Microsoft Entra Kimlik Yönetimi özel uyarıları
Microsoft Entra Kimlik Yönetimi, kuruluşunuzdaki kişileri eyleme geçmeleri gerektiğinde (örn. bir kaynağa erişim isteğini onaylama) veya bir iş süreci düzgün çalışmadığında (örneğin, yeni işe alımlar sağlanmıyor) kolayca uyarabilirsiniz.
Aşağıdaki tabloda, Microsoft Entra Id Governance tarafından sunulan bazı standart bildirimler özetlenmiştir. Bu, bir kuruluştaki hedef kişiyi, nasıl uyarıldıklarını ve ne zaman uyarıldıklarını içerir.
Mevcut standart bildirimlerin örneği
| Kişilik | Uyarı yöntemi | Güncellik | Örnek uyarı |
|---|---|---|---|
| Son kullanıcı | Takımlar | Toplantı Tutanağı | Bu erişim isteğini onaylamanız veya reddetmeniz gerekir; İstediğiniz erişim onaylandı, gidin yeni uygulamanızı kullanın. Daha fazla bilgi edinin |
| Son kullanıcı | Takımlar | Gün | İstediğiniz erişimin süresi gelecek hafta dolacak, lütfen yenileyin.Daha fazla bilgi edinin |
| Son kullanıcı | E-posta | Gün | Woodgrove'a hoş geldiniz, işte geçici erişim kartınız. Daha fazla bilgi edinin. |
| Yardım masası | ServiceNow | Dakika | Kullanıcının eski bir uygulamaya manuel olarak tanımlanması gerekir. Daha fazla bilgi edinin |
| BT işlemleri | E-posta | Saat | Yeni işe alınan çalışanlar Workday'den içeri aktarılmıyor. Daha fazla bilgi edinin |
Özel uyarı bildirimleri
kuruluşlar, Microsoft Entra Kimlik Yönetimi tarafından sağlanan standart bildirimlere ek olarak ihtiyaçlarını karşılamak için özel uyarılar oluşturabilir.
Microsoft Entra Kimlik Yönetimi hizmetleri tarafından gerçekleştirilen tüm etkinlikler Microsoft Entra Denetim Günlüklerine kaydedilir. Kuruluşlar, günlükleribir Azure İzleyici
Aşağıdaki bölümde, müşterilerin Microsoft Entra Kimlik Yönetimi Azure İzleyici ile tümleştirerek oluşturabileceği özel uyarı örnekleri verilmiştir. Kuruluşlar Azure İzleyici'yi kullanarak hangi uyarıların oluşturulduğunu, uyarıları kimin aldığını ve uyarıyı nasıl aldıklarını (e-posta, SMS, yardım masası bileti vb.) özelleştirebilir.
| Özellik | Örnek uyarı |
|---|---|
| Erişim Gözden Geçirmeleri | Erişim gözden geçirmesi silindiğinde BT yöneticisini uyarın. |
| Yetkilendirme yönetimi | Erişim paketi kullanmadan bir kullanıcı doğrudan bir gruba eklendiğinde BT yöneticisini uyarın. |
| Hak yönetimi | Yeni bir bağlı kuruluş eklendiğinde BT yöneticisini uyarın. |
| Hak yönetimi | Özel uzantı başarısız olduğunda BT yöneticisini uyarın. |
| Hak yönetimi | Yetkilendirme yönetimi erişim paketi atama ilkesi oluşturulduğunda veya onay gerektirmeden güncelleştirildiğinde BT yöneticisini uyarın. |
| Yaşam döngüsü iş akışları | Belirli bir iş akışı başarısız olduğunda BT yöneticisini uyarın. |
| Çok kiracılı işbirliği | Kiracılar arası eşitleme etkinleştirildiğinde BT yöneticisini uyarma |
| Çok kiracılı işbirliği | Kiracılar arası erişim ilkesi etkinleştirildiğinde BT yöneticisini uyarma |
| Ayrıcalıklı Kimlik Yönetimi | PIM uyarıları devre dışı bırakıldığında BT yöneticisini uyarın. |
| Ayrıcalıklı Kimlik Yönetimi | PIM dışında bir rol verildiğinde BT yöneticisini uyarın. |
| Sağlama | Son bir gün içinde sağlama hatalarında ani bir artış olduğunda BT yöneticisini uyarın. |
| Sağlama | Birisi bir sağlama yapılandırmasını başlattığında, durdurduğunda, devre dışı bıraktığında, yeniden başlattığında veya sildiğinde BT yöneticisini uyarın. |
| Sağlama | Sağlama görevi karantinaya alındığında bir BT yöneticisini bilgilendirin. |
Erişim gözden geçirmeleri
Erişim gözden geçirmesi silindiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName == "Delete access review"
Hak yönetimi
Erişim paketi kullanmadan bir kullanıcı doğrudan bir gruba eklendiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Yeni bir bağlı kuruluş oluşturulduğunda BT yöneticisini uyarın. Bu kuruluştan kullanıcılar artık tüm bağlı kuruluşların kullanımına sunulan kaynaklara erişim isteyebilir.
