Zarządzanie tożsamością Microsoft Entra alerty niestandardowe
Zarządzanie tożsamością Microsoft Entra ułatwia powiadamianie osób w organizacji o konieczności podjęcia działań (np. zatwierdzenie żądania dostępu do zasobu) lub gdy proces biznesowy nie działa prawidłowo (np. nowi pracownicy nie są przypisywani do zasobów).
W poniższej tabeli przedstawiono niektóre standardowe powiadomienia zapewniane przez usługę Microsoft Entra ID Governance. Obejmuje to docelową osobę w organizacji, sposób informowania ich o alertach oraz moment, w którym są powiadamiani.
Przykład istniejących standardowych powiadomień
| Osoba | Metoda alertu | Terminowość | Alert przykładowy |
|---|---|---|---|
| Użytkownik końcowy | Zespoły | Minuty | Musisz zatwierdzić lub odrzucić to żądanie dostępu; Żądany dostęp zostanie zatwierdzony, a następnie użyj nowej aplikacji. Dowiedz się więcej |
| Użytkownik końcowy | Zespoły | Dni | Żądany dostęp wygaśnie w przyszłym tygodniu. Odnów.Dowiedz się więcej |
| Użytkownik końcowy | Dni | Witamy w Woodgrove, oto Twoja tymczasowa przepustka dostępu. Dowiedz się więcej. | |
| Pomoc techniczna | ServiceNow | Minuty | Użytkownik musi zostać ręcznie aprowizowany w starszej aplikacji. Dowiedz się więcej |
| Operacje IT | Godziny | Nowo zatrudnieni pracownicy nie są importowani z Workday. Dowiedz się więcej |
Powiadomienia o alertach niestandardowych
Oprócz standardowych powiadomień udostępnianych przez Zarządzanie tożsamością Microsoft Entra organizacje mogą tworzyć niestandardowe alerty, aby spełnić ich potrzeby.
Wszystkie działania wykonywane przez usługi Zarządzanie tożsamością Microsoft Entra są rejestrowane w dziennikach inspekcji firmy Microsoft. Przesyłając dzienniki do
W poniższej sekcji przedstawiono przykłady alertów niestandardowych, które klienci mogą tworzyć, integrując Zarządzanie tożsamością Microsoft Entra z usługą Azure Monitor. Za pomocą usługi Azure Monitor organizacje mogą dostosowywać, jakie alerty są generowane, kto je otrzymuje oraz w jaki sposób je otrzymuje (wiadomości e-mail, SMS, zgłoszenie do help desk itp.).
| Funkcja | Alert przykładowy |
|---|---|
| Przeglądy dostępu | Powiadom administratora IT, gdy przegląd dostępu zostanie usunięty. |
| Zarządzanie upoważnieniami | Alert administratora IT, gdy użytkownik jest bezpośrednio dodawany do grupy bez korzystania z pakietu dostępu. |
| Zarządzanie upoważnieniami | Powiadom administratora IT, gdy zostanie dodana nowa połączona organizacja. |
| Zarządzanie upoważnieniami | Alert administratora IT, gdy rozszerzenie niestandardowe zakończy się niepowodzeniem. |
| Zarządzanie upoważnieniami | Powiadom administratora IT, gdy polityka przypisania pakietu dostępu do zarządzania uprawnieniami zostanie utworzona lub zaktualizowana bez konieczności zatwierdzania. |
| Procesy cyklu życia | Alert administratora IT, gdy określony przepływ pracy zakończy się niepowodzeniem. |
| Współpraca wieloużytkowa | Powiadom administratora IT, gdy synchronizacja między dzierżawami jest włączona |
| Współpraca między wieloma najemcami | Powiadom administratora IT, gdy zostanie włączona zasada dostępu między dzierżawami. |
| Zarządzanie Uprzywilejowaną Tożsamością | Alert administratora IT, gdy alerty PIM są wyłączone. |
| Zarządzanie Uprzywilejowanymi Tożsamościami | Zaalarmuj administratora IT, gdy rola jest przyznawana poza systemem PIM. |
| Konfigurowanie | Powiadom administratora IT, gdy w ciągu ostatniego dnia nastąpi wzrost liczby niepowodzeń aprowizacji. |
| Udostępnianie zasobów | Powiadom administratora IT, gdy ktoś uruchamia, zatrzymuje, wyłącza, ponownie uruchamia lub usuwa konfigurację aprowizacji. |
| Inicjowanie obsługi | Zaalarmuj administratora IT, gdy zadanie aprowizacji przechodzi do kwarantanny. |
Przeglądy dostępu
Powiadom administratora IT, gdy przegląd dostępu został usunięty.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Delete access review"
Zarządzanie upoważnieniami
Zaalarmuj IT administratora, gdy użytkownik dodawany jest bezpośrednio do grupy, bez korzystania z pakietu dostępu.
