Microsoft Entra ID-kezelés egyéni riasztások
Microsoft Entra ID-kezelés megkönnyíti a szervezeten belüli személyek értesítését, amikor műveleteket kell végezniük (például jóváhagyják az erőforráshoz való hozzáférésre vonatkozó kérést), vagy ha egy üzleti folyamat nem működik megfelelően (például az új alkalmazottak nem kapnak kiépítést).
Az alábbi táblázat a Microsoft Entra ID Governance által biztosított szabványos értesítések némelyikét ismerteti. Ez magában foglalja a szervezet célszemélye, hogyan és mikor kapnak értesítést.
Meglévő szabványos értesítések mintája
| Személyiség | Riasztási módszer | Időszerűség | Példa riasztás |
|---|---|---|---|
| Végfelhasználó | Teams | Percek | A hozzáférési kérést jóvá kell hagynia vagy meg kell tagadnia; A kért hozzáférés jóváhagyásra kerül, használja az új alkalmazást. További információ |
| Végfelhasználó | Teams | Napok | A kért hozzáférés a jövő héten lejár, kérjük, újítsa meg.Tudj meg többet |
| Végfelhasználó | Napok | Üdvözöljük Woodgrove-ban, itt van az ideiglenes belépési bérlete. További információ. | |
| Ügyfélszolgálat | ServiceNow | Percek | A felhasználót manuálisan kell hozzáadni egy régi alkalmazáshoz. További információ |
| Informatikai műveletek | Órák | Az újonnan felvett alkalmazottakat nem importálják a Workdayből. További információ |
Egyéni riasztási értesítések
A Microsoft Entra ID-kezelés által biztosított szabványos értesítések mellett a szervezetek egyéni riasztásokat is létrehozhatnak az igényeiknek megfelelően.
A Microsoft Entra ID-kezelés szolgáltatások által végzett összes tevékenység a Microsoft Entra auditnaplóiban lesz naplózva. A naplók Azure Monitor Log Analytics-munkaterületrevaló leküldésével a szervezetek egyéni riasztásokat hozhatnak létre.
Az alábbi szakasz példákat mutat be az ügyfelek által létrehozható egyéni riasztásokra az Microsoft Entra ID-kezelés az Azure Monitorral való integrálásával. Az Azure Monitor használatával a szervezetek testre szabhatják, hogy milyen riasztások jönnek létre, ki kapja meg a riasztásokat, és hogyan kapják meg a riasztást (e-mail, SMS, ügyfélszolgálati jegy stb.).
| Funkció | Példa riasztás |
|---|---|
| Hozzáférési felülvizsgálatok | Értesítés egy rendszergazda számára a hozzáférési felülvizsgálat törlésekor. |
| Jogosultságkezelés | Riasztást küld a rendszergazdának, ha egy felhasználó közvetlenül hozzáad egy csoporthoz hozzáférési csomag használata nélkül. |
| Jogosultságkezelés | Egy informatikai rendszergazda értesítése új csatlakoztatott szervezet hozzáadásakor. |
| Jogosultságkezelés | Riasztást küld egy rendszergazdának, ha egy egyéni bővítmény meghiúsul. |
| Jogosultságkezelés | Riasztást küld a rendszergazdának, ha jóváhagyás nélkül hoz létre vagy frissít egy jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatot. |
| Életciklus-munkafolyamatok | Riasztás egy rendszergazda számára, ha egy adott munkafolyamat meghiúsul. |
| Több bérlős együttműködés | Rendszergazda értesítése, ha engedélyezve van a bérlők közötti szinkronizálás |
| Több bérlős együttműködés | Rendszergazda értesítése bérlők közötti hozzáférési szabályzat engedélyezése esetén |
| Kiemelt Jogosultságú Identitáskezelés | A PIM-riasztások letiltásakor riasztást küld egy rendszergazdának. |
| Kiemelt Jogosultságú Identitáskezelés | Riasztást küld egy rendszergazdának, ha egy szerepkört a PIM-en kívül adnak meg. |
| Erőforrások előkészítése | Riasztást küld egy rendszergazdának, ha az elmúlt nap során kiépítési hibák száma megugrott. |
| A szolgáltatás biztosítása | Riasztást küld a rendszergazdának, ha valaki elindít, leáll, letilt, újraindít vagy töröl egy kiépítési konfigurációt. |
| A szolgáltatás biztosítása | Riasztást küld egy rendszergazdának, ha egy kiépítési feladat karanténba kerül. |
Hozzáférési felülvizsgálatok
Értesítés egy rendszergazda számára a hozzáférési felülvizsgálat törlésekor.
