整合 Microsoft Entra 記錄與 Azure 監視器記錄

作法
04/17/2024

在 Microsoft Entra ID 中使用診斷設定 ，您可以將記錄與 Azure 監視器整合，以便登入活動以及租用戶內變更的稽核記錄與其他 Azure 數據一起進行分析。

本文提供整合 Microsoft Entra 記錄與 Azure 監視器的步驟。

使用 Microsoft Entra 活動記錄和 Azure 監視器的整合來執行下列工作：

比較您的 Microsoft Entra 登入記錄與適用於雲端的 Microsoft Defender 所發佈的安全性記錄。
將 Azure Application Insights 中的應用程式效能資料相互關聯，以在應用程式的登入頁面上進行效能瓶頸的疑難排解。
分析 Identity Protection 有風險的使用者和風險偵測記錄，以偵測環境中的威脅。
識別仍在使用 Active Directory 驗證連結庫（ADAL）進行驗證的應用程式登入。瞭解ADAL終止支援方案。

注意

將 Microsoft Entra 記錄與 Azure 監視器整合會自動啟用 Microsoft Sentinel 內的 Microsoft Entra 數據連接器。

必要條件

若要使用此功能，您需要：

Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，則可以註冊申請一個免費的試用帳戶。

Microsoft Entra ID P1 或 P2 租使用者。

Microsoft Entra 租使用者的全域管理員 istrator 或 Security 管理員 istrator 存取權。

Azure 訂用帳戶中的 Log Analytics 工作區。了解如何建立 Log Analytics 工作區。

存取 Log Analytics 工作區中數據的許可權。如需不同權限選項以及如何設定權限的詳細資訊，請參閱管理 Azure 監視器中記錄資料和工作區的存取權。

建立 Log Analytics 工作區

Log Analytics 工作區可讓您根據各種或需求收集數據，例如數據的地理位置、訂用帳戶界限或資源存取權。了解如何建立 Log Analytics 工作區。

尋找如何為 Microsoft Entra ID 外部的 Azure 資源設定 Log Analytics 工作區？請參閱收集及檢視 Azure 監視器的資源記錄一文。

將記錄傳送至 Azure 監視器

使用下列步驟，將記錄從 Microsoft Entra ID 傳送至 Azure 監視器記錄。尋找如何為 Microsoft Entra ID 外部的 Azure 資源設定 Log Analytics 工作區？請參閱收集及檢視 Azure 監視器的資源記錄一文。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

以至少安全性管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別監視與健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。
選取 [+ 新增診斷設定 ] 以建立新的整合，或選取 現有整合的 [編輯] 設定 。
輸入診斷 設定名稱。如果您要編輯現有的整合，則無法變更名稱。
選取您想要串流的記錄類別。
在 [目的地詳細數據] 下，選取 [傳送至 Log Analytics 工作區] 複選框。
從功能表中選取適當的 [訂用帳戶] 和 [Log Analytics] 工作區 。
選取儲存按鈕。

如果您在 15 分鐘後未看到選取的目的地中出現記錄，請註銷並返回 Azure 以重新整理記錄。

意見反映

即將推出：我們會在 2024 年淘汰 GitHub 問題，並以全新的意見反應系統取代並作為內容意見反應的渠道。如需更多資訊，請參閱：https://aka.ms/ContentUserFeedback。

提交及檢視以下的意見反映：

本產品本頁

檢視所有頁面的意見反映