在外部租用戶中設定 Azure 監視器 (預覽版)

適用於： 員工租用戶 外部租用戶 (深入了解)

Azure 監視器是全方位的解決方案，可讓您從雲端和內部部署環境中收集、分析及回應監視資料。 受監視資源的診斷設定會指定要傳送的資料，以及傳送資料的位置。 針對 Microsoft Entra，目的地選項包括 Azure 儲存體、記錄分析和 Azure 事件中樞。

當您計劃將外部租用戶記錄傳輸至不同的監視解決方案或存放庫時，考慮外部租用戶記錄包含個人資料。 當您處理此類資料時，確保您在個人資料上使用適當的安全性措施。 其中包括使用適當的技術或組織措施來防止未經授權或非法的處理。

部署概觀

外部租用戶使用 Microsoft Entra 監視。 不同於 Microsoft Entra 租用戶，外部租用戶不能具有與其關聯的訂用帳戶。 因此，我們需要採取額外的步驟，以啟用外部租用戶與 Log Analytics (我們傳送記錄的位置) 之間的整合。 若要在外部租用戶內啟用員工租用戶中的診斷設定，請使用 Azure Lighthouse 來委派資源，讓外部租用戶 (服務提供者) 管理員工租用戶 (客戶) 資源。

提示

Azure Lighthouse 通常用於管理多個客戶的資源。 但是，也可用於簡化擁有多個 Microsoft Entra 租用戶的企業內的跨租用戶管理。 在我們的案例中，我們會使用其來委派單一資源群組的管理。

依照本文中的步驟，您會在員工租用戶中建立名為 ExtIDMonitor 的新資源群組，並存取包含外部租用戶中 Log Analytics 工作區的相同資源群組。 您也可以將記錄從外部租用戶傳輸至 Log Analytics 工作區。

在此部署期間，您會授權外部租用戶目錄中的使用者或群組，以在包含 Azure 訂用帳戶的租用戶內設定 Log Analytics 工作區執行個體。 若要建立授權，請將 Azure Resource Manager 範本部署至包含 Log Analytics 工作區的訂用帳戶。

下圖描述您將在員工租用戶和外部租用戶中設定的元件。

在此部署期間，您將設定產生記錄的外部租用戶。 您也會設定將裝載 Log Analytics 工作區的外部租用戶。 所使用的外部租用戶帳戶 (例如您的系統管理員帳戶) 應指派外部租用戶上的全域系統管理員角色。 您將用於在外部租用戶中執行部署的帳戶必須在 Microsoft Entra 訂用帳戶中指派擁有者角色。 在完成所述的每個步驟時，也請務必確定您登入正確的目錄。

總之，您將使用 Azure Lighthouse 允許外部租用戶中的使用者或群組管理與不同租用戶關聯的訂用帳戶中的資源群組 (員工租用戶)。 完成此授權之後，就可以在外部租用戶的 [診斷設定] 中選取訂用帳戶和 Log Analytics 工作區作為目標。

先決條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。
• 擁有在 Microsoft Entra 訂用帳戶中具有擁有者角色的 Microsoft Entra 帳戶。
• 外部租用戶中已獲指派全域系統管理員角色的帳戶。

組態概觀

若要遵循本文中的組態步驟，建議您開啟兩個不同的瀏覽器視窗或索引標籤：一個用於員工租用戶，另一個用於外部租用戶。 此設定將協助您視需要在兩個租用戶之間切換。

步驟 1：員工租用戶組態 - 建立資源群組和記錄工作區

建立資源群組

首先，建立或選擇資源群組，其中包含將從外部租用戶接收資料的目的地 Log Analytics 工作區。 當您部署 Azure Resource Manager 範本時，您將指定資源群組名稱。

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。
3. 建立資源群組，或選擇現有的群組。 此範例使用名為 ExtIDMonitor 的資源群組。

建立 Log Analytics 工作區

Log Analytics 工作區是 Azure 監視器記錄資料的唯一環境。 您將使用此 Log Analytics 工作區從外部租用戶收集資料，然後使用查詢將其視覺化。

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。
3. 建立 Log Analytics 工作區。 此範例在名為 ExtIDMonitor 的資源群組中使用名為 ExtIDLogAnalytics 的 Log Analytics 工作區。

新增 microsoft.insights 作為資源提供者

在此步驟中，您選擇外部租用戶作為服務提供者。 您也會定義將適當的內建角色指派給 Microsoft Entra 租用戶中的群組所需的授權。 若要查看所有資源提供者，以及您訂用帳戶的登錄狀態：

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。
3. 在 Azure 入口網站功能表上，搜尋訂用帳戶。
4. 選取您要檢視的訂用帳戶。
5. 在左側功能表的 [設定] 下，選取 [資源提供者]。
6. 依序選取 [microsoft.insights] 資源提供者和 [註冊]。

