Benutzerdefinierte Microsoft Entra ID Governance-Warnungen
Microsoft Entra ID Governance erleichtert es Ihnen, Personen in Ihrer Organisation zu benachrichtigen, wenn sie Maßnahmen ergreifen müssen (z. B. eine Anforderung für den Zugriff auf eine Ressource genehmigen) oder wenn ein Geschäftsprozess nicht ordnungsgemäß funktioniert (z. B. neue Mitarbeitende werden nicht bereitgestellt).
In der folgenden Tabelle sind einige der Standardbenachrichtigungen aufgeführt, die von Microsoft Entra ID Governance bereitgestellt werden, die Zielpersonen in einer Organisation, die benachrichtigt werden sollen, und die Zeitspanne, in der sie benachrichtigt werden.
Beispiel für vorhandene Standardbenachrichtigungen
| Persona | Warnmethode | Aktualität | Beispiel für Warnung |
|---|---|---|---|
| Endbenutzer | Teams | Minuten | Sie müssen diese Anforderung für den Zugriff genehmigen oder verweigern; Der angeforderte Zugriff wurde genehmigt, nutzen Sie Ihre neue App. Weitere Informationen |
| Endbenutzer | Teams | Tage | Der von Ihnen angeforderte Zugriff wird nächste Woche ablaufen, bitte erneuern Sie ihn.Mehr erfahren |
| Endbenutzer | E‑Mail | Tage | Willkommen bei Woodgrove, hier ist Ihr befristeter Zugriffspass. Weitere Informationen |
| Helpdesk | ServiceNow | Minuten | Ein Benutzer bzw. eine Benutzerin muss manuell in einer Legacyanwendung bereitgestellt werden. Weitere Informationen |
| IT-Abläufe | E‑Mail | Stunden | Neu eingestellte Mitarbeitende werden nicht aus Workday importiert. Weitere Informationen |
Benutzerdefinierte Warnmeldungen
Zusätzlich zu den Standardbenachrichtigungen von Microsoft Entra ID Governance können Organisationen benutzerdefinierte Warnungen erstellen, um ihre Anforderungen zu erfüllen.
Alle Aktivitäten, die von den Microsoft Entra ID Governance-Diensten ausgeführt werden, werden in den Microsoft Entra-Überwachungsprotokollen protokolliert. Indem Sie die Protokolle in einen Log Analytics-Arbeitsbereich verschieben, können Unternehmen benutzerdefinierte Warnungen erstellen.
Der folgende Abschnitt enthält Beispiele für benutzerdefinierte Warnungen, die Kundinnen und Kunden erstellen können, indem sie Microsoft Entra ID Governance in Azure Monitor integrieren. Mit Azure Monitor können Unternehmen festlegen, welche Warnungen generiert werden, wer die Warnungen erhält und wie sie empfangen werden (E-Mail, SMS, Helpdeskticket usw.).
| Funktion | Beispiel für Warnung |
|---|---|
| Zugriffsüberprüfungen | Benachrichtigen Sie einen IT-Admin, wenn eine Zugriffsüberprüfung gelöscht wird. |
| Berechtigungsverwaltung | Benachrichtigen Sie einen IT-Administrator, wenn ein Benutzer direkt zu einer Gruppe hinzugefügt wird, ohne ein Zugangspaket zu verwenden. |
| Berechtigungsverwaltung | Benachrichtigen Sie einen IT-Admin, wenn eine neue verbundene Organisation hinzugefügt wird. |
| Berechtigungsverwaltung | Benachrichtigen Sie einen IT-Admin, wenn eine benutzerdefinierte Erweiterung fehlschlägt. |
| Berechtigungsverwaltung | Benachrichtigen Sie einen IT-Administrator, wenn eine Richtlinie für die Zuweisung von Zugriffspaketen für die Berechtigungsverwaltung erstellt oder aktualisiert wird, ohne dass eine Genehmigung erforderlich ist. |
| Lebenszyklus-Workflows | Benachrichtigen Sie einen IT-Admin, wenn ein bestimmter Workflow fehlschlägt. |
| Mandantenübergreifende Zusammenarbeit | Benachrichtigen Sie einen IT-Admin, wenn die mandantenübergreifende Synchronisierung aktiviert wurde. |
| Mandantenübergreifende Zusammenarbeit | Benachrichtigen Sie einen IT-Admin, wenn eine mandantenübergreifende Zugriffsrichtlinie aktiviert wurde. |
| Privileged Identity Management | Benachrichtigen Sie einen IT-Admin, wenn PIM-Warnungen deaktiviert wurden. |
| Privileged Identity Management | Benachrichtigen Sie einen IT-Administrator, wenn eine Rolle außerhalb von PIM gewährt wird. |
| Bereitstellung | Benachrichtigen Sie einen IT-Admin, wenn während des letzten Tages ein Anstieg der Bereitstellungsfehler aufgetreten ist. |
| Bereitstellung | Benachrichtigen Sie einen IT-Admin, wenn jemand eine Bereitstellungskonfiguration startet, beendet, deaktiviert, neu startet oder löscht. |
| Bereitstellung | Benachrichtigen Sie einen IT-Administrator, wenn ein Bereitstellungsauftrag in Quarantäne geht. |
Zugriffsüberprüfungen
Benachrichtigen Sie einen IT-Administrator, wenn eine Zugangsüberprüfung gelöscht wurde.
