Övervaka ändringar i federationskonfigurationen i ditt Microsoft Entra-ID

När du federerar din lokala miljö med Microsoft Entra-ID upprättar du en förtroenderelation mellan den lokala identitetsprovidern och Microsoft Entra-ID:t.

På grund av detta etablerade förtroende respekterar Microsoft Entra-ID den säkerhetstoken som utfärdats av den lokala identitetsprovidern efter autentiseringen för att bevilja åtkomst till resurser som skyddas av Microsoft Entra-ID.

Därför är det viktigt att det här förtroendet (federationskonfigurationen) övervakas noggrant och att ovanliga eller misstänkta aktiviteter registreras.

För att övervaka förtroenderelationen rekommenderar vi att du konfigurerar aviseringar som ska meddelas när ändringar görs i federationskonfigurationen.

Konfigurera aviseringar för att övervaka förtroenderelationen

Följ de här stegen för att konfigurera aviseringar för att övervaka förtroenderelationen:

1. Konfigurera Microsoft Entra-granskningsloggar så att de flödar till en Azure Log Analytics-arbetsyta.
2. Skapa en aviseringsregel som utlöses baserat på Microsoft Entra ID-loggfråga.
3. Lägg till en åtgärdsgrupp i aviseringsregeln som meddelas när aviseringsvillkoret uppfylls.

När miljön har konfigurerats flödar data enligt följande:

1. Microsoft Entra-loggar fylls i per aktivitet i klientorganisationen.

2. Logginformationen flödar till Azure Log Analytics-arbetsytan.

3. Ett bakgrundsjobb från Azure Monitor kör loggfrågan baserat på konfigurationen av aviseringsregeln i konfigurationssteget (2) ovan.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Om resultatet av frågan matchar aviseringslogik (dvs. antalet resultat är större än eller lika med 1) startar åtgärdsgruppen. Anta att det startade så att flödet fortsätter i steg 5.

5. Meddelandet skickas till den åtgärdsgrupp som valts när aviseringen konfigureras.

Kommentar

Förutom att konfigurera aviseringar rekommenderar vi att du regelbundet granskar de konfigurerade domänerna i din Microsoft Entra-klientorganisation och tar bort inaktuella, okända eller misstänkta domäner.

Nästa steg

• Integrera Microsoft Entra-loggar med Azure Monitor-loggar
• Skapa, visa och hantera loggaviseringar med Hjälp av Azure Monitor
• Hantera AD FS-förtroende med Microsoft Entra-ID med Microsoft Entra Anslut
• Metodtips för att skydda Active Directory Federation Services (AD FS)