步驟 2：外部租用戶組態 - 取得外部租用戶識別碼，並建立外部識別碼監視的群組

取得您的外部租用戶識別碼

首先，取得您的外部租用戶的 [租用戶識別碼]。 您需要此識別碼，才能設定外部租用戶，以將記錄傳送至員工租用戶中的 Log Analytics 工作區。

1. 登入 Microsoft Entra 系統管理中心。
2. 如果您有權存取多個租用戶，請使用頂端功能表中的 [設定] 圖示 ，並從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。
3. 選取 [租用戶概觀]，然後選取 [概觀]。
4. 記錄 [租用戶識別碼]。

建立外部識別碼監視的群組

現在建立一個群組或使用者，您要向其授予對稍早在包含訂用帳戶的目錄中建立的資源群組的權限。

為了讓管理更容易，我們建議對每個角色使用 Microsoft Entra 使用者群組，允許您向群組新增或移除個別使用者，而不是直接向該使用者指派權限。 在本逐步解說中，我們將新增安全性群組。

1. 登入 Microsoft Entra 系統管理中心。
2. 如果您有權存取多個租用戶，請使用頂端功能表中的 [設定] 圖示 ，並從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。
3. 選取 [群組]，然後選取一個群組。 如果您沒有現有的群組，請建立安全性群組，然後新增成員。 如需詳細資訊，請遵循使用員工租用戶建立基本群組並新增成員程序。
4. 選取 [概觀]，並記錄群組的物件識別碼。

步驟 3：員工租用戶組態 - 設定 Azure Lighthouse

建立 Azure Resource Manager 範本

為了在 Azure Lighthouse 中建立自訂授權和委派，我們使用 Azure Resource Manager 範本。 此範本會向外部租用戶授與您稍早建立的 Microsoft Entra 資源群組 (例如 ExtIDMonitor) 的存取權。 使用 [部署至 Azure] 按鈕從 GitHub 範例部署範本，這會開啟 Azure 入口網站，並可讓您直接在入口網站中設定和部署範本。 對於這些步驟，請確定您已登入 Microsoft Entra 員工租用戶 (而非外部租用戶)。

1. 登入 Azure 入口網站。

2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。

3. 使用 [部署至 Azure] 按鈕開啟 Azure 入口網站並直接在入口網站中部署範本。 如需詳細資訊，請參閱建立 Azure Resource Manager 範本。

   

4. 在 [自訂部署] 頁面上，輸入下列資訊：

   欄位	定義
   訂用帳戶	選取包含建立 ExtIDMonitor 資源群組的 Azure 訂用帳戶的目錄。
   區域	選取將在其中部署資源的區域。
   Msp 供應項目名稱	說明此定義的名稱。 例如，ExtIDMonitor。 它是將在 Azure Lighthouse 中顯示的名稱。 [MSP 供應項目名稱] 在您的員工租用戶中必須是唯一的。 若要監視多個外部租用戶，請使用不同的名稱。
   Msp 供應項目描述	您的供應項目的簡短描述。 例如，在外部租用戶中啟用 Azure 監視器。
   由租用戶識別碼管理	外部租用戶的租用戶識別碼 (也稱為目錄識別碼)。
   授權	指定物件的 JSON 陣列，包含員工租用戶 principalId、principalIdDisplayName 和 Azure roleDefinitionId。 principalId 是群組或使用者的物件識別碼，可存取此 Azure 訂用帳戶中的資源。 對於此逐步解說，請指定您稍早在外部租用戶中記錄的群組的物件識別碼。 對於 roleDefinitionId，使用參與者角色 b24988ac-6180-42a0-ab88-20f7382dd24c 的內建角色值。
   Rg 名稱	您稍早在員工租用戶中建立的資源群組名稱。 例如，ExtIDMonitor。

   下列範例示範具有一個安全性群組的 [授權] 陣列。

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

部署範本之後，資源投影可能需要幾分鐘 (通常不超過五分鐘) 才能完成。 您可以驗證員工租用戶中的部署，並取得資源投影的詳細資料。 如需詳細資訊，請參閱檢視和管理服務提供者。

步驟 4：外部租用戶組態 - 選取您的訂用帳戶

部署範本並等待幾分鐘讓資源投影完成之後，遵循下列步驟將您的訂用帳戶與您的外部租用戶關聯。

注意

在 [入口網站設定 | 目錄 + 訂用帳戶 頁面上，確保已在 [目前 + 委派的目錄] 下選取您的外部和員工租用戶。

選取您的訂用帳戶

1. 登出 Azure 入口網站，並使用外部租用戶系統管理員帳戶重新登入。 此帳戶必須是您先前指定的安全性群組成員。 登出並重新登入允許在下一個步驟中重新整理您的工作階段認證。
2. 在入口網站工具列中選取 [設定] 圖示。
3. 在 [入口網站設定 | 目錄 + 訂用帳戶] 頁面的 [目錄名稱] 清單中，尋找您的員工租用戶目錄 (包含您建立的 Azure 訂用帳戶和 ExtIDMonitor 資源群組)，然後選取 [切換]。
4. 確認您已選取正確的目錄，並在 [預設訂用帳戶篩選器] 中列出並選取您的 Azure 訂用帳戶。

