Microsoft Entra ID 控管自訂警示
Microsoft Entra ID 控管可讓您輕鬆地在需要採取行動時通知組織中的人員 (例如:核准存取資源的要求),或商務程序無法正常運作時 (例如:新進員工未佈建)。
下表概述了由 Microsoft Entra ID Governance 提供的一些標準通知、組織中相應的目標角色、他們接收警示的方式以及時間。
現有標準通知的樣本
| 角色 | 警示方法 | 時效性 | 範例警示 |
|---|---|---|---|
| 終端使用者 | Teams | 分鐘 | 您必須核准或拒絕此要求以進行存取; 您要求的存取權已核准,請使用您的新應用程式。 深入了解 |
| 終端使用者 | Teams | 天 | 您所要求的存取權將於下周到期,請續約。深入了解 |
| 終端使用者 | 電子郵件 | 天 | 歡迎使用 Woodgrove,以下是您的臨時存取密碼。 深入了解。 |
| 技術支援中心 | ServiceNow | 分鐘 | 使用者必須手動布建至舊版應用程式。 深入了解 |
| IT 作業 | 電子郵件 | 小時 | 新僱用的員工不會從 Workday 匯入。 深入了解 |
自訂警示通知
除了 Microsoft Entra ID 控管所提供的標準通知之外,組織還可以建立自訂警示以符合其需求。
Microsoft Entra ID 控管服務執行的所有活動都會記錄在 Microsoft Entra 稽核記錄中。 藉由將記錄推送至 Azure 監視器
下一節提供客戶可藉由整合 Microsoft Entra ID 控管與 Azure 監視器來建立的自訂警示範例。 藉由使用 Azure 監視器,組織可以自訂產生的警示、接收警示的人員,以及他們接收警示的方式 (電子郵件、簡訊、 技術支援中心票證等)。
| 功能 | 範例警示 |
|---|---|
| 存取權檢閱 | 刪除存取權檢閱時,向 IT 管理員發出警示。 |
| 權利管理 | 當使用者直接新增至群組,而不使用存取套件時,向 IT管理員發出警示。 |
| 權利管理 | 新增新的連線組織時,向 IT 管理員發出警示。 |
| 權利管理 | 當自訂擴充功能失敗時,向 IT 管理員發出警示。 |
| 權利管理 | 在無需核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。 |
| 生命週期工作流程 | 當特定工作流程失敗時,向 IT 管理員發出警示。 |
| 多組織用戶共享共同作業 | 啟用跨租用戶同步處理時向 IT 管理員發出警示 |
| 多組織用戶共享共同作業 | 啟用跨租用戶存取原則時,向 IT 管理員發出警示 |
| Privileged Identity Management | 停用 PIM 警示時,向 IT 管理員發出警示。 |
| Privileged Identity Management | 在 PIM 外部授與角色時,向 IT 管理員發出警示。 |
| 佈建 | 當過去一天內佈建失敗出現峰值時,向 IT 管理員發出警示。 |
| 佈建 | 當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。 |
| 佈建 | 佈建作業進入隔離狀態時,向 IT 管理員發出警示。 |
存取權檢閱
刪除 存取權檢閱 時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName == "Delete access review"
權利管理
當使用者直接新增至群組,而無需使用 存取套件時,向 IT 管理員發出警示。
查詢
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
建立新的 連線組織 時,向 IT 管理員發出警示。 此組織的使用者現在可以要求存取提供給所有連線組織的資源。
查詢
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
當權利管理 自訂擴充功能 失敗時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
在無需 核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
生命週期工作流程
當特定 生命週期工作流程 失敗時,向 IT 管理員發出警示。
查詢
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
警示邏輯
- 依據:結果數目
- 運算子:等於
- 閾值:0
多組織用戶共享共同作業
建立新的 跨租用戶存取原則 時,向 IT 管理員發出警示。 這可讓組織偵測何時與新組織形成關聯性。
查詢
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
身為管理員,當 輸入跨租用戶同步處理原則 設定為 true 時,我可以收到警示。 這可讓組織偵測何時授權組織將身分識別同步到您的租用戶。
查詢
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
警示邏輯
Privileged Identity Management
停用特定 PIM 安全性警示時,向 IT 管理員發出警示 。
查詢
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
將使用者新增至 PIM 外部的角色時,向 IT 管理員發出警示
下列查詢是以 templateId 為基礎。 您可以在 這裡找到範本識別碼的清單。
查詢
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
佈建
當過去一天內佈建失敗出現峰值時,向 IT 管理員發出警示。 在記錄分析中設定警示時,請將匯總數據細微性設定為 1 天。
查詢
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
警示邏輯
- 依據:結果數目
- 運算子:大於
- 閾值:10
當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
當佈建作業進入 隔離狀態時,向 IT 管理員發出警示
查詢
AuditLogs
| where ActivityDisplayName == "Quarantine"
下一步