Surveiller les modifications apportées à la configuration de la fédération dans votre Microsoft Entra ID

Lorsque vous fédérez votre environnement local avec Microsoft Entra ID, vous établissez une relation de confiance entre le fournisseur d’identité local et Microsoft Entra ID.

Grâce à cette confiance établie, Microsoft Entra ID honore le jeton de sécurité émis par le fournisseur d’identité local après l’authentification afin d’accorder l’accès aux ressources protégées par Microsoft Entra ID.

Il est donc essentiel que cette confiance (configuration de la fédération) soit surveillée de près et que toute activité inhabituelle ou suspecte soit capturée.

Pour surveiller la relation de confiance, nous vous recommandons de configurer des alertes afin d'être notifié lorsque des modifications sont apportées à la configuration de la fédération.

Configurer des alertes pour surveiller la relation de confiance

Procédez comme suit afin de configurer des alertes pour surveiller la relation de confiance :

1. Configurez les journaux d’audit Microsoft Entra pour qu’ils soient acheminés vers un espace de travail Azure Log Analytics.
2. Créez une règle d’alerte qui se déclenchera en fonction de la requête de journal Microsoft Entra ID.
3. Ajoutez à la règle d'alerte un groupe d'actions qui sera notifié lorsque la condition d'alerte sera remplie.

Une fois l'environnement configuré, le flux des données est le suivant :

1. Les journaux Microsoft Entra sont renseignés en fonction de l’activité du locataire.

2. Les informations de journal sont transmises à l'espace de travail Azure Log Analytics.

3. Un travail lancé en arrière-plan à partir d'Azure Monitor exécute la requête de journal en fonction de la règle d'alerte configurée à l'étape de configuration (2) ci-dessus.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Si le résultat de la requête correspond à la logique d'alerte (c'est-à-dire que le nombre de résultats est supérieur ou égal à 1), le groupe d'actions est déclenché. Dans ce cas, le flux passe à l'étape 5.

5. La notification est envoyée au groupe d'actions sélectionné lors de la configuration de l'alerte.

Remarque

En plus de configurer des alertes, nous vous recommandons d’examiner régulièrement les domaines configurés au sein de votre tenant Microsoft Entra et de supprimer tous les domaines obsolètes, non reconnus ou suspects.

Étapes suivantes

• Intégrer les journaux Microsoft Entra aux journaux Azure Monitor
• Créer, afficher et gérer des alertes de journal à l’aide d’Azure Monitor
• Gérer la confiance AD FS avec Microsoft Entra ID à l’aide de Microsoft Entra Connect
• Meilleures pratiques en matière de services de fédération Active Directory (AD FS)