Az összevonási konfiguráció változásainak monitorozása a Microsoft Entra-azonosítóban
Amikor a helyszíni környezetet a Microsoft Entra-azonosítóval egyesíti, megbízhatósági kapcsolatot hoz létre a helyszíni identitásszolgáltató és a Microsoft Entra-azonosító között.
A létrehozott megbízhatóság miatt a Microsoft Entra ID tiszteletben tartja a helyszíni identitásszolgáltató által a hitelesítés után kiadott biztonsági jogkivonatot, hogy hozzáférést biztosítson a Microsoft Entra ID által védett erőforrásokhoz.
Ezért kritikus fontosságú, hogy ezt a megbízhatósági kapcsolatot (összevonási konfigurációt) szorosan monitorozza a rendszer, és minden szokatlan vagy gyanús tevékenységet rögzítsen.
A megbízhatósági kapcsolat figyeléséhez javasoljuk, hogy állítson be riasztásokat, amelyek értesítést kapnak az összevonási konfiguráció módosításairól.
Riasztások beállítása a megbízhatósági kapcsolat figyeléséhez
Kövesse az alábbi lépéseket a riasztások beállításához a megbízhatósági kapcsolat figyeléséhez:
- Konfigurálja a Microsoft Entra naplózási naplóit úgy, hogy egy Azure Log Analytics-munkaterületre áramoljanak.
- Hozzon létre egy riasztási szabályt , amely a Microsoft Entra ID napló lekérdezése alapján aktiválódik.
- Adjon hozzá egy műveletcsoportot a riasztási szabályhoz, amely értesítést kap a riasztási feltétel teljesülésekor.
A környezet konfigurálása után az adatfolyamok az alábbiak szerint alakulnak:
A Microsoft Entra-naplók a bérlői tevékenység alapján vannak feltöltve.
A naplóadatok az Azure Log Analytics-munkaterületre áramlik.
Az Azure Monitor háttérfeladata a fenti konfigurációs lépés (2) riasztási szabályának konfigurációja alapján hajtja végre a napló lekérdezést.
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
Ha a lekérdezés eredménye megegyezik a riasztási logikával (vagyis az eredmények száma nagyobb vagy egyenlő 1-nél), akkor a műveletcsoport elindul. Tegyük fel, hogy beindult, így a folyamat az 5. lépésben folytatódik.
A rendszer a riasztás konfigurálásakor értesítést küld a kiválasztott műveletcsoportnak.
Megjegyzés:
A riasztások beállítása mellett javasoljuk, hogy rendszeresen tekintse át a Microsoft Entra-bérlőn belüli konfigurált tartományokat, és távolítsa el az elavult, ismeretlen vagy gyanús tartományokat.
További lépések
- Microsoft Entra-naplók integrálása az Azure Monitor-naplókkal
- Naplóriasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával
- Az AD FS megbízhatóságának kezelése a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás
- Ajánlott eljárások a Active Directory összevonási szolgáltatások (AD FS) biztonságossá tételéhez