Sdílet prostřednictvím

Archivace protokolů a generování sestav o správě oprávnění ve službě Azure Monitor

Microsoft Entra ID ukládá události auditu pro správu oprávnění a další funkce Microsoft Entra ID Governance až na 30 dní v protokolu auditu. Data auditu však můžete uchovávat déle než je výchozí doba uchovávání, jak je uvedeno v části 'Jak dlouho Microsoft Entra ID ukládá data sestav?', můžete to provést přesměrováním do účtu Azure Storage nebo použitím služby Azure Monitor. Na těchto datech můžete pak používat sešity a vlastní dotazy a sestavy.

Tento článek popisuje, jak používat Azure Monitor k uchovávání protokolů auditu. Pokud chcete zachovat nebo vykazovat objekty Microsoft Entra, jako jsou uživatelé nebo přiřazení rolí aplikací, přečtěte si téma Přizpůsobené sestavy v Azure Data Exploreru (ADX) využívající data z ID Microsoft Entra.

Konfigurace ID Microsoft Entra pro použití služby Azure Monitor

Před použitím sešitů Azure Monitoru musíte nakonfigurovat ID Microsoft Entra tak, aby do služby Azure Monitor odeslalo kopii protokolů auditu.

Archivace protokolů auditu Microsoft Entra vyžaduje, abyste měli Azure Monitor v předplatném Azure. Další informace o požadavcích a odhadovaných nákladech na používání služby Azure Monitor najdete v protokolech aktivit Microsoft Entra ve službě Azure Monitor.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení. Ujistěte se, že máte přístup ke skupině prostředků obsahující pracovní prostor služby Azure Monitor.

  2. Přejděte do Entra ID>Monitorování a stavu>nastavení diagnostiky.

  3. Zkontrolujte, jestli už existuje nastavení pro odesílání protokolů auditu do daného pracovního prostoru.

  4. Pokud nastavení ještě není, vyberte Přidat nastavení diagnostiky. Pomocí pokynů v tématu Integrace protokolů Microsoft Entra s protokoly azure Monitoru odešlete protokol auditu Microsoft Entra do pracovního prostoru služby Azure Monitor.

    Podokno nastavení diagnostiky

  5. Po odeslání protokolu do služby Azure Monitor vyberte pracovní prostory služby Log Analytics a vyberte pracovní prostor, který obsahuje protokoly auditu Microsoft Entra.

  6. Vyberte Využití a odhadované náklady a vyberte Uchovávání dat. Změňte posuvník na počet dnů, po které chcete zachovat data tak, aby splňovala vaše požadavky na auditování.

    Podokno pracovních oblastí služby Log Analytics

  7. Později můžete k zobrazení rozsahu dat uložených v pracovním prostoru použít sešit Rozsah dat archivovaného protokolu.

    1. Přejděte do Entra ID>Monitorování a stavu>Sešitů.

    2. Rozbalte oddíl Microsoft Entra Řešení potíží a vyberte archivovaný rozsah dat protokolu.

Zobrazení událostí pro přístupový balíček

Pokud chcete zobrazit události pro přístupový balíček, musíte mít přístup k podkladovému pracovnímu prostoru služby Azure Monitor (viz Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor , kde najdete informace) a v jedné z následujících rolí:

  • Globální správce
  • Správce zabezpečení
  • Čtenář zabezpečení
  • Prohlížeč sestav
  • Správce aplikace

K zobrazení událostí použijte následující postup:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako uživatel s alespoň rolí Čtenář sestav. Ujistěte se, že máte přístup ke skupině prostředků obsahující pracovní prostor služby Azure Monitor.

  2. Přejděte do Entra ID>Monitorování a stavu>Sešitů.

  3. Pokud máte více předplatných, vyberte předplatné, které obsahuje pracovní prostor.

  4. Jakmile vyberete předplatné nebo máte jenom jedno předplatné, vyberte sešit s názvem Aktivita balíčku aplikace Access.

  5. V daném sešitu vyberte časový rozsah (pokud si nejste jistí, změňte na Vše) a z rozevíracího seznamu všech přístupových balíčků, které měly aktivitu během tohoto časového rozsahu, vyberte ID přístupového balíčku. Zobrazí se události související s přístupovým balíčkem, ke kterému došlo během vybraného časového rozsahu.

    Umožňuje zobrazit události přístupového balíčku.

    Každý řádek obsahuje čas, ID přístupového balíčku, název operace, ID objektu, hlavní název uživatele (UPN) a zobrazovaný název uživatele, který operaci spustil. Další podrobnosti jsou zahrnuté ve formátu JSON.

  6. Pokud chcete zjistit, jestli nedošlo ke změnám přiřazení rolí aplikace pro aplikaci, které nebyly způsobeny přiřazením přístupového balíčku, jako je například přiřazení globálního správce přímo přiřazujícího uživateli k roli aplikace, můžete vybrat sešit s názvem Aktivita přiřazení role aplikace.

    Zobrazení přiřazení rolí aplikace

Vytváření vlastních dotazů azure Monitoru pomocí Centra pro správu Microsoft Entra

Můžete vytvářet vlastní dotazy na události auditu Microsoft Entra, včetně událostí správy nároků.

  1. V části Identita Centra pro správu Microsoft Entra vyberte protokoly v části Monitorování v levé navigační nabídce a vytvořte novou stránku dotazu.

  2. Váš pracovní prostor by se měl zobrazit v levém horním rohu stránky dotazu. Pokud máte více pracovních prostorů služby Azure Monitor a pracovní prostor, který používáte k ukládání událostí auditu Microsoft Entra, se nezobrazuje, vyberte Vybrat obor. Pak vyberte správné předplatné a pracovní prostor.

