Az összevonási konfiguráció változásainak monitorozása a Microsoft Entra-azonosítóban

Amikor a helyszíni környezetet a Microsoft Entra-azonosítóval egyesíti, megbízhatósági kapcsolatot hoz létre a helyszíni identitásszolgáltató és a Microsoft Entra-azonosító között.

A létrehozott megbízhatóság miatt a Microsoft Entra ID tiszteletben tartja a helyszíni identitásszolgáltató által a hitelesítés után kiadott biztonsági jogkivonatot, hogy hozzáférést biztosítson a Microsoft Entra ID által védett erőforrásokhoz.

Ezért kritikus fontosságú, hogy ezt a megbízhatósági kapcsolatot (összevonási konfigurációt) szorosan monitorozza a rendszer, és minden szokatlan vagy gyanús tevékenységet rögzítsen.

A megbízhatósági kapcsolat figyeléséhez javasoljuk, hogy állítson be riasztásokat, amelyek értesítést kapnak az összevonási konfiguráció módosításairól.

Riasztások beállítása a megbízhatósági kapcsolat figyeléséhez

Kövesse az alábbi lépéseket a riasztások beállításához a megbízhatósági kapcsolat figyeléséhez:

1. Konfigurálja a Microsoft Entra naplózási naplóit úgy, hogy egy Azure Log Analytics-munkaterületre áramoljanak.
2. Hozzon létre egy riasztási szabályt , amely a Microsoft Entra ID napló lekérdezése alapján aktiválódik.
3. Adjon hozzá egy műveletcsoportot a riasztási szabályhoz, amely értesítést kap a riasztási feltétel teljesülésekor.

A környezet konfigurálása után az adatfolyamok az alábbiak szerint alakulnak:

1. A Microsoft Entra-naplók a bérlői tevékenység alapján vannak feltöltve.

2. A naplóadatok az Azure Log Analytics-munkaterületre áramlik.

3. Az Azure Monitor háttérfeladata a fenti konfigurációs lépés (2) riasztási szabályának konfigurációja alapján hajtja végre a napló lekérdezést.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Ha a lekérdezés eredménye megegyezik a riasztási logikával (vagyis az eredmények száma nagyobb vagy egyenlő 1-nél), akkor a műveletcsoport elindul. Tegyük fel, hogy beindult, így a folyamat az 5. lépésben folytatódik.

5. A rendszer a riasztás konfigurálásakor értesítést küld a kiválasztott műveletcsoportnak.

Megjegyzés:

A riasztások beállítása mellett javasoljuk, hogy rendszeresen tekintse át a Microsoft Entra-bérlőn belüli konfigurált tartományokat, és távolítsa el az elavult, ismeretlen vagy gyanús tartományokat.

További lépések

• Microsoft Entra-naplók integrálása az Azure Monitor-naplókkal
• Naplóriasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával
• Az AD FS megbízhatóságának kezelése a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás
• Ajánlott eljárások a Active Directory összevonási szolgáltatások (AD FS) biztonságossá tételéhez