Microsoft Entra ID 控管自訂警示
Microsoft Entra ID 身分識別治理讓組織內部能輕鬆地在需要採取行動時(例如:核准存取資源的要求)或商業流程運作不正常時(例如:新進員工未完成佈建)提醒相關人員。
下表概述一些Microsoft Entra ID Governance 提供的標準通知。 這包括組織中的目標角色、警示方式,以及何時收到警示。
現有標準通知的樣本
| 角色 | 警示方法 | 時效性 | 範例警示 |
|---|---|---|---|
| 終端使用者 | 團隊 | 會議記錄 | 您必須核准或拒絕此要求以進行存取; 您要求的存取權已核准,請使用您的新應用程式。 深入了解 |
| 終端使用者 | 團隊 | 天 | 您所要求的存取權將於下周到期,請續約。深入了解 |
| 終端使用者 | 電子郵件 | 天 | 歡迎使用 Woodgrove,以下是您的臨時存取密碼。 深入了解。 |
| 技術支援中心 | ServiceNow | 會議記錄 | 使用者必須手動配置到舊版應用程式。 深入了解 |
| IT 作業 | 電子郵件 | 小時 | 新僱用的員工不會從 Workday 匯入。 深入了解 |
自訂警示通知
除了 Microsoft Entra ID 控管所提供的標準通知之外,組織還可以建立自訂警示以符合其需求。
Microsoft Entra ID 控管服務執行的所有活動都會記錄在 Microsoft Entra 稽核記錄中。 藉由將記錄推送至 Azure 監視器
下一節提供客戶可藉由整合 Microsoft Entra ID 控管與 Azure 監視器來建立的自訂警示範例。 藉由使用 Azure 監視器,組織可以自訂產生的警示、接收警示的人員,以及他們接收警示的方式 (電子郵件、簡訊、 技術支援中心票證等)。
| 功能 | 範例警示 |
|---|---|
| 權限審查 | 刪除存取權檢閱時,向 IT 管理員發出警示。 |
| 權利管理 | 當使用者直接新增至群組,而不使用存取套件時,向 IT管理員發出警示。 |
| 權利管理 | 新增新的連線組織時,向 IT 管理員發出警示。 |
| 權利管理 | 當自訂擴充功能失敗時,向 IT 管理員發出警示。 |
| 權利管理 | 在無需核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。 |
| 生命週期工作流程 | 當特定工作流程失敗時,向 IT 管理員發出警示。 |
| 多租戶協作 | 啟用跨租用戶同步處理時向 IT 管理員發出警示 |
| 多租戶協作 | 啟用跨租用戶存取原則時,向 IT 管理員發出警示 |
| 特權身份管理 | 停用 PIM 警示時,向 IT 管理員發出警示。 |
| 特權身份管理 | 在 PIM 系統外部授與角色時,向 IT 管理員發出警報。 |
| 配置 | 當過去一天的佈建失敗發生劇增時,通知 IT 管理員。 |
| 配置 | 當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。 |
| 資源配置 | 佈建作業進入隔離狀態時,向 IT 管理員發出警示。 |
存取權審核
刪除 存取權檢閱 時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName == "Delete access review"
權利管理
當使用者直接新增至群組,而無需使用 存取套件時,向 IT 管理員發出警示。
查詢
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
建立新的 連線組織 時,向 IT 管理員發出警示。 此組織的使用者現在可以要求存取提供給所有連線組織的資源。
查詢
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
當權利管理 自訂擴充功能 失敗時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')
在無需 核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
生命週期工作流程
當特定 生命週期工作流程 失敗時,向 IT 管理員發出警示。
查詢
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
警示邏輯
- 依據:結果數目
- 運算子:等於
- 閾值:0
多租戶協作
建立新的 跨租用戶存取原則 時,向 IT 管理員發出警示。 這可讓組織偵測何時與新組織形成關聯性。
查詢
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
身為管理員,當 跨租戶同步政策 設定為 true 時,我可以收到警示。 這可讓組織偵測何時授權組織將身分識別同步到您的租用戶。
查詢
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
警示邏輯
特權身份管理
停用特定 PIM 安全性警示時,向 IT 管理員發出警示 。
查詢
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
將使用者新增至 PIM 外部的角色時,向 IT 管理員發出警示
下列查詢是以templateId為基礎。 您可以在 這裡找到範本識別碼的清單。
查詢
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
配置
提醒IT管理員當過去一天以來布建失敗次數激增時,需注意此情況。 在記錄分析中設定警示時,請將匯總粒度設定為1天。
查詢
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
警示邏輯
- 依據:結果數目
- 運算子:大於
- 閾值:10
當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。
查詢
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
當佈建作業進入 隔離狀態時,向 IT 管理員發出警示
查詢
AuditLogs
| where ActivityDisplayName == "Quarantine"
下一步
- 使用 Azure 監視器記錄分析分析 Microsoft Entra 活動記錄
- 開始探索 Azure Monitor 日誌中的查詢
- 在 Azure 入口網站中建立和管理警示群組
- 為 Microsoft Entra ID 安裝和使用記錄分析檢視
- 在 Azure 監視器中封存與存取權管理相關的記錄和報告