Anpassade aviseringar för Microsoft Entra ID-styrning
Microsoft Entra ID-styrning gör det enkelt att varna personer i din organisation när de behöver vidta åtgärder (t.ex. godkänna en begäran om åtkomst till en resurs) eller när en affärsprocess inte fungerar korrekt (t.ex. nyanställningar etableras inte).
I följande tabell beskrivs några av de standardmeddelanden som Microsoft Entra ID-styrning tillhandahåller. Detta inkluderar målpersona i en organisation, hur de aviseras och när de varnas.
Exempel på befintliga standardmeddelanden
| Persona | Aviseringsmetod | Läglighet | Exempelavisering |
|---|---|---|---|
| Slutanvändare | Teams | Protokoll | Du måste godkänna eller neka denna begäran om åtkomst. Den åtkomst som du begärde godkänns. Använd den nya appen. Läs mer |
| Slutanvändare | Teams | Dagar | Den begärda åtkomsten upphör att gälla nästa vecka. Förnya.Lära sig mer |
| Slutanvändare | Dagar | Välkommen till Woodgrove, här är ditt tillfälliga pass. Läs mer. | |
| Supportavdelningen | ServiceNow | Minuter | En användare måste etableras manuellt i ett äldre program. Läs mer |
| IT-åtgärder | Timmar | Nyanställda medarbetare importeras inte från Workday. Läs mer |
Anpassade aviseringsmeddelanden
Förutom de standardaviseringar som tillhandahålls av Microsoft Entra ID Governance kan organisationer skapa anpassade aviseringar för att uppfylla sina behov.
All aktivitet som utförs av Microsoft Entra ID Governance Services loggas i Microsoft Entra-granskningsloggarna. Genom att skicka loggarna till en Azure Monitor-Log Analytics-arbetsytakan organisationer skapa anpassade aviseringar.
Följande avsnitt innehåller exempel på anpassade aviseringar som kunder kan skapa genom att integrera Microsoft Entra ID-styrning med Azure Monitor. Genom att använda Azure Monitor kan organisationer anpassa vilka aviseringar som genereras, vem som tar emot aviseringarna och hur de får aviseringen (e-post, SMS, supportärende osv.).
| Egenskap | Exempelavisering |
|---|---|
| Åtkomstgranskningar | Avisera en IT-administratör när en åtkomstgranskning tas bort. |
| Berättigandehantering | Varna en IT-administratör när en användare läggs till direkt i en grupp, utan att använda ett åtkomstpaket. |
| Berättigandehantering | Varna en IT-administratör när en ny ansluten organisation läggs till. |
| Berättigandehantering | Varning till en IT-administratör när ett anpassat tillägg misslyckas. |
| Berättigandehantering | Varna en IT-administratör när en policy för tilldelning av åtkomstpaket för behörighetshantering skapas eller uppdateras utan krav på godkännande. |
| Arbetsflöden för livscykel | Varna en IT-administratör när ett visst arbetsflöde misslyckas. |
| Samarbete för flera användare | Avisera en IT-administratör när synkronisering mellan klientorganisationer är aktiverat |
| Samarbete för flera användare | Avisera en IT-administratör när en åtkomstprincip mellan klientorganisationer är aktiverad |
| Hantering av privilegierade identiteter | Avisera en IT-administratör när PIM-aviseringar är inaktiverade. |
| Hantering av privilegierade identiteter | Varna en IT-administratör när en roll beviljas utanför PIM. |
| Provisionering | Avisera en IT-administratör när det har varit en ökning av etableringsfel under det senaste dygnet. |
| Provisionering | Varna en IT-administratör när någon startar, stoppar, inaktiverar, startar om eller tar bort en etableringskonfiguration. |
| Provisionering | Meddela en IT-administratör när ett etableringsjobb hamnar i karantän. |
Åtkomstgranskningar
Meddela en IT-administratör när en åtkomstgranskning har tagits bort.
Fråga
AuditLogs
| where ActivityDisplayName == "Delete access review"
Berättigandehantering
Varna en IT-administratör när en användare läggs till direkt i en grupp, utan att använda ett åtkomstpaket.
Fråga
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Varna en IT-administratör när en ny ansluten organisation skapas. Användare från den här organisationen kan nu begära åtkomst till resurser som gjorts tillgängliga för alla anslutna organisationer.
Fråga
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Varna en IT-administratör när ett anpassat tillägg för berättigandehantering misslyckas.
Fråga
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Meddela en IT-administratör när en tilldelningsprincip för åtkomstpaket i rättighetshantering skapas eller uppdateras utan godkännande.
Fråga
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Arbetsflöden för livscykel
Varna en IT-administratör när ett specifikt livscykelarbetsflöde misslyckas.
Fråga
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Aviseringslogik
- Baserat på: Antal resultat
- Operator: Lika med
- Tröskelvärde: 0
Samarbete för flera användare
Avisera en IT-administratör när en ny princip för åtkomst mellan klientorganisationer skapas. På så sätt kan din organisation identifiera när en relation har skapats med en ny organisation.
Fråga
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Som administratör kan jag få en avisering när en inkommande synkroniseringspolicy mellan klienter är inställd på sant. Detta gör att din organisation kan identifiera när en organisation har behörighet att synkronisera identiteter till din klientorganisation.
Fråga
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Aviseringslogik
Hantering av privilegierade identiteter
Avisera en IT-administratör när specifika PIM-säkerhetsaviseringar är inaktiverade.
Fråga
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Varna en IT-administratör när en användare läggs till i en roll utanför PIM
Följande fråga baseras på ett templateId. Du hittar en lista över mall-ID :t här.
Fråga
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Tilldelning
Meddela en IT-administratör när det finns en kraftig ökning i försörjningsfel under det senaste dygnet. När du konfigurerar aviseringen i Log Analytics anger du sammansättningskornigheten till 1 dag.
Fråga
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Aviseringslogik
- Baserat på: Antal resultat
- Operator: Större än
- Tröskelvärde: 10
Varna en IT-administratör när någon startar, stoppar, inaktiverar, startar om eller tar bort en etableringskonfiguration.
Fråga
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Avisera en IT-administratör när ett etableringsjobb hamnar i karantän
Fråga
AuditLogs
| where ActivityDisplayName == "Quarantine"
Nästa steg
- Analysera Microsoft Entra-aktivitetsloggar med Azure Monitor Log Analytics
- Kom igång med frågor i Azure Monitor-loggar
- Skapa och hantera aviseringsgrupper i Azure Portal
- Installera och använda log analytics-vyerna för Microsoft Entra-ID
- Arkivera loggar och rapportering om berättigandehantering i Azure Monitor