aangepaste waarschuwingen Microsoft Entra ID-governance
Microsoft Entra ID-governance maakt het eenvoudig om personen in uw organisatie te waarschuwen wanneer ze actie moeten ondernemen (bijvoorbeeld een aanvraag voor toegang tot een resource goedkeuren) of wanneer een bedrijfsproces niet goed functioneert (bijvoorbeeld: nieuwe medewerkers worden niet ingericht).
De volgende tabel bevat een overzicht van enkele standaardmeldingen die Microsoft Entra ID-governance biedt, de doelpersoon in een organisatie, waar ze naar verwachting worden gewaarschuwd en hoe snel ze worden gewaarschuwd.
Voorbeeld van bestaande standaardmeldingen
| Persona | Waarschuwingsmethode | Tijdigheid | Voorbeeldwaarschuwing |
|---|---|---|---|
| Eindgebruiker | Teams | Notulen | U moet deze aanvraag voor toegang goedkeuren of weigeren; De toegang die u hebt aangevraagd, is goedgekeurd. Gebruik uw nieuwe app. Meer informatie |
| Eindgebruiker | Teams | Dagen | De aangevraagde toegang verloopt volgende week. Verleng deze.Meer informatie |
| Eindgebruiker | Dagen | Welkom bij Woodgrove, hier is uw tijdelijke toegangspas. Meer informatie. | |
| Helpdesk | ServiceNow | Notulen | Een gebruiker moet handmatig worden ingericht in een verouderde toepassing. Meer informatie |
| IT-bewerkingen | Uren | Nieuw ingehuurde werknemers worden niet geïmporteerd uit Workday. Meer informatie |
Aangepaste waarschuwingsmeldingen
Naast de standaardmeldingen van Microsoft Entra ID-governance kunnen organisaties aangepaste waarschuwingen maken om aan hun behoeften te voldoen.
Alle activiteiten die door de Microsoft Entra ID-governance-services worden uitgevoerd, worden vastgelegd in de Microsoft Entra-auditlogboeken. Door de logboeken naar een Log Analytics-werkruimte te pushen, kunnen organisaties aangepaste waarschuwingen maken.
De volgende sectie bevat voorbeelden van aangepaste waarschuwingen die klanten kunnen maken door Microsoft Entra ID-governance te integreren met Azure Monitor. Met behulp van Azure Monitor kunnen organisaties aanpassen welke waarschuwingen worden gegenereerd, wie de waarschuwingen ontvangt en hoe ze de waarschuwing ontvangen (e-mail, sms, helpdeskticket, enzovoort).
| Gelaatstrek | Voorbeeldwaarschuwing |
|---|---|
| Toegangsbeoordelingen | Waarschuw een IT-beheerder wanneer een toegangsbeoordeling wordt verwijderd. |
| Rechtenbeheer | Waarschuw een IT-beheerder wanneer een gebruiker rechtstreeks aan een groep wordt toegevoegd zonder een toegangspakket te gebruiken. |
| Rechtenbeheer | Waarschuw een IT-beheerder wanneer er een nieuwe verbonden organisatie wordt toegevoegd. |
| Rechtenbeheer | Waarschuw een IT-beheerder wanneer een aangepaste extensie mislukt. |
| Rechtenbeheer | Waarschuw een IT-beheerder wanneer een toewijzingsbeleid voor rechtenbeheertoegangspakketten wordt gemaakt of bijgewerkt zonder goedkeuring. |
| Werkstromen voor levenscyclus | Waarschuw een IT-beheerder wanneer een specifieke werkstroom mislukt. |
| Samenwerking met meerdere tenants | Een IT-beheerder waarschuwen wanneer synchronisatie tussen tenants is ingeschakeld |
| Samenwerking met meerdere tenants | Een IT-beheerder waarschuwen wanneer een toegangsbeleid voor meerdere tenants is ingeschakeld |
| Privileged Identity Management | Waarschuw een IT-beheerder wanneer PIM-waarschuwingen zijn uitgeschakeld. |
| Privileged Identity Management | Waarschuw een IT-beheerder wanneer een rol buiten PIM wordt verleend. |
| Bevoorrading | Waarschuw een IT-beheerder wanneer er een piek is in inrichtingsfouten in de afgelopen dag. |
| Bevoorrading | Waarschuw een IT-beheerder wanneer iemand een inrichtingsconfiguratie start, stopt, uitschakelt, opnieuw start of verwijdert. |
| Bevoorrading | Waarschuw een IT-beheerder wanneer een inrichtingstaak in quarantaine wordt geplaatst. |
Toegangsbeoordelingen
Waarschuw een IT-beheerder wanneer een toegangsbeoordeling is verwijderd.
Vraag
AuditLogs
| where ActivityDisplayName == "Delete access review"
Rechtenbeheer
Waarschuw een IT-beheerder wanneer een gebruiker rechtstreeks aan een groep wordt toegevoegd zonder een toegangspakket te gebruiken.
Vraag
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Waarschuw een IT-beheerder wanneer er een nieuwe verbonden organisatie wordt gemaakt. Gebruikers van deze organisatie kunnen nu toegang aanvragen tot resources die beschikbaar zijn voor alle verbonden organisaties.
Vraag
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Waarschuw een IT-beheerder wanneer een aangepaste extensie voor rechtenbeheer mislukt.
Vraag
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Waarschuw een IT-beheerder wanneer een toewijzingsbeleid voor rechtenbeheertoegangspakketten wordt gemaakt of bijgewerkt zonder goedkeuring .
Vraag
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Werkstromen voor levenscyclus
Waarschuw een IT-beheerder wanneer een specifieke levenscycluswerkstroom mislukt.
Vraag
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Waarschuwingslogica
- Op basis van: Aantal resultaten
- Operator: gelijk aan
- Drempelwaarde: 0
Samenwerking met meerdere tenants
Waarschuw een IT-beheerder wanneer er een nieuw toegangsbeleid voor meerdere tenants wordt gemaakt. Hierdoor kan uw organisatie detecteren wanneer er een relatie is gevormd met een nieuwe organisatie.
Vraag
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Als beheerder kan ik een waarschuwing ontvangen wanneer een binnenkomende synchronisatiebeleid voor meerdere tenants is ingesteld op waar. Hierdoor kan uw organisatie detecteren wanneer een organisatie is gemachtigd om identiteiten te synchroniseren met uw tenant.
Vraag
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Waarschuwingslogica
Privileged Identity Management
Waarschuw een IT-beheerder wanneer specifieke PIM-beveiligingswaarschuwingen zijn uitgeschakeld.
Vraag
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Een IT-beheerder waarschuwen wanneer een gebruiker wordt toegevoegd aan een rol buiten PIM
De onderstaande query is gebaseerd op een templateId. Hier vindt u een lijst met sjabloon-id's.
Vraag
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Bevoorrading
Waarschuw een IT-beheerder wanneer er een piek is in inrichtingsfouten in de afgelopen dag. Bij het configureren van uw waarschuwing in Log Analytics stelt u de granulariteit van de aggregratie in op 1 dag.
Vraag
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Waarschuwingslogica
- Op basis van: Aantal resultaten
- Operator: Groter dan
- Drempelwaarde: 10
Waarschuw een IT-beheerder wanneer iemand een inrichtingsconfiguratie start, stopt, uitschakelt, opnieuw start of verwijdert.
Vraag
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Een IT-beheerder waarschuwen wanneer een inrichtingstaak in quarantaine wordt geplaatst
Vraag
AuditLogs
| where ActivityDisplayName == "Quarantine"
Volgende stappen