編輯

共用方式為


整合 Microsoft Entra 記錄與 Azure 監視器記錄

Microsoft Entra ID 中使用診斷設定 ,您可以將記錄與 Azure 監視器整合,以便登入活動以及租用戶內變更的稽核記錄與其他 Azure 數據一起進行分析。

本文提供整合Microsoft Entra 記錄與 Azure 監視器的步驟。

使用Microsoft Entra 活動記錄和 Azure 監視器的整合來執行下列工作:

  • 比較您的 Microsoft Entra 登入記錄與適用於雲端的 Microsoft Defender 所發佈的安全性記錄。
  • 藉由將來自 Azure 應用程式 Insights 的應用程式效能數據相互關聯,對應用程式登入頁面上的效能瓶頸進行疑難解答。
  • 分析「身分識別保護」有風險的使用者與風險偵測記錄,以偵測您環境中的威脅。
  • 識別仍在使用 Active Directory 驗證連結庫 (ADAL) 進行驗證的應用程式登入。 瞭解ADAL終止支援方案。

注意

Microsoft Entra 記錄與 Azure 監視器整合,會自動啟用 Sentinel 內 Microsoft Microsoft Entra 數據連接器。

必要條件

若要使用此功能,您必須要有:

  • Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶

  • Microsoft Entra ID P1 或 P2 租用戶。

建立 Log Analytics 工作區

Log Analytics 工作區可讓您根據各種或需求收集數據,例如數據的地理位置、訂用帳戶界限或資源存取權。 了解如何建立 Log Analytics 工作區

若要瞭解如何在 Microsoft Entra 識別符之外設定 Azure 資源的 Log Analytics 工作區,請參閱 收集及檢視 Azure 監視器的資源記錄。

將記錄傳送至 Azure 監視器

使用下列步驟,將記錄從 Microsoft Entra ID 傳送至 Azure 監視器記錄。

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]

  3. 選取 [+ 新增診斷設定] 以建立新的整合,或為現有的整合,選取 [編輯設定]

  4. 輸入 [診斷設定名稱]。 若要編輯現有的整合,則無法變更名稱。

  5. 選取您想要串流的記錄類別。 如需每個記錄類別的描述,請參閱 您可以串流至端點的身分識別記錄。

  6. 在 [目的地詳細數據],選取 [傳送至 Log Analytics 工作區] 複選框。

  7. 從功能表中選取適當的 [訂 用帳戶] 和 [Log Analytics] 工作區

  8. 選取 [儲存] 按鈕。

    顯示一些目的地詳細數據的診斷設定螢幕快照。

    如果您在 15 分鐘後未看到選取的目的地中出現記錄,請註銷並返回 Microsoft Entra 系統管理中心以重新整理記錄。