Abfrage
AuditLogs
| where ActivityDisplayName == "Delete access review"
Berechtigungsverwaltung
Benachrichtigen Sie einen IT-Administrator, wenn ein Benutzer direkt zu einer Gruppe hinzugefügt wird, ohne ein Zugangspaket zu verwenden.
Abfrage
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Benachrichtigen Sie einen IT-Administrator, wenn eine neue verbundene Organisation erstellt wird. Benutzende aus dieser Organisation können jetzt den Zugriff auf Ressourcen anfordern, die allen verbundenen Organisationen zur Verfügung gestellt werden.
Abfrage
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Benachrichtigen Sie einen IT-Administrator, wenn eine Benutzerdefinierte Erweiterung fehlgeschlagen ist.
Abfrage
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Benachrichtigen Sie einen IT-Administrator, wenn eine Richtlinie für die Zuweisung von Zugriffspaketen für die Berechtigungsverwaltung erstellt oder aktualisiert wird, ohne dass eine Genehmigung erforderlich ist.
Abfrage
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Lebenszyklus-Workflows
Benachrichtigen Sie einen IT-Administrator, wenn ein bestimmter Lebenszyklus-Workflow fehlgeschlagen ist.
Abfrage
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Warnungslogik
- Basierend auf: Anzahl der Ergebnisse
- Operator: Gleichgestellt mit
- Schwellenwert: 0
Mandantenübergreifende Zusammenarbeit
Benachrichtigen Sie einen IT-Administrator, wenn eine neue Mandanten-übergreifende Zugangsrichtlinie erstellt wird. Auf diese Weise kann Ihre Organisation erkennen, wann eine Beziehung mit einer neuen Organisation gebildet wurde.
Abfrage
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Als Admin kann ich eine Benachrichtigung erhalten, wenn eine mandantenübergreifende Synchronisierungsrichtlinie auf „ true“ festgelegt ist. Auf diese Weise kann Ihre Organisation erkennen, wann eine Organisation berechtigt ist, Identitäten mit Ihrem Mandanten zu synchronisieren.
Abfrage
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Warnungslogik
Privileged Identity Management
Benachrichtigen Sie einen IT-Administrator, wenn bestimmte PIM-Sicherheitswarnungen deaktiviert sind.
Abfrage
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Warnung an IT-Admins, wenn Benutzende zu einer Rolle außerhalb von PIM hinzugefügt werden
Die folgende Abfrage basiert auf einer templateId. Eine Liste der Vorlagen-IDs finden Sie hier.
Abfrage
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Bereitstellung
Benachrichtigen Sie einen IT-Admin, wenn im Laufe des letzten Tages ein Anstieg bei Bereitstellungsfehlern auftritt. Legen Sie bei der Konfiguration Ihrer Warnung in der Protokollanalyse die Granularität der Aggregration auf 1 Tag fest.
Abfrage
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Warnungslogik
- Basierend auf: Anzahl der Ergebnisse
- Operator: Größer als
- Schwellenwert: 10
Benachrichtigen Sie einen IT-Admin, wenn jemand eine Bereitstellungskonfiguration startet, beendet, deaktiviert, neu startet oder löscht.
Abfrage
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Benachrichtigung eines IT-Administrators, wenn ein Bereitstellungsauftrag in die Quarantäne geht
Abfrage
AuditLogs
| where ActivityDisplayName == "Quarantine"
Nächste Schritte
- Protokollanalyse
- Erste Schritte mit Abfragen in Azure Monitor-Protokollen
- Erstellen und Verwalten von Benachrichtigungsgruppen im Azure-Portal
- Installieren und Verwenden der Protokollanalyse-Ansichten für Microsoft Entra ID
- Archivieren von Protokollen und Erstellen von Berichten der Berechtigungsverwaltung in Azure Monitor