在 Microsoft Entra ID 中使用診斷設定 ,您可以將記錄與 Azure 監視器整合,以便登入活動以及租用戶內變更的稽核記錄與其他 Azure 數據一起進行分析。
本文提供整合Microsoft Entra 記錄與 Azure 監視器的步驟。
使用Microsoft Entra 活動記錄和 Azure 監視器的整合來執行下列工作:
注意
Microsoft Entra 記錄與 Azure 監視器整合,會自動啟用 Sentinel 內 Microsoft Microsoft Entra 數據連接器。
若要使用此功能,您必須要有:
Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶。
Microsoft Entra ID P1 或 P2 租用戶。
至少Microsoft Entra 租使用者中的安全性系統管理員 角色。
Azure 訂用帳戶中的 Log Analytics 工作區。 了解如何建立 Log Analytics 工作區。
存取 Log Analytics 工作區中數據的許可權。 如需不同權限選項以及如何設定權限的詳細資訊,請參閱管理 Azure 監視器中記錄資料和工作區的存取權。
Log Analytics 工作區可讓您根據各種或需求收集數據,例如數據的地理位置、訂用帳戶界限或資源存取權。 了解如何建立 Log Analytics 工作區。
尋找如何在 Microsoft Entra 識別符之外設定 Azure 資源的 Log Analytics 工作區? 請參閱 收集及檢視 Azure 監視器 的資源記錄一文。
使用下列步驟,將記錄從 Microsoft Entra ID 傳送至 Azure 監視器記錄。 尋找如何在 Microsoft Entra 識別符之外設定 Azure 資源的 Log Analytics 工作區? 請參閱 收集及檢視 Azure 監視器 的資源記錄一文。
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[監視和健康情況]>[診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。
選取 [+ 新增診斷設定] 以建立新的整合,或為現有的整合,選取 [編輯設定]。
輸入 [診斷設定名稱]。 若要編輯現有的整合,則無法變更名稱。
選取您想要串流的記錄類別。 如需每個記錄類別的描述,請參閱 您可以串流至端點的身分識別記錄。
在 [目的地詳細數據] 下,選取 [傳送至 Log Analytics 工作區] 複選框。
從功能表中選取適當的 [訂 用帳戶] 和 [Log Analytics] 工作區 。
選取 [儲存] 按鈕。
如果您在 15 分鐘後未看到選取的目的地中出現記錄,請註銷並返回 Azure 以重新整理記錄。