Monitorare le modifiche apportate alla configurazione della federazione nell'ID Microsoft Entra

Quando si esegue la federazione dell'ambiente locale con Microsoft Entra ID, si stabilisce una relazione di trust tra il provider di identità locale e l'ID Microsoft Entra.

A causa di questo trust stabilito, Microsoft Entra ID rispetta il token di sicurezza rilasciato dal provider di identità locale dopo l'autenticazione, per concedere l'accesso alle risorse protette da Microsoft Entra ID.

Pertanto, è fondamentale monitorare attentamente questa relazione di trust (configurazione federativa) ed eventuali attività insolite o sospette vengono acquisite.

Per monitorare la relazione di trust, è consigliabile configurare gli avvisi per ricevere una notifica quando vengono apportate modifiche alla configurazione della federazione.

Configurare gli avvisi per monitorare la relazione di trust

Seguire questa procedura per configurare gli avvisi per monitorare la relazione di trust:

1. Configurare i log di controllo di Microsoft Entra per il flusso in un'area di lavoro Log Analytics di Azure.
2. Creare una regola di avviso che viene attivata in base alla query di log di Microsoft Entra ID.
3. Aggiungere un gruppo di azioni alla regola di avviso che riceve una notifica quando viene soddisfatta la condizione di avviso.

Dopo aver configurato l'ambiente, i flussi di dati sono i seguenti:

1. I log di Microsoft Entra vengono popolati in base all'attività nel tenant.

2. Le informazioni di log passano all'area di lavoro Log Analytics di Azure.

3. Un processo in background di Monitoraggio di Azure esegue la query di log in base alla configurazione della regola di avviso nel passaggio di configurazione (2) precedente.

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. Se il risultato della query corrisponde alla logica di avviso, ovvero il numero di risultati è maggiore o uguale a 1, il gruppo di azioni inizia. Si supponga che sia stato inserito, quindi il flusso continua nel passaggio 5.

5. La notifica viene inviata al gruppo di azioni selezionato durante la configurazione dell'avviso.

Nota

Oltre a configurare gli avvisi, è consigliabile esaminare periodicamente i domini configurati all'interno del tenant di Microsoft Entra e rimuovere eventuali domini non aggiornati, non riconosciuti o sospetti.

Passaggi successivi

• Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
• Creare, visualizzare e gestire gli avvisi dei log in Monitoraggio di Azure
• Gestire l'attendibilità di AD FS con Microsoft Entra ID con Microsoft Entra Connessione
• Procedure consigliate per la protezione di Active Directory Federation Services