  3. Dále v textové oblasti dotazu odstraňte řetězec "search *" a nahraďte ho následujícím dotazem:

    AuditLogs | where Category == "EntitlementManagement"

  4. Pak vyberte Spustit.

    vyberte Spustit, aby se spustil dotaz.

Tabulka zobrazuje události protokolu auditu pro správu nároků z poslední hodiny ve výchozím nastavení. Nastavení Časový rozsah můžete změnit tak, aby se zobrazily starší události. Při změně tohoto nastavení se ale zobrazí pouze události, ke kterým došlo po nakonfigurování ID Microsoft Entra pro odesílání událostí do služby Azure Monitor.

Pokud chcete znát nejstarší a nejnovější události auditu uchovávané ve službě Azure Monitor, použijte následující dotaz:

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Další informace o sloupcích uložených pro události auditu ve službě Azure Monitor najdete v tématu Interpretace schématu protokolů auditu Microsoft Entra ve službě Azure Monitor.

Vytváření vlastních dotazů Azure Monitoru pomocí Azure PowerShellu

K protokolům můžete přistupovat přes PowerShell poté, co nakonfigurujete Microsoft Entra ID pro odesílání protokolů do služby Azure Monitor. Pak můžete odesílat dotazy ze skriptů nebo z příkazového řádku PowerShellu, aniž byste museli být globálním správcem v tenantovi.

Ujistěte se, že uživatel nebo předmět služby mají správné přiřazení role.

Ujistěte se, že vy, uživatel nebo instanční objekt, který se ověřuje v Microsoft Entra ID, jste v příslušné roli Azure v pracovním prostoru služby Log Analytics. Možnosti role jsou buď čtenář Log Analytics, nebo přispěvatel Log Analytics. Pokud už jste v některé z těchto rolí, přeskočte na získání ID Log Analytics pomocí jednoho předplatného Azure.

Pokud chcete nastavit přiřazení role a vytvořit dotaz, postupujte takto:

  1. V Centru pro správu Microsoft Entra vyhledejte pracovní prostor služby Log Analytics.

  2. Vyberte Řízení přístupu (IAM).

  3. Potom vyberte Přidat a přidejte přiřazení role.

    Přidejte přiřazení role.

Instalace modulu Azure PowerShellu

Jakmile budete mít odpovídající přiřazení role, spusťte PowerShell a nainstalujte modul Azure PowerShellu (pokud jste to ještě neudělali) zadáním:

install-module -Name az -allowClobber -Scope CurrentUser

Nyní jste připraveni ověřit se pomocí Microsoft Entra ID a načíst ID pracovního prostoru služby Log Analytics, na který se dotazujete.

Načtení ID Log Analytics v rámci jednoho předplatného Azure

Pokud máte jen jedno předplatné Azure a jeden pracovní prostor služby Log Analytics, zadejte následující příkaz pro ověření ID Microsoft Entra, připojení k tomuto předplatnému a načtení pracovního prostoru:

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Načtení ID Log Analytics pro více předplatných Azure

Get-AzOperationalInsightsWorkspace pracuje v jednom předplatném najednou. Pokud tedy máte více předplatných Azure, chcete se ujistit, že se připojujete k pracovnímu prostoru služby Log Analytics pomocí protokolů Microsoft Entra.

Následující cmdlety zobrazí seznam předplatných a zjistí ID předplatného, které má pracovní prostor služby Log Analytics:

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

Relaci PowerShellu můžete k svému předplatnému znovu ověřit a přidružit pomocí příkazu, jako například Connect-AzAccount –Subscription $subs[0].id. Další informace o ověřování v Azure z PowerShellu, včetně neinteraktivně, najdete v tématu Přihlášení pomocí Azure PowerShellu.

Pokud máte v daném předplatném více pracovních prostorů Log Analytics, vrátí rutina Get-AzOperationalInsightsWorkspace seznam pracovních prostorů. Pak můžete najít ten, který obsahuje protokoly Microsoft Entra. Pole CustomerId vrácené touto rutinou je stejné jako hodnota ID pracovního prostoru zobrazeného v Centru pro správu Microsoft Entra v přehledu pracovního prostoru služby Log Analytics.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

Odeslání dotazu do pracovního prostoru služby Log Analytics

Jakmile budete mít identifikovaný pracovní prostor, můžete k odeslání dotazu Kusto do daného pracovního prostoru použít Invoke-AzOperationalInsightsQuery . Tyto dotazy jsou napsané v dotazovacím jazyce Kusto.

Můžete například načíst rozsah dat záznamů událostí auditu z pracovního prostoru služby Log Analytics pomocí rutin PowerShellu pro odeslání dotazu, například:

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

Události správy nároků můžete načíst také pomocí dotazu, například:

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft

Použití filtrů dotazů

Do dotazu můžete zahrnout pole TimeGenerated pro omezení na konkrétní časové období. Pokud například chcete načíst události protokolu auditu pro vytváření nebo aktualizaci zásad přiřazení balíčku přístupu pro správu nároků za posledních 90 dnů, můžete zadat dotaz, který obsahuje toto pole a typ operace.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources

U auditních událostí některých služeb, jako je správa nároků, můžete také rozšířit a filtrovat atributy ovlivněných změněných prostředků. Můžete například zobrazit jenom ty záznamy protokolu auditu pro vytvářené nebo aktualizované zásady přiřazení přístupových balíčků, které nevyžadují schválení, aby uživatelé měli přidané přiřazení.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
mv-expand TargetResources | 
where TargetResources.type == "AccessPackageAssignmentPolicy" | 
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties | 
mv-expand MP1 | 
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc

Další kroky

  • Last updated on