Avvisi personalizzati di Microsoft Entra ID Governance
Microsoft Entra ID Governance semplifica l'invio di avvisi agli utenti dell'organizzazione quando devono intervenire (ad esempio, approvare una richiesta di accesso a una risorsa) o quando un processo aziendale non funziona correttamente (ad esempio, i nuovi assunti non vengono sottoposti a provisioning).
La tabella seguente illustra alcune delle notifiche standard fornite da Microsoft Entra ID Governance. Ciò include la persona obiettivo in un'organizzazione, come viene notificata e quando viene notificata.
Esempio di notifiche standard esistenti
| Persona | Metodo di allerta | Tempestività | Avviso di esempio |
|---|---|---|---|
| Utente finale | Teams | Minuti | È necessario approvare o negare questa richiesta per l'accesso; L'accesso richiesto è approvato, usare la nuova app. Ulteriori informazioni |
| Utente finale | Teams | Giorni | L'accesso richiesto scadrà la settimana prossima. Rinnovare. Ulteriori informazioni |
| Utente finale | Giorni | Benvenuti in Woodgrove, ecco il pass di accesso temporaneo. Altre informazioni. | |
| Supporto tecnico | ServiceNow | Minuti | È necessario eseguire manualmente il provisioning di un utente in un'applicazione legacy. Ulteriori informazioni |
| Operazioni IT | Ore | I dipendenti appena assunti non vengono importati da Workday. Ulteriori informazioni |
Notifiche di avviso personalizzate
Oltre alle notifiche standard fornite da Microsoft Entra ID Governance, le organizzazioni possono creare avvisi personalizzati per soddisfare le proprie esigenze.
Tutte le attività eseguite dai servizi di Microsoft Entra ID Governance vengono registrate nei log di audit di Microsoft Entra. Inviando i log in un'area di lavoro di Monitoraggio di Azure Log Analytics, le organizzazioni possono creare avvisi personalizzati.
La sezione seguente fornisce esempi di avvisi personalizzati che i clienti possono creare integrando Microsoft Entra ID Governance con Monitoraggio di Azure. Attraverso l'uso di monitoraggio di Azure, le organizzazioni possono personalizzare gli avvisi generati, gli utenti che ricevono gli avvisi e il modo in cui ricevono l'avviso (posta elettronica, SMS, ticket help desk e così via).
| Funzionalità | Avviso di esempio |
|---|---|
| Verifiche di accesso | Avvisare un amministratore IT quando viene eliminata una verifica di accesso. |
| Gestione dei diritti | Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso. |
| Gestione delle autorizzazioni | Avvisare un amministratore IT quando viene aggiunta una nuova organizzazione connessa. |
| Gestione delle autorizzazioni | Avvisare un amministratore IT quando un'estensione personalizzata ha esito negativo. |
| Gestione delle autorizzazioni | Avvisare un amministratore IT quando viene creato o aggiornato un criterio di assegnazione dei pacchetti di accesso nella gestione dei diritti, senza che sia necessaria l'approvazione. |
| Flussi di lavoro del ciclo di vita | Avvisare un amministratore IT quando un flusso di lavoro specifico ha esito negativo. |
| Collaborazione multitenant | Avvisare un amministratore IT quando la sincronizzazione tra tenant è abilitata |
| Collaborazione multiutente | Avvisare un amministratore IT quando è abilitato un criterio di accesso tra tenant |
| Gestione delle Identità Privilegiate | Avvisare un amministratore IT quando gli avvisi PIM sono disabilitati. |
| Gestione delle Identità Privilegiate | Avvisare un amministratore IT quando viene concesso un ruolo all'esterno di PIM. |
| Distribuzione | Notificare un amministratore IT quando si verifica un picco negli errori di provisioning nelle ultime 24 ore. |
| Provisioning | Notificare un amministratore IT quando qualcuno avvia, arresta, disabilita, riavvia o elimina una configurazione di provisioning. |
| Approvvigionamento | Notifica un amministratore IT quando un processo di provisioning entra in quarantena. |
Verifiche di accesso
Avvisare un amministratore IT quando è stata eliminata una verifica di accesso.
Query
AuditLogs
| where ActivityDisplayName == "Delete access review"
Gestione delle autorizzazioni
Avvisare un amministratore IT quando un utente viene aggiunto direttamente a un gruppo, senza usare un pacchetto di accesso.
Query
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Avvisare un amministratore IT quando viene creata una nuova organizzazione connessa. Gli utenti di questa organizzazione possono ora richiedere l'accesso alle risorse rese disponibili a tutte le organizzazioni connesse.
Query
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Avvisa un amministratore IT quando una estensione personalizzata di gestione dei diritti fallisce.
Query
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Avvisa un amministratore IT quando viene creato o aggiornato un criterio di assegnazione di un pacchetto di accesso per la gestione delle autorizzazioni senza richiedere l'approvazione.
Query
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Flussi di lavoro del ciclo di vita
Avvisare un amministratore IT quando un flusso di lavoro specifico del ciclo di vita fallisce.
Query
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logica degli allarmi
- In base a: Numero di risultati
- Operatore: Uguale a
- Soglia: 0
Collaborazione su piattaforma multi-tenant
Avvisare un amministratore IT quando viene creato un nuovo criterio di accesso tra tenant. Ciò consente all'organizzazione di rilevare quando è stata creata una relazione con una nuova organizzazione.
Query
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Gli amministratori possono ricevere un avviso quando un criterio di sincronizzazione tra tenant in ingresso è impostato su true. Ciò consente all'organizzazione di rilevare quando un'organizzazione è autorizzata a sincronizzare le identità nel tenant.
Query
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logica degli allarmi
Gestione delle Identità Privilegiate
Avvisare un amministratore IT quando specifici avvisi di sicurezza PIM sono disabilitati.
Query
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Avvisare un amministratore IT quando un utente viene aggiunto a un ruolo esterno a PIM
La query seguente si basa su un templateId. È possibile trovare un elenco di ID modello qui.
Query
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Provisioning
Avvisa un amministratore IT quando si verifica un picco di errori di provisioning nella giornata precedente. Quando si configura l'avviso in Log Analytics, impostare la granularità delle aggregazioni su 1 giorno.
Query
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Alert Logic
- In base a: Numero di risultati
- Operatore: Maggiore di
- Valore soglia: 10
Notificare un amministratore IT quando qualcuno avvia, arresta, disabilita, riavvia o elimina una configurazione di provisioning.
Query
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Avvisare immediatamente un amministratore IT quando un'attività di provisioning entra in quarantena
Query
AuditLogs
| where ActivityDisplayName == "Quarantine"
Passaggi successivi
- Analizzare i log attività di Microsoft Entra con Azure Monitor Log Analytics
- Inizia con le query nei log di Azure Monitor
- Creare e gestire gruppi di avvisi nel portale di Azure
- Installare e usare le visualizzazioni di Log Analytics per Microsoft Entra ID
- Log di archiviazione e creazione di report sulla gestione delle autorizzazioni in Azure Monitor