Megosztás a következőn keresztül:


Microsoft Entra ID-kezelés egyéni riasztások

Microsoft Entra ID-kezelés megkönnyíti a szervezeten belüli személyek értesítését, amikor műveleteket kell végezniük (például jóváhagyják az erőforráshoz való hozzáférésre vonatkozó kérést), vagy ha egy üzleti folyamat nem működik megfelelően (például az új alkalmazottak nem kapnak kiépítést).

Az alábbi táblázat a Microsoft Entra ID Governance által biztosított szabványos értesítések némelyikét ismerteti. Ez magában foglalja a szervezet célszemélye, hogyan és mikor kapnak értesítést.

Meglévő szabványos értesítések mintája

Személyiség Riasztási módszer Időszerűség Példa riasztás
Végfelhasználó Teams Percek A hozzáférési kérést jóvá kell hagynia vagy meg kell tagadnia;
A kért hozzáférés jóváhagyásra kerül, használja az új alkalmazást.

További információ
Végfelhasználó Teams Napok A kért hozzáférés a jövő héten lejár, kérjük, újítsa meg.Tudj meg többet
Végfelhasználó E-mail Napok Üdvözöljük Woodgrove-ban, itt van az ideiglenes belépési bérlete. További információ.
Ügyfélszolgálat ServiceNow Percek A felhasználót manuálisan kell hozzáadni egy régi alkalmazáshoz. További információ
Informatikai műveletek E-mail Órák Az újonnan felvett alkalmazottakat nem importálják a Workdayből. További információ

Egyéni riasztási értesítések

A Microsoft Entra ID-kezelés által biztosított szabványos értesítések mellett a szervezetek egyéni riasztásokat is létrehozhatnak az igényeiknek megfelelően.

A Microsoft Entra ID-kezelés szolgáltatások által végzett összes tevékenység a Microsoft Entra auditnaplóiban lesz naplózva. A naplók Azure Monitor Log Analytics-munkaterületrevaló leküldésével a szervezetek egyéni riasztásokat hozhatnak létre.

Az alábbi szakasz példákat mutat be az ügyfelek által létrehozható egyéni riasztásokra az Microsoft Entra ID-kezelés az Azure Monitorral való integrálásával. Az Azure Monitor használatával a szervezetek testre szabhatják, hogy milyen riasztások jönnek létre, ki kapja meg a riasztásokat, és hogyan kapják meg a riasztást (e-mail, SMS, ügyfélszolgálati jegy stb.).

Funkció Példa riasztás
Hozzáférési felülvizsgálatok Értesítés egy rendszergazda számára a hozzáférési felülvizsgálat törlésekor.
Jogosultságkezelés Riasztást küld a rendszergazdának, ha egy felhasználó közvetlenül hozzáad egy csoporthoz hozzáférési csomag használata nélkül.
Jogosultságkezelés Egy informatikai rendszergazda értesítése új csatlakoztatott szervezet hozzáadásakor.
Jogosultságkezelés Riasztást küld egy rendszergazdának, ha egy egyéni bővítmény meghiúsul.
Jogosultságkezelés Riasztást küld a rendszergazdának, ha jóváhagyás nélkül hoz létre vagy frissít egy jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatot.
Életciklus-munkafolyamatok Riasztás egy rendszergazda számára, ha egy adott munkafolyamat meghiúsul.
Több bérlős együttműködés Rendszergazda értesítése, ha engedélyezve van a bérlők közötti szinkronizálás
Több bérlős együttműködés Rendszergazda értesítése bérlők közötti hozzáférési szabályzat engedélyezése esetén
Kiemelt Jogosultságú Identitáskezelés A PIM-riasztások letiltásakor riasztást küld egy rendszergazdának.
Kiemelt Jogosultságú Identitáskezelés Riasztást küld egy rendszergazdának, ha egy szerepkört a PIM-en kívül adnak meg.
Erőforrások előkészítése Riasztást küld egy rendszergazdának, ha az elmúlt nap során kiépítési hibák száma megugrott.
A szolgáltatás biztosítása Riasztást küld a rendszergazdának, ha valaki elindít, leáll, letilt, újraindít vagy töröl egy kiépítési konfigurációt.
A szolgáltatás biztosítása Riasztást küld egy rendszergazdának, ha egy kiépítési feladat karanténba kerül.

Hozzáférési felülvizsgálatok

Értesítés egy rendszergazda számára a hozzáférési felülvizsgálat törlésekor.

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Delete access review"

Jogosultságkezelés

Értesítse a rendszergazdát, ha egy felhasználót közvetlenül hozzáadnak egy csoporthoz, hozzáférési csomag használata nélkül.

Lekérdezés

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Egy informatikai rendszergazda értesítése új csatlakoztatott szervezet létrehozásakor. A szervezet felhasználói mostantól hozzáférést kérhetnek az összes csatlakoztatott szervezet számára elérhetővé tett erőforrásokhoz.

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Riasztást küld egy rendszergazdának, ha egy jogosultságkezelési egyéni bővítmény meghiúsul.

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')

Riasztást küld a rendszergazdának, ha jóváhagyás nélkül hoz létre vagy frissít egy jogosultságkezelési hozzáférési csomag-hozzárendelési szabályzatot.

Lekérdezés

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Életciklus-munkafolyamatok

Riasztást küld egy rendszergazdának, ha egy adott életciklus-munkafolyamat meghiúsul.

Lekérdezés

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Riasztási logika

  • Az eredmények száma alapján
  • Operátor: Egyenlő
  • Küszöbérték: 0

Több-bérlős kollaboráció

Egy rendszergazda értesítése új bérlők közötti hozzáférési szabályzat létrehozásakor. Ez lehetővé teszi a szervezet számára, hogy észlelje, mikor jött létre kapcsolat egy új szervezettel.

Lekérdezés

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Rendszergazdaként riasztást kaphatok, ha a bejövő bérlők közötti szinkronizációs szabályzat igazra van állítva. Ez lehetővé teszi a szervezet számára, hogy észlelje, hogy egy szervezet jogosult-e az identitások bérlőbe való szinkronizálására.

Lekérdezés

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Riasztási logika

Kiváltságos identitáskezelés

Riasztást küld egy rendszergazdának, ha bizonyos PIM-biztonsági riasztások le vannak tiltva.

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Rendszergazda értesítése, ha egy felhasználó a PIM-en kívüli szerepkörhöz van hozzáadva

A következő lekérdezés egy sablonazonosítón alapul. A sablonazonosítók listáját itt találja.

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

A szolgáltatás biztosítása

Értesítsen egy informatikai rendszergazdát, ha az elmúlt nap során megnövekedett a kiépítési hibák száma. Amikor a riasztást log analyticsben konfigurálja, állítsa az összesítés részletességét 1 naposra.

Lekérdezés

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Alert Logic

  • Az eredmények száma alapján
  • Operátor: Nagyobb, mint
  • Küszöbérték: 10

Riasztást küld a rendszergazdának, ha valaki elindít, leáll, letilt, újraindít vagy töröl egy kiépítési konfigurációt.

Lekérdezés

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Rendszergazda értesítése, ha egy kiépítési feladat karanténba kerül

Lekérdezés

AuditLogs
| where ActivityDisplayName == "Quarantine"

Következő lépések