Überwachen von Änderungen an der Verbundkonfiguration in Microsoft Entra ID-Dokumentation

Wenn Sie einen Verbund Ihrer lokalen Umgebung mit Microsoft Entra ID erstellen, wird eine Vertrauensstellung zwischen dem lokalen Identitätsanbieter und Microsoft Entra ID eingerichtet.

Aufgrund dieser Vertrauensstellung akzeptiert Microsoft Entra ID das vom lokalen Identitätsanbieter nach der Authentifizierung ausgestellte Sicherheitstoken, um Zugriff auf Ressourcen zu gewähren, die durch Microsoft Entra ID geschützt sind.

Daher ist es von großer Bedeutung, dass diese Vertrauensstellung (Verbundkonfiguration) genau überwacht wird und jegliche ungewöhnliche oder verdächtige Aktivitäten erfasst werden.

Zum Überwachen der Vertrauensbeziehung empfiehlt es sich, Warnungen einzurichten, sodass Sie benachrichtigt werden, wenn Änderungen an der Verbundkonfiguration vorgenommen werden.

Einrichten von Warnungen zum Überwachen der Vertrauensbeziehung

Führen Sie die folgenden Schritte aus, um Warnungen zur Überwachung der Vertrauensbeziehung einzurichten:

1. Konfigurieren Sie Microsoft Entra-Überwachungsprotokolle, die an einen Azure Log Analytics-Arbeitsbereich gesendet werden.
2. Erstellen Sie eine Warnungsregel, die basierend auf einer Microsoft Entra ID-Protokollabfrage ausgelöst wird.
3. Fügen Sie der Warnungsregel eine Aktionsgruppe hinzu, die benachrichtigt wird, wenn die Warnungsbedingung erfüllt ist.

Nach der Konfiguration der Umgebung sieht der Datenfluss wie folgt aus:

1. Microsoft Entra-Protokolle werden pro Aktivität im Mandanten aufgefüllt.

2. Die Protokollinformationen werden an den Azure Log Analytics-Arbeitsbereich übermittelt.

3. Ein Hintergrundauftrag von Azure Monitor führt die Protokollabfrage basierend auf der Konfiguration der Warnungsregel im obigen Konfigurationsschritt 2 aus.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Wenn das Ergebnis der Abfrage mit der Warnungslogik übereinstimmt (also die Anzahl der Ergebnisse größer als oder gleich 1 ist), tritt die Aktionsgruppe in Kraft. Wir nehmen an, dass dies der Fall ist. Dann geht es mit Schritt 5 weiter.

5. Eine Benachrichtigung wird an die Aktionsgruppe gesendet, die während der Konfiguration der Warnung ausgewählt wurde.

Hinweis

Zusätzlich zum Einrichten von Warnungen empfiehlt es sich, die konfigurierten Domänen in Ihrem Microsoft Entra-Mandanten regelmäßig zu überprüfen und veraltete, nicht erkannte oder verdächtige Domänen zu entfernen.

Nächste Schritte

• Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle
• Erstellen, Anzeigen und Verwalten von Protokollwarnungen mithilfe von Azure Monitor
• Verwalten der AD FS-Vertrauensstellung mit Microsoft Entra ID mithilfe von Microsoft Entra Connect
• Best Practices zum Sichern von Active Directory-Verbunddiensten (AD FS)