的同意并评估同意请求