Condividi tramite


Avvisi personalizzati di Microsoft Entra ID Governance

Microsoft Entra ID Governance semplifica l'invio di avvisi agli utenti dell'organizzazione quando devono intervenire (ad esempio, approvare una richiesta di accesso a una risorsa) o quando un processo aziendale non funziona correttamente (ad esempio, i nuovi assunti non vengono sottoposti a provisioning).

La tabella seguente illustra alcune delle notifiche standard fornite da Microsoft Entra ID Governance. Ciò include la persona obiettivo in un'organizzazione, come viene notificata e quando viene notificata.

Esempio di notifiche standard esistenti

Persona Metodo di allerta Tempestività Avviso di esempio
Utente finale Teams Minuti È necessario approvare o negare questa richiesta per l'accesso;
L'accesso richiesto è approvato, usare la nuova app.

Ulteriori informazioni
Utente finale Teams Giorni L'accesso richiesto scadrà la settimana prossima. Rinnovare. Ulteriori informazioni
Utente finale E-mail Giorni Benvenuti in Woodgrove, ecco il pass di accesso temporaneo. Altre informazioni.
Supporto tecnico ServiceNow Minuti È necessario eseguire manualmente il provisioning di un utente in un'applicazione legacy. Ulteriori informazioni
Operazioni IT E-mail Ore I dipendenti appena assunti non vengono importati da Workday. Ulteriori informazioni

Notifiche di avviso personalizzate

Oltre alle notifiche standard fornite da Microsoft Entra ID Governance, le organizzazioni possono creare avvisi personalizzati per soddisfare le proprie esigenze.

Tutte le attività eseguite dai servizi di Microsoft Entra ID Governance vengono registrate nei log di audit di Microsoft Entra. Inviando i log in un'area di lavoro di Monitoraggio di Azure Log Analytics, le organizzazioni possono creare avvisi personalizzati.

La sezione seguente fornisce esempi di avvisi personalizzati che i clienti possono creare integrando Microsoft Entra ID Governance con Monitoraggio di Azure. Attraverso l'uso di monitoraggio di Azure, le organizzazioni possono personalizzare gli avvisi generati, gli utenti che ricevono gli avvisi e il modo in cui ricevono l'avviso (posta elettronica, SMS, ticket help desk e così via).

Funzionalità Avviso di esempio
Verifiche di accesso Avvisare un amministratore IT quando viene eliminata una verifica di accesso.
Gestione dei diritti Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso.
Gestione delle autorizzazioni Avvisare un amministratore IT quando viene aggiunta una nuova organizzazione connessa.
Gestione delle autorizzazioni Avvisare un amministratore IT quando un'estensione personalizzata ha esito negativo.
Gestione delle autorizzazioni Avvisare un amministratore IT quando viene creato o aggiornato un criterio di assegnazione dei pacchetti di accesso nella gestione dei diritti, senza che sia necessaria l'approvazione.
Flussi di lavoro del ciclo di vita Avvisare un amministratore IT quando un flusso di lavoro specifico ha esito negativo.
Collaborazione multitenant Avvisare un amministratore IT quando la sincronizzazione tra tenant è abilitata
Collaborazione multiutente Avvisare un amministratore IT quando è abilitato un criterio di accesso tra tenant
Gestione delle Identità Privilegiate Avvisare un amministratore IT quando gli avvisi PIM sono disabilitati.
Gestione delle Identità Privilegiate Avvisare un amministratore IT quando viene concesso un ruolo all'esterno di PIM.
Distribuzione Notificare un amministratore IT quando si verifica un picco negli errori di provisioning nelle ultime 24 ore.
Provisioning Notificare un amministratore IT quando qualcuno avvia, arresta, disabilita, riavvia o elimina una configurazione di provisioning.
Approvvigionamento Notifica un amministratore IT quando un processo di provisioning entra in quarantena.

Verifiche di accesso

Avvisare un amministratore IT quando è stata eliminata una verifica di accesso.

Query

AuditLogs
| where ActivityDisplayName == "Delete access review"

Gestione delle autorizzazioni

Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso.

Query

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Avvisare un amministratore IT quando viene creata una nuova organizzazione connessa. Gli utenti di questa organizzazione possono ora richiedere l'accesso alle risorse rese disponibili a tutte le organizzazioni connesse.

Query

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Avvisa un amministratore IT quando una estensione personalizzata di gestione dei diritti fallisce.

Query

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')

Avvisa un amministratore IT quando viene creato o aggiornato un criterio di assegnazione di un pacchetto di accesso per la gestione delle autorizzazioni senza richiedere l'approvazione.

Query

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Flussi di lavoro del ciclo di vita

Avvisare un amministratore IT quando un flusso di lavoro specifico del ciclo di vita fallisce.

Query

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Logica degli allarmi

  • In base a: Numero di risultati
  • Operatore: Uguale a
  • Soglia: 0

Collaborazione su piattaforma multi-tenant

Avvisare un amministratore IT quando viene creato un nuovo criterio di accesso tra tenant. Ciò consente all'organizzazione di rilevare quando è stata creata una relazione con una nuova organizzazione.

Query

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Gli amministratori possono ricevere un avviso quando un criterio di sincronizzazione tra tenant in ingresso è impostato su true. Ciò consente all'organizzazione di rilevare quando un'organizzazione è autorizzata a sincronizzare le identità nel tenant.

Query

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Logica degli allarmi

Gestione delle Identità Privilegiate

Avvisare un amministratore IT quando specifici avvisi di sicurezza PIM sono disabilitati.

Query

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Avvisare un amministratore IT quando un utente viene aggiunto a un ruolo esterno a PIM

La query seguente si basa su un templateId. È possibile trovare un elenco di ID modello qui.

Query

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

Provisioning

Avvisa un amministratore IT quando si verifica un picco di errori di provisioning nella giornata precedente. Quando si configura l'avviso in Log Analytics, impostare la granularità delle aggregazioni su 1 giorno.

Query

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Alert Logic

  • In base a: Numero di risultati
  • Operatore: Maggiore di
  • Valore soglia: 10

Notificare un amministratore IT quando qualcuno avvia, arresta, disabilita, riavvia o elimina una configurazione di provisioning.

Query

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Avvisare immediatamente un amministratore IT quando un'attività di provisioning entra in quarantena

Query

AuditLogs
| where ActivityDisplayName == "Quarantine"

Passaggi successivi