Sorgu
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Yetkilendirme yönetimi özel uzantısı başarısız olduğunda BT yöneticisini uyarın .
Sorgu
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
Yetkilendirme yönetimi erişim paketi atama ilkesi oluşturulduğunda veya onay gerektirmeden güncelleştirildiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Yaşam döngüsü iş akışları
Belirli bir yaşam döngüsü iş akışı başarısız olduğunda BT yöneticisini uyarın.
Sorgu
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Uyarı mantığı
- Sonuç sayısına göre:
- İşleç: Eşittir
- Eşik: 0
Çok kiracılı işbirliği
Yeni bir kiracılar arası erişim ilkesi oluşturulduğunda BT yöneticisini uyarın. Bu, kuruluşunuzun yeni bir kuruluşla bir ilişkinin ne zaman oluşturulduğunu algılamasını sağlar.
Sorgu
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Yönetici olarak, bir gelen kiracılar arası senkronizasyon politikası true olarak ayarlandığında bir uyarı alabilirim. Bu, kuruluşunuzun başka bir kuruluşun kiracınıza kimlikleri senkronize etme yetkisine ne zaman sahip olduğunu algılamasına olanak tanır.
Sorgu
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Uyarı mantığı
Ayrıcalıklı Kimlik Yönetimi
Belirli PIM güvenlik uyarıları devre dışı bırakıldığında BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Kullanıcı PIM dışındaki bir role eklendiğinde BT yöneticisini uyarma
Aşağıdaki sorgu bir templateId'yi temel alır. Şablon kimliklerinin listesini burada bulabilirsiniz.
Sorgu
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Sağlama
Son bir gün içinde sağlama hatalarında ani bir artış olduğunda BT yöneticisini uyarın. Uyarınızı Log Analytics'te yapılandırırken toplama ayrıntı düzeyini 1 gün olarak ayarlayın.
Sorgu
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Uyarı Mantığı
- Sonuç sayısına göre
- İşleç: Daha büyük
- Eşik değeri: 10
Birisi bir sağlama yapılandırmasını başlattığında, durdurduğunda, devre dışı bıraktığında, yeniden başlattığında veya sildiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Sağlama işi karantinaya alınırken BT yöneticisini uyarma
Sorgu
AuditLogs
| where ActivityDisplayName == "Quarantine"
Sonraki Adımlar
- Microsoft Entra etkinlik günlüklerini Azure İzleyici günlük analitiği ile analiz edin
- Azure İzleyici günlüklerindeki sorguları kullanmaya başlama
- Azure portalında uyarı grupları oluşturma ve yönetme
- Microsoft Entra ID için log analytics görünümlerini yükleme ve kullanma
- Azure İzleyici'de yetkilendirme yönetimiyle ilgili günlükleri arşivle ve raporlama