分享方式:


在您的 Microsoft Entra ID 中監視同盟設定的變更

當您將內部部署環境與 Microsoft Entra ID 同盟時,您會在內部部署識別提供者與 Microsoft Entra ID 之間建立信任關係。

由於此已建立的信任,Microsoft Entra ID 會接受內部部署身分識別提供者在驗證之後發出的安全性權杖,以授與受 Microsoft Entra ID 保護的資源存取權。

因此,請務必密切監視此信任 (同盟設定),並擷取任何異常或可疑的活動。

若要監視信任關係,建議您設定在對同盟設定進行變更時收到通知的警示。

設定警示以監視信任關係

遵循下列步驟來設定警示以監視信任關係:

  1. 設定 Microsoft Entra 稽核記錄以傳送至 Azure Log Analytics 工作區。
  2. 建立警示規則以根據 Microsoft Entra ID 記錄查詢進行觸發。
  3. 新增動作群組至警示規則,以在符合警示條件時收到通知。

設定環境之後,資料流程如下所示:

  1. 根據租用戶中的活動填入 Microsoft Entra 記錄。

  2. 記錄資訊會傳送至 Azure Log Analytics 工作區。

  3. Azure 監視器的背景工作會根據上述設定步驟 (2) 中的警示規則設定,來執行記錄查詢。

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. 如果查詢的結果符合警示邏輯 (也就是結果數目大於或等於 1),那麼動作群組就會開始。 假設動作群組已開始,因此流程會在步驟 5 中繼續進行。

  5. 設定警示時,系統會將通知傳送至選取的動作群組。

注意

除了設定警示之外,建議您定期檢閱 Microsoft Entra 租用戶內設定的網域,並移除任何過時、無法辨識或可疑的網域。

下一步