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Delete access review"
Jogosultságkezelés
Értesítse a rendszergazdát, ha egy felhasználót közvetlenül hozzáadnak egy csoporthoz, hozzáférési csomag használata nélkül.
Lekérdezés
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Egy informatikai rendszergazda értesítése új csatlakoztatott szervezet létrehozásakor. A szervezet felhasználói mostantól hozzáférést kérhetnek az összes csatlakoztatott szervezet számára elérhetővé tett erőforrásokhoz.
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Riasztást küld egy rendszergazdának, ha egy jogosultságkezelési egyéni bővítmény meghiúsul.
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Riasztást küld a rendszergazdának, ha jóváhagyás nélkül hoz létre vagy frissít egy jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatot.
Lekérdezés
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Életciklus-munkafolyamatok
Riasztást küld egy rendszergazdának, ha egy adott életciklus-munkafolyamat meghiúsul.
Lekérdezés
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Riasztási logika
- Az eredmények száma alapján
- Operátor: Egyenlő
- Küszöbérték: 0
Több-bérlős kollaboráció
Egy rendszergazda értesítése új bérlők közötti hozzáférési szabályzat létrehozásakor. Ez lehetővé teszi a szervezet számára, hogy észlelje, mikor jött létre kapcsolat egy új szervezettel.
Lekérdezés
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Rendszergazdaként riasztást kaphatok, ha a bejövő bérlők közötti szinkronizációs szabályzat igazra van állítva. Ez lehetővé teszi a szervezet számára, hogy észlelje, hogy egy szervezet jogosult-e az identitások bérlőbe való szinkronizálására.
Lekérdezés
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Riasztási logika
Kiváltságos identitáskezelés
Riasztást küld egy rendszergazdának, ha bizonyos PIM-biztonsági riasztások le vannak tiltva.
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Rendszergazda értesítése, ha egy felhasználó a PIM-en kívüli szerepkörhöz van hozzáadva
A következő lekérdezés egy sablonazonosítón alapul. A sablonazonosítók listáját itt találja.
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
A szolgáltatás biztosítása
Értesítsen egy informatikai rendszergazdát, ha az elmúlt nap során megnövekedett a kiépítési hibák száma. Amikor a riasztást log analyticsben konfigurálja, állítsa az összesítés részletességét 1 naposra.
Lekérdezés
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Alert Logic
- Az eredmények száma alapján
- Operátor: Nagyobb, mint
- Küszöbérték: 10
Riasztást küld a rendszergazdának, ha valaki elindít, leáll, letilt, újraindít vagy töröl egy kiépítési konfigurációt.
Lekérdezés
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Rendszergazda értesítése, ha egy kiépítési feladat karanténba kerül
Lekérdezés
AuditLogs
| where ActivityDisplayName == "Quarantine"
Következő lépések
- A Microsoft Entra tevékenységnaplóinak elemzése az Azure Monitor naplóanalitikával
- Lekérdezések használatának első lépései az Azure Monitor-naplókban
- Riasztási csoportok létrehozása és kezelése az Azure Portalon
- A Microsoft Entra ID naplóelemzési nézeteinek telepítése és használata
- Naplók és jelentések archiválása a jogosultságkezelésről az Azure Monitorban