Wijzigingen in federatieconfiguratie controleren in uw Microsoft Entra-id

Wanneer u uw on-premises omgeving federeren met Microsoft Entra ID, brengt u een vertrouwensrelatie tot stand tussen de on-premises id-provider en Microsoft Entra-id.

Vanwege deze gevestigde vertrouwensrelatie wordt met Microsoft Entra ID het beveiligingstoken uitgevoerd door de on-premises id-provider na verificatie, om toegang te verlenen tot resources die worden beveiligd door Microsoft Entra ID.

Daarom is het van cruciaal belang dat deze vertrouwensrelatie (federatieconfiguratie) nauwkeurig wordt bewaakt en eventuele ongebruikelijke of verdachte activiteiten worden vastgelegd.

Als u de vertrouwensrelatie wilt bewaken, raden we u aan waarschuwingen in te stellen die moeten worden gewaarschuwd wanneer er wijzigingen worden aangebracht in de federatieconfiguratie.

Waarschuwingen instellen om de vertrouwensrelatie te bewaken

Volg deze stappen om waarschuwingen in te stellen om de vertrouwensrelatie te controleren:

1. Configureer Microsoft Entra-auditlogboeken om naar een Azure Log Analytics-werkruimte te stromen.
2. Maak een waarschuwingsregel die wordt geactiveerd op basis van de logboekquery van Microsoft Entra ID.
3. Voeg een actiegroep toe aan de waarschuwingsregel die wordt gewaarschuwd wanneer aan de waarschuwingsvoorwaarde wordt voldaan.

Nadat de omgeving is geconfigureerd, stromen de gegevens als volgt:

1. Microsoft Entra-logboeken worden ingevuld per activiteit in de tenant.

2. De logboekgegevens stromen naar de Azure Log Analytics-werkruimte.

3. Een achtergrondtaak van Azure Monitor voert de logboekquery uit op basis van de configuratie van de waarschuwingsregel in de bovenstaande configuratiestap (2).

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Als het resultaat van de query overeenkomt met de waarschuwingslogica (dat wil gezegd, is het aantal resultaten groter dan of gelijk aan 1), wordt de actiegroep geactiveerd. We gaan ervan uit dat deze is gestart, zodat de stroom in stap 5 wordt voortgezet.

5. Er wordt een melding verzonden naar de actiegroep die is geselecteerd tijdens het configureren van de waarschuwing.

Notitie

Naast het instellen van waarschuwingen raden we u aan regelmatig de geconfigureerde domeinen in uw Microsoft Entra-tenant te controleren en verouderde, niet-herkende of verdachte domeinen te verwijderen.

Volgende stappen

• Microsoft Entra-logboeken integreren met Azure Monitor-logboeken
• Logboekwaarschuwingen maken, weergeven en beheren met Behulp van Azure Monitor
• AD FS-vertrouwensrelatie beheren met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken
• Aanbevolen procedures voor het beveiligen van Active Directory Federation Services