Monitorování změn konfigurace federace v ID Microsoft Entra

Když federujete místní prostředí s ID Microsoft Entra, vytvoříte vztah důvěryhodnosti mezi místním zprostředkovatelem identity a ID Microsoft Entra.

Vzhledem k tomuto zavedenému vztahu důvěryhodnosti microsoft Entra ID respektuje token zabezpečení vydaný místním zprostředkovatelem identity po ověření, aby udělil přístup k prostředkům chráněným ID Microsoft Entra.

Proto je důležité, aby se tento vztah důvěryhodnosti (konfigurace federace) pečlivě monitoroval a všechna neobvyklá nebo podezřelá aktivita se zachytila.

Pokud chcete monitorovat vztah důvěryhodnosti, doporučujeme nastavit upozornění, která se mají informovat při změnách konfigurace federace.

Nastavení upozornění pro monitorování vztahu důvěryhodnosti

Pokud chcete nastavit výstrahy pro monitorování vztahu důvěryhodnosti, postupujte takto:

1. Nakonfigurujte protokoly auditu Microsoft Entra pro tok do pracovního prostoru Služby Azure Log Analytics.
2. Vytvořte pravidlo upozornění, které se aktivuje na základě dotazu protokolu MICROSOFT Entra ID.
3. Přidejte skupinu akcí do pravidla upozornění, které dostane oznámení při splnění podmínky upozornění.

Po nakonfigurování prostředí toky dat následujícím způsobem:

1. Protokoly Microsoft Entra se vyplní podle aktivity v tenantovi.

2. Informace protokolu se přetékají do pracovního prostoru služby Azure Log Analytics.

3. Úloha na pozadí ze služby Azure Monitor spustí dotaz protokolu na základě konfigurace pravidla upozornění v kroku konfigurace (2) výše.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Pokud výsledek dotazu odpovídá logice upozornění (tj. počet výsledků je větší nebo roven 1), pak se skupina akcí spustí. Předpokládejme, že tok nakopl, takže tok pokračuje v kroku 5.

5. Oznámení se odešle skupině akcí vybrané při konfiguraci výstrahy.

Poznámka:

Kromě nastavení upozornění doporučujeme pravidelně kontrolovat nakonfigurované domény v rámci vašeho tenanta Microsoft Entra a odebírat všechny zastaralé, nerozpoznané nebo podezřelé domény.

Další kroky

• Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
• Vytváření, zobrazování a správa upozornění protokolu pomocí služby Azure Monitor
• Správa vztahu důvěryhodnosti služby AD FS s MICROSOFT Entra ID pomocí microsoft Entra Připojení
• Osvědčené postupy pro zabezpečení Active Directory Federation Services (AD FS)