進行診斷設定

診斷設定會定義應將資源的記錄和計量傳送到何處。 可能的目的地包括：

• Azure 儲存體帳戶
• 事件中樞解決方案
• Log Analytics 工作區

在此範例中，我們使用 Log Analytics 工作區來建立儀表板。 請遵循下列步驟設定外部租用戶活動記錄的監視設定：

1. 登入 Microsoft Entra 系統管理中心。

2. 如果您有權存取多個租用戶，請使用頂端功能表中的 [設定] 圖示 ，並從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。 此帳戶必須是您先前指定的安全性群組成員。

3. 透過瀏覽至 [身分識別]>[監視與健康情況] 來瀏覽至 [診斷設定]。

4. 如果資源存在現有的設定，您會看到已設定的設定清單。 選取 [新增診斷設定] 來新增設定，或選取 [編輯設定] 來編輯現有設定。 每項設定的每種目的地類型都只能有一個。

   

5. 如果您的設定還沒有名稱，請為其命名。

6. 選取 [AuditLogs] 和 [SignInLogs]。

7. 選取 [傳送至 Log Analytics 工作區]，然後：

   1. 在 [訂用帳戶] 下，選取您的訂用帳戶。
   2. 在 [Log Analytics 工作區] 下，選取您稍早建立的工作區名稱，例如 ExtIDLogAnalytics。

8. 選取 [儲存]。

注意

事件發出後最多可能需要 15 分鐘，才能顯示在 Log Analytics 工作區中。 在等待時，執行一些動作來產生記錄可能會很有幫助。 例如，您可以遵循入門指南來建立一些組態並註冊使用者。

步驟 5：員工租用戶組態 – 將資料視覺化

現在您可以將 Log Analytics 工作區設定為將資料視覺化並設定警示。 您可以同時在工作區和外部租用戶中進行這些設定。

建立查詢

記錄查詢可協助您充分使用 Azure 監視器記錄中收集的資料值。 強大的查詢語言可讓您聯結來自多個資料表的資料、匯總大型資料集，並以最少的程式碼執行複雜作業。 只要收集到支援資料，您幾乎就能回答任何問題並執行分析，並理解如何建構正確的查詢。 如需詳細資訊，請參閱開始使用 Azure 監視器中的記錄查詢。

1. 登入 Azure 入口網站。

2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。

3. 從 [Log Analytics 工作區] 視窗中，選取 [記錄]

4. 在查詢編輯器中，貼上下列 Kusto 查詢語言查詢。 此查詢會依作業顯示過去 x 天內的原則使用情況。 預設持續時間設定為 90 天 (90d)。 請注意，查詢僅關注原則發出權杖/程式碼的作業。

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. 選取執行。 查詢結果會顯示在畫面底部。

6. 若要儲存您的查詢供稍後使用，請選取 [儲存]。

7. 填入下列詳細資料：

   • 名稱：輸入查詢的名稱。
   • 另存新檔 - 選取 query。
   • 類別：選取 Log。

8. 選取 [儲存]。

您也可以變更查詢，以使用 render 運算子將資料視覺化。

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

變更資料保留期間

Azure 監視器記錄旨在縮放和支援每天從企業或部署在 Azure 中的任何來源收集、編製索引和儲存大量資料。 根據預設，記錄保留 30 天，但保留期間最多可延長至兩年。 了解如何使用 Azure 監視器記錄來管理使用量和成本。 選取定價層之後，您可以變更資料保留期間。

停用監視/資料收集

若要停止收集 Log Analytics 工作區的記錄，請刪除您建立的診斷設定。 您將繼續因保留已收集到工作區的記錄資料而產生費用。 如果不再需要收集的監視資料，您可以刪除 Log Analytics 工作區和您為 Azure 監視器建立的資源群組。 刪除 Log Analytics 工作區會刪除工作區中的所有資料，並防止產生額外的資料保留費用。

刪除 Log Analytics 工作區和資源群組

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。
3. 選擇包含 Log Analytics 工作區的資源群組。 此範例使用名為 ExtIDMonitor 的資源群組和名為 ExtIDLogAnalytics 的 Log Analytics 工作區。
4. 刪除 Logs Analytics 工作區。
5. 選取 [刪除] 按鈕以刪除資源群組。

相關內容

• 使用稽核記錄和存取權檢閱