Memantau perubahan pada konfigurasi federasi di ID Microsoft Entra Anda

Saat Anda menggabungkan lingkungan lokal dengan ID Microsoft Entra, Anda membuat hubungan kepercayaan antara idP lokal dan ID Microsoft Entra.

Karena kepercayaan yang ditetapkan ini, ID Microsoft Entra mematuhi token keamanan yang dikeluarkan oleh autentikasi pasca penyedia identitas lokal, untuk memberikan akses ke sumber daya yang dilindungi oleh ID Microsoft Entra.

Oleh karena itu, sangat penting bahwa kepercayaan ini (konfigurasi federasi) dipantau secara ketat dan setiap aktivitas yang tidak biasa atau mencurigakan akan ditangkap.

Untuk memantau hubungan kepercayaan, kami menyarankan Anda mengatur pemberitahuan untuk diberitahukan ketika ada perubahan pada konfigurasi federasi.

Siapkan pemberitahuan untuk memantau hubungan kepercayaan

Ikuti langkah-langkah berikut untuk menyiapkan pemberitahuan untuk memantau hubungan kepercayaan:

1. Konfigurasikan log audit Microsoft Entra untuk mengalir ke Ruang Kerja Azure Log Analytics.
2. Buat aturan pemberitahuan yang memicu berdasarkan kueri log ID Microsoft Entra.
3. Tambahkan grup tindakan ke aturan pemberitahuan yang mendapat pemberitahuan saat kondisi peringatan terpenuhi.

Setelah lingkungan dikonfigurasi, data mengalir sebagai berikut:

1. Log Microsoft Entra diisi per aktivitas di penyewa.

2. Informasi log mengalir ke ruang kerja Azure Log Analytics.

3. Pekerjaan latar belakang dari Azure Monitor mengeksekusi kueri log berdasarkan konfigurasi Aturan Pemberitahuan pada langkah konfigurasi (2) di atas.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Jika hasil kueri cocok dengan logika peringatan (yaitu, jumlah hasil lebih besar dari atau sama dengan 1), maka grup tindakan dimulai. Mari kita asumsikan bahwa grup tindakan dimulai, sehingga aliran berlanjut di langkah 5.

5. Pemberitahuan dikirim ke grup tindakan yang dipilih saat mengonfigurasi pemberitahuan.

Catatan

Selain menyiapkan pemberitahuan, sebaiknya tinjau domain yang dikonfigurasi secara berkala dalam penyewa Microsoft Entra Anda dan menghapus domain kedaluarsa, tidak dikenali, atau mencurigakan.

Langkah berikutnya

• Mengintegrasikan log Microsoft Entra dengan log Azure Monitor
• Membuat, melihat, dan mengelola peringatan log menggunakan Azure Monitor
• Mengelola kepercayaan Layanan Federasi Direktori Aktif dengan ID Microsoft Entra menggunakan Microsoft Entra Koneksi
• Praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif