監視 Microsoft Entra 識別碼中同盟設定的變更

當您將內部部署環境與 Microsoft Entra 識別碼同盟時，您會在內部部署識別提供者與 Microsoft Entra ID 之間建立信任關係。

由於此已建立的信任，Microsoft Entra ID 會接受內部部署身分識別提供者在驗證後發出的安全性權杖，以授與受 Microsoft Entra ID 保護之資源的存取權。

因此，請務必密切監視此信任（同盟設定），並擷取任何不尋常的或可疑活動。

若要監視信任關係，建議您設定警示，以在對同盟設定進行變更時收到通知。

設定警示以監視信任關係

請遵循下列步驟來設定警示來監視信任關係：

1. 設定 Microsoft Entra 稽核記錄 以流向 Azure Log Analytics 工作區。
2. 建立警示規則 ，以根據 Microsoft Entra ID 記錄查詢觸發。
3. 將動作群組 新增至警示規則，以在符合警示條件時收到通知。

設定環境之後，資料流程如下所示：

1. Microsoft Entra 記錄會根據租使用者中的活動填入。

2. 記錄資訊會流向 Azure Log Analytics 工作區。

3. Azure 監視器的背景作業會根據上述設定步驟 （2） 中的警示規則設定來執行記錄查詢。

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. 如果查詢的結果符合警示邏輯（也就是結果數目大於或等於 1），則動作群組會啟動。 假設它已啟動，因此流程會在步驟 5 中繼續執行。

5. 通知會在設定警示時傳送至選取的動作群組。

注意

除了設定警示之外，建議您定期檢閱 Microsoft Entra 租使用者內的已設定網域，並移除任何過時、無法辨識或可疑網域。

下一步

• 整合 Microsoft Entra 記錄與 Azure 監視器記錄
• 使用 Azure 監視器建立、檢視和管理記錄警示
• 使用 Microsoft Entra 連線使用 Microsoft Entra 識別碼管理 AD FS 信任
• 保護 Active Directory 同盟服務的最佳做法