Memantau perubahan pada konfigurasi federasi di ID Microsoft Entra Anda

Saat Anda memfederasikan lingkungan di lokasi Anda dengan Microsoft Entra ID, Anda membangun hubungan kepercayaan antara penyedia identitas lokal dan Microsoft Entra ID.

Karena kepercayaan yang ditetapkan ini, ID Microsoft Entra mengakui token keamanan yang dikeluarkan oleh penyedia identitas lokal setelah autentikasi, untuk memberikan akses ke sumber daya yang dilindungi oleh ID Microsoft Entra.

Oleh karena itu, sangat penting bahwa kepercayaan pada konfigurasi federasi ini dipantau dengan cermat, dan aktivitas yang tidak biasa atau mencurigakan terdeteksi dan dicatat.

Untuk memantau hubungan kepercayaan, kami sarankan Anda menyiapkan pemberitahuan untuk diberi tahu saat perubahan dilakukan pada konfigurasi federasi.

Menyiapkan pemberitahuan untuk memantau hubungan kepercayaan

Ikuti langkah-langkah ini untuk menyiapkan pemberitahuan untuk memantau hubungan kepercayaan:

1. Mengonfigurasi log audit Microsoft Entra untuk dikirim ke Ruang Kerja Azure Log Analytics.
2. Buat aturan pemberitahuan yang memicu berdasarkan kueri log ID Microsoft Entra.
3. Tambahkan grup tindakan ke aturan pemberitahuan yang akan diberi tahu saat kondisi pemberitahuan terpenuhi.

Setelah lingkungan dikonfigurasi, data mengalir sebagai berikut:

1. Log-log Microsoft Entra diisi berdasarkan aktivitas pada tenant.

2. Informasi log mengalir ke ruang kerja Azure Log Analytics.

3. Pekerjaan latar belakang dari Azure Monitor menjalankan kueri log berdasarkan konfigurasi Aturan Pemberitahuan dalam langkah konfigurasi (2) di atas.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Jika hasil kueri cocok dengan logika pemberitahuan (artinya, jumlah hasil lebih besar dari atau sama dengan 1), maka grup tindakan akan masuk. Mari kita asumsikan bahwa itu dimulai, sehingga alur berlanjut di langkah 5.

5. Pemberitahuan dikirim ke grup tindakan yang dipilih saat mengonfigurasi pemberitahuan.

Nota

Selain menyiapkan pemberitahuan, sebaiknya tinjau domain yang dikonfigurasi secara berkala dalam penyewa Microsoft Entra Anda dan menghapus domain kedaluarsa, tidak dikenali, atau mencurigakan.

Langkah berikutnya

• Mengintegrasikan log Microsoft Entra dengan log Azure Monitor
• Membuat, menampilkan, dan mengelola pemberitahuan log menggunakan Azure Monitor
• Mengelola kepercayaan AD FS dengan Microsoft Entra ID menggunakan Microsoft Entra Connect
• praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif