Dela via


Anpassade aviseringar för Microsoft Entra ID-styrning

Microsoft Entra ID-styrning gör det enkelt att varna personer i din organisation när de behöver vidta åtgärder (t.ex. godkänna en begäran om åtkomst till en resurs) eller när en affärsprocess inte fungerar korrekt (t.ex. nyanställningar etableras inte).

I följande tabell beskrivs några av de standardmeddelanden som Microsoft Entra ID-styrning tillhandahåller. Detta inkluderar målpersona i en organisation, hur de aviseras och när de varnas.

Exempel på befintliga standardmeddelanden

Persona Aviseringsmetod Läglighet Exempelavisering
Slutanvändare Teams Protokoll Du måste godkänna eller neka denna begäran om åtkomst.
Den åtkomst som du begärde godkänns. Använd den nya appen.

Läs mer
Slutanvändare Teams Dagar Den begärda åtkomsten upphör att gälla nästa vecka. Förnya.Lära sig mer
Slutanvändare Email Dagar Välkommen till Woodgrove, här är ditt tillfälliga pass. Läs mer.
Supportavdelningen ServiceNow Minuter En användare måste etableras manuellt i ett äldre program. Läs mer
IT-åtgärder Email Timmar Nyanställda medarbetare importeras inte från Workday. Läs mer

Anpassade aviseringsmeddelanden

Förutom de standardaviseringar som tillhandahålls av Microsoft Entra ID Governance kan organisationer skapa anpassade aviseringar för att uppfylla sina behov.

All aktivitet som utförs av Microsoft Entra ID Governance Services loggas i Microsoft Entra-granskningsloggarna. Genom att skicka loggarna till en Azure Monitor-Log Analytics-arbetsytakan organisationer skapa anpassade aviseringar.

Följande avsnitt innehåller exempel på anpassade aviseringar som kunder kan skapa genom att integrera Microsoft Entra ID-styrning med Azure Monitor. Genom att använda Azure Monitor kan organisationer anpassa vilka aviseringar som genereras, vem som tar emot aviseringarna och hur de får aviseringen (e-post, SMS, supportärende osv.).

Egenskap Exempelavisering
Åtkomstgranskningar Avisera en IT-administratör när en åtkomstgranskning tas bort.
Berättigandehantering Varna en IT-administratör när en användare läggs till direkt i en grupp, utan att använda ett åtkomstpaket.
Berättigandehantering Varna en IT-administratör när en ny ansluten organisation läggs till.
Berättigandehantering Varning till en IT-administratör när ett anpassat tillägg misslyckas.
Berättigandehantering Varna en IT-administratör när en policy för tilldelning av åtkomstpaket för behörighetshantering skapas eller uppdateras utan krav på godkännande.
Arbetsflöden för livscykel Varna en IT-administratör när ett visst arbetsflöde misslyckas.
Samarbete för flera användare Avisera en IT-administratör när synkronisering mellan klientorganisationer är aktiverat
Samarbete för flera användare Avisera en IT-administratör när en åtkomstprincip mellan klientorganisationer är aktiverad
Hantering av privilegierade identiteter Avisera en IT-administratör när PIM-aviseringar är inaktiverade.
Hantering av privilegierade identiteter Varna en IT-administratör när en roll beviljas utanför PIM.
Provisionering Avisera en IT-administratör när det har varit en ökning av etableringsfel under det senaste dygnet.
Provisionering Varna en IT-administratör när någon startar, stoppar, inaktiverar, startar om eller tar bort en etableringskonfiguration.
Provisionering Meddela en IT-administratör när ett etableringsjobb hamnar i karantän.

Åtkomstgranskningar

Meddela en IT-administratör när en åtkomstgranskning har tagits bort.

Fråga

AuditLogs
| where ActivityDisplayName == "Delete access review"

Berättigandehantering

Varna en IT-administratör när en användare läggs till direkt i en grupp, utan att använda ett åtkomstpaket.

Fråga

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Varna en IT-administratör när en ny ansluten organisation skapas. Användare från den här organisationen kan nu begära åtkomst till resurser som gjorts tillgängliga för alla anslutna organisationer.

Fråga

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Varna en IT-administratör när ett anpassat tillägg för berättigandehantering misslyckas.

Fråga

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')

Meddela en IT-administratör när en tilldelningsprincip för åtkomstpaket i rättighetshantering skapas eller uppdateras utan godkännande.

Fråga

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Arbetsflöden för livscykel

Varna en IT-administratör när ett specifikt livscykelarbetsflöde misslyckas.

Fråga

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Aviseringslogik

  • Baserat på: Antal resultat
  • Operator: Lika med
  • Tröskelvärde: 0

Samarbete för flera användare

Avisera en IT-administratör när en ny princip för åtkomst mellan klientorganisationer skapas. På så sätt kan din organisation identifiera när en relation har skapats med en ny organisation.

Fråga

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Som administratör kan jag få en avisering när en inkommande synkroniseringspolicy mellan klienter är inställd på sant. Detta gör att din organisation kan identifiera när en organisation har behörighet att synkronisera identiteter till din klientorganisation.

Fråga

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Aviseringslogik

Hantering av privilegierade identiteter

Avisera en IT-administratör när specifika PIM-säkerhetsaviseringar är inaktiverade.

Fråga

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Varna en IT-administratör när en användare läggs till i en roll utanför PIM

Följande fråga baseras på ett templateId. Du hittar en lista över mall-ID :t här.

Fråga

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

Tilldelning

Meddela en IT-administratör när det finns en kraftig ökning i försörjningsfel under det senaste dygnet. När du konfigurerar aviseringen i Log Analytics anger du sammansättningskornigheten till 1 dag.

Fråga

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Aviseringslogik

  • Baserat på: Antal resultat
  • Operator: Större än
  • Tröskelvärde: 10

Varna en IT-administratör när någon startar, stoppar, inaktiverar, startar om eller tar bort en etableringskonfiguration.

Fråga

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Avisera en IT-administratör när ett etableringsjobb hamnar i karantän

Fråga

AuditLogs
| where ActivityDisplayName == "Quarantine"

Nästa steg