Vlastní výstrahy zásad správného řízení pro Microsoft Entra ID
Zásady správného řízení Microsoft Entra ID usnadňují upozorňování lidí ve vaší organizaci, když potřebují provést akci (např. schválit žádost o přístup k prostředku) nebo když obchodní proces nefunguje správně (např. noví zaměstnanci se nezřizují).
Následující tabulka uvádí některá standardní oznámení, která poskytuje zásady správného řízení Microsoft Entra ID, cílovou osobu v organizaci, kde by očekávala, že se budou upozorňovat a jak rychle se budou upozorňovat.
Ukázka existujících standardních oznámení
| Osobnost | Metoda upozornění | Dochvilnost | Příklad upozornění |
|---|---|---|---|
| Koncový uživatel | Týmy | Minuty | Tuto žádost o přístup musíte schválit nebo zamítnout; Požadovaný přístup byl schválen, přejděte k nové aplikaci. Víc se uč |
| Koncový uživatel | Týmy | Dny | Požadovaný přístup vyprší příští týden. Obnovte ho prosím.Víc se uč |
| Koncový uživatel | Dny | Vítejte ve Woodgrovu, tady je váš dočasný přístupový průkaz. Víc se uč. | |
| Helpdesk | ServiceNow | Minuty | Uživatel musí být ručně zřízený ve starší verzi aplikace. Víc se uč |
| It provoz | Hodiny | Nově přijatí zaměstnanci se neimportují z Workday. Víc se uč |
Vlastní oznámení výstrah
Kromě standardníchoznámeních
Veškerá aktivita prováděná službami zásad správného řízení ID Microsoft Entra se protokoluje v protokolech auditu Microsoft Entra. Když nasdílíte protokoly do pracovního prostoru služby Log Analytics, můžou organizace vytvářet vlastní upozornění.
Následující část obsahuje příklady vlastních upozornění, která můžou zákazníci vytvořit integrací zásad správného řízení ID Microsoft Entra se službou Azure Monitor. Pomocí služby Azure Monitor můžou organizace přizpůsobit, jaké výstrahy se generují, kdo výstrahy obdrží a jak obdrží upozornění (e-mail, SMS, lístek technické podpory atd.).
| Rys | Příklad upozornění |
|---|---|
| Kontroly přístupu | Upozorňovat správce IT při odstranění kontroly přístupu. |
| Správa nároků | Upozorněte správce IT, když se uživatel přidá přímo do skupiny bez použití přístupového balíčku. |
| Správa nároků | Upozorňovat správce IT při přidání nové připojené organizace. |
| Správa nároků | Upozorňování správce IT na selhání vlastního rozšíření |
| Správa nároků | Upozornit správce IT při vytvoření nebo aktualizaci zásad přiřazení přístupového balíčku pro správu nároků bez nutnosti schválení. |
| Pracovní postupy životního cyklu | Upozornit správce IT, když selže konkrétní pracovní postup. |
| Spolupráce s více tenanty | Upozornění správce IT, když je povolená synchronizace mezi tenanty |
| Spolupráce s více tenanty | Upozornění správce IT, když je povolená zásada přístupu mezi tenanty |
| Privileged Identity Management | Upozorňovat správce IT, když jsou upozornění PIM zakázaná. |
| Privileged Identity Management | Upozornit správce IT, když je role udělena mimo PIM. |
| Zajišťování | Upozorňovat správce IT, když během posledního dne dochází k prudkému nárůstu počtu selhání zřizování. |
| Zajišťování | Upozornit správce IT, když se někdo spustí, zastaví, zakáže, restartuje nebo odstraní konfiguraci zřizování. |
| Zajišťování | Upozornit správce IT, když úloha zřizování přejde do karantény. |
Kontroly přístupu
Upozorňovat správce IT na odstranění kontroly přístupu.
Dotaz
AuditLogs
| where ActivityDisplayName == "Delete access review"
Správa nároků
Upozorněte správce IT, když se uživatel přidá přímo do skupiny bez použití přístupového balíčku.
Dotaz
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Upozornit správce IT při vytvoření nové připojené organizace . Uživatelé z této organizace teď můžou požádat o přístup k prostředkům dostupným všem připojeným organizacím.
Dotaz
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Upozorňování správce IT na selhání vlastního rozšíření správy nároků
Dotaz
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Upozornit správce IT při vytvoření nebo aktualizaci zásad přiřazení přístupového balíčku pro správu nároků bez nutnosti schválení.
Dotaz
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Pracovní postupy životního cyklu
Upozornit správce IT, když selže konkrétní pracovní postup životního cyklu .
Dotaz
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logika upozornění
- Na základě: Počet výsledků
- Operátor: Rovná se
- Prahová hodnota: 0
Spolupráce s více tenanty
Upozornit správce IT při vytvoření nové zásady přístupu mezi tenanty. Díky tomu může vaše organizace zjistit, kdy byla vytvořena relace s novou organizací.
Dotaz
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Jako správce se mi může zobrazit upozornění, když je zásada synchronizace mezi tenanty nastavená na true. To vaší organizaci umožňuje zjistit, kdy má organizace oprávnění synchronizovat identity s vaším tenantem.
Dotaz
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logika upozornění
Privileged Identity Management
Upozorňovat správce IT, když jsou zakázány konkrétní výstrahy zabezpečení PIM.
Dotaz
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Upozornění správce IT při přidání uživatele do role mimo PIM
Následující dotaz je založený na id šablony. Tady najdete seznam ID šablon.
Dotaz
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Zajišťování
Upozorňovat správce IT, když během posledního dne dochází k prudkému nárůstu počtu selhání zřizování. Při konfiguraci upozornění v Log Analytics nastavte členitost agregace na 1 den.
Dotaz
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logika upozornění
- Na základě: Počet výsledků
- Operátor: Větší než
- Prahová hodnota: 10
Upozornit správce IT, když se někdo spustí, zastaví, zakáže, restartuje nebo odstraní konfiguraci zřizování.
Dotaz
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Upozornění správce IT, když úloha zřizování přejde do karantény
Dotaz
AuditLogs
| where ActivityDisplayName == "Quarantine"
Další kroky