共用方式為


Microsoft Entra ID 控管自訂警示

Microsoft Entra ID 身分識別治理讓組織內部能輕鬆地在需要採取行動時(例如:核准存取資源的要求)或商業流程運作不正常時(例如:新進員工未完成佈建)提醒相關人員。

下表概述一些Microsoft Entra ID Governance 提供的標準通知。 這包括組織中的目標角色、警示方式,以及何時收到警示。

現有標準通知的樣本

角色 警示方法 時效性 範例警示
終端使用者 團隊 會議記錄 您必須核准或拒絕此要求以進行存取;
您要求的存取權已核准,請使用您的新應用程式。

深入了解
終端使用者 團隊 您所要求的存取權將於下周到期,請續約。深入了解
終端使用者 電子郵件 歡迎使用 Woodgrove,以下是您的臨時存取密碼。 深入了解
技術支援中心 ServiceNow 會議記錄 使用者必須手動配置到舊版應用程式。 深入了解
IT 作業 電子郵件 小時 新僱用的員工不會從 Workday 匯入。 深入了解

自訂警示通知

除了 Microsoft Entra ID 控管所提供的標準通知之外,組織還可以建立自訂警示以符合其需求。

Microsoft Entra ID 控管服務執行的所有活動都會記錄在 Microsoft Entra 稽核記錄中。 藉由將記錄推送至 Azure 監視器 Log Analytics 工作區,組織就可以建立 自定義警示。

下一節提供客戶可藉由整合 Microsoft Entra ID 控管與 Azure 監視器來建立的自訂警示範例。 藉由使用 Azure 監視器,組織可以自訂產生的警示、接收警示的人員,以及他們接收警示的方式 (電子郵件、簡訊、 技術支援中心票證等)。

功能 範例警示
權限審查 刪除存取權檢閱時,向 IT 管理員發出警示。
權利管理 當使用者直接新增至群組,而不使用存取套件時,向 IT管理員發出警示。
權利管理 新增新的連線組織時,向 IT 管理員發出警示。
權利管理 當自訂擴充功能失敗時,向 IT 管理員發出警示。
權利管理 在無需核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。
生命週期工作流程 當特定工作流程失敗時,向 IT 管理員發出警示。
多租戶協作 啟用跨租用戶同步處理時向 IT 管理員發出警示
多租戶協作 啟用跨租用戶存取原則時,向 IT 管理員發出警示
特權身份管理 停用 PIM 警示時,向 IT 管理員發出警示。
特權身份管理 在 PIM 系統外部授與角色時,向 IT 管理員發出警報。
配置 當過去一天的佈建失敗發生劇增時,通知 IT 管理員。
配置 當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。
資源配置 佈建作業進入隔離狀態時,向 IT 管理員發出警示。

存取權審核

刪除 存取權檢閱 時,向 IT 管理員發出警示。

查詢

AuditLogs
| where ActivityDisplayName == "Delete access review"

權利管理

當使用者直接新增至群組,而無需使用 存取套件時,向 IT 管理員發出警示。

查詢

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

建立新的 連線組織 時,向 IT 管理員發出警示。 此組織的使用者現在可以要求存取提供給所有連線組織的資源。

查詢

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

當權利管理 自訂擴充功能 失敗時,向 IT 管理員發出警示。

查詢

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom extension name>', '<input custom extension name>')

在無需 核准的情況下建立或更新權利管理存取套件指派原則時,向 IT 管理員發出警示。

查詢

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

生命週期工作流程

當特定 生命週期工作流程 失敗時,向 IT 管理員發出警示。

查詢

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

警示邏輯

  • 依據:結果數目
  • 運算子:等於
  • 閾值:0

多租戶協作

建立新的 跨租用戶存取原則 時,向 IT 管理員發出警示。 這可讓組織偵測何時與新組織形成關聯性。

查詢

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

身為管理員,當 跨租戶同步政策 設定為 true 時,我可以收到警示。 這可讓組織偵測何時授權組織將身分識別同步到您的租用戶。

查詢

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

警示邏輯

特權身份管理

停用特定 PIM 安全性警示時,向 IT 管理員發出警示

查詢

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

將使用者新增至 PIM 外部的角色時,向 IT 管理員發出警示

下列查詢是以templateId為基礎。 您可以在 這裡找到範本識別碼的清單。

查詢

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

配置

提醒IT管理員當過去一天以來布建失敗次數激增時,需注意此情況。 在記錄分析中設定警示時,請將匯總粒度設定為1天。

查詢

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

警示邏輯

  • 依據:結果數目
  • 運算子:大於
  • 閾值:10

當有人啟動、停止、停用、重新啟動或刪除佈建設定時,向 IT 管理員發出警示。

查詢

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

當佈建作業進入 隔離狀態時,向 IT 管理員發出警示

查詢

AuditLogs
| where ActivityDisplayName == "Quarantine"

下一步