Zapytanie
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Powiadomić administratora IT, gdy zostanie utworzona nowa połączona organizacja. Użytkownicy z tej organizacji mogą teraz żądać dostępu do zasobów udostępnionych wszystkim połączonym organizacjom.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Alert administratora IT, gdy niestandardowe rozszerzenie zarządzania upoważnieniami kończy się niepowodzeniem.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Powiadom administratora IT, gdy zasady przypisania pakietu dostępu w zarządzaniu uprawnieniami zostaną utworzone lub zaktualizowane bez konieczności zatwierdzania.
Zapytanie
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Przepływy pracy cyklu życia
Zaalertuj administratora IT, gdy przepływ pracy określonego cyklu życia zakończy się niepowodzeniem.
Zapytanie
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logika powiadomień
- Na podstawie liczby wyników
- Operator: równy
- Próg: 0
Współpraca wielu najemców
Powiadom administratora IT, gdy zostanie utworzona nowa polityka dostępu między dzierżawami. Dzięki temu organizacja może wykryć, kiedy relacja została utworzona z nową organizacją.
Zapytanie
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Jako administrator mogę otrzymać alert, gdy zasada synchronizacji przychodzącej między dzierżawcami jest ustawiona na wartość true. To umożliwia twojej organizacji wykrycie, kiedy inna organizacja jest upoważniona do synchronizowania tożsamości z twoim dzierżawcą.
Zapytanie
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Alert Logic
Zarządzanie tożsamościami uprzywilejowanymi
Powiadom administratora IT, gdy określone alerty bezpieczeństwa PIM są wyłączone.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Powiadom administratora IT po dodaniu użytkownika do roli poza usługą PIM
Poniższe zapytanie jest oparte na identyfikatorze templateId. Listę identyfikatorów szablonów można znaleźć tutaj.
Zapytanie
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Przygotowanie
Powiadom administratora IT, gdy w ciągu ostatniego dnia występuje wzrost liczby niepowodzeń w udostępnianiu zasobów. Podczas konfigurowania alertu w usłudze Log Analytics ustaw stopień szczegółowości agregacji na 1 dzień.
Zapytanie
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logika alertów
- Na podstawie liczby wyników
- Operator: większe niż
- Wartość progowa: 10
Powiadom administratora IT, gdy ktoś uruchomi, zatrzyma, wyłączy, ponownie uruchomi lub usunie konfigurację aprowizacji.
Zapytanie
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Powiadom administratora IT, gdy zadanie aprowizacji przechodzi do kwarantanny
Zapytanie
AuditLogs
| where ActivityDisplayName == "Quarantine"
Następne kroki
- Analizowanie dzienników aktywności Microsoft Entra za pomocą usługi Azure Monitor Log Analytics
- Wprowadzenie do zapytań w dziennikach usługi Azure Monitor
- Tworzenie grup alertów i zarządzanie nimi w witrynie Azure Portal
- Instalowanie i używanie widoków usługi Log Analytics dla identyfikatora Entra firmy Microsoft
- Archiwizowanie dzienników i raportowanie zarządzania upoważnieniami w usłudze Azure Monitor