什麼是 Microsoft Entra 監視和健康情況?
Microsoft Entra 監視和健康情況的功能會提供環境中身分識別相關活動的完整檢視。 此資料可讓您:
- 判斷使用者如何利用您的應用程式和服務。
- 偵測會影響環境健康情況的潛在風險。
- 針對會阻止使用者完成其工作的問題進行疑難排解。
- 查看 Microsoft Entra 目錄變更的稽核事件,以取得深入解析。
登入和稽核記錄包含許多 Microsoft Entra 報告背後的活動記錄,可用來分析、監視和疑難排解租用戶中的活動。 將活動記錄路由傳送至分析和監視解決方案,讓您更深入了解租用戶的健康情況和安全性。
本文會說明 Microsoft Entra ID 中可用的活動記錄類型、使用記錄的報告,以及可用來協助您分析資料的監視服務。
身分識別活動記錄
活動記錄可協助您了解貴組織中使用者的行為。 Microsoft Entra ID 中有三個類型的活動記錄:
活動記錄可以在 Azure 入口網站檢視或使用 Microsoft Graph API 來檢視。 活動記錄也可以路由傳送至各種端點以進行儲存或分析。 若要了解檢視活動記錄的所有選項,請參閱 如何存取活動記錄。
稽核記錄
稽核記錄會為您提供符合規範的系統活動記錄。 此資料可讓您解決常見的案例,例如:
- 我的租用戶中有人已取得系統管理員群組的存取權。 誰提供存取權給他們?
- 我想要知道登入特定應用程式的使用者清單,因為我剛剛將應用程式上架,並且想知道其運作情況。
- 我想知道我的租用戶中發生多少次密碼重設。
登入記錄
登入記錄可讓您尋找以下問題的解答,例如:
- 使用者的登入模式為何?
- 一週內有多少使用者登入?
- 這些登入的狀態為何?
佈建記錄
您可以使用佈建記錄來尋找問題的解答,例如:
- ServiceNow 中已成功建立了哪些群組?
- 哪些使用者已成功從 Adobe 中移除?
- Workday 中的哪些使用者已成功在 Active Directory 中建立?
身分識別報告
檢閱 Microsoft Entra 活動記錄中的資料可以為 IT 系統管理員提供實用的資訊。 為了簡化在重要案例上檢閱資料的流程,我們已針對使用活動記錄的常見案例建立數份報告。
- 身分識別保護 會使用登入資料來建立有風險使用者和登入活動的報告。
- 與應用程式相關的活動,例如服務主體和應用程式認證活動,可用來在 使用量和深入解析中建立報告。
- Microsoft Entra 活頁簿 提供可自訂的方式來檢視和分析活動記錄。
- 使用 Microsoft Entra 建議,以監視和改善租用戶的安全性。
- Microsoft Entra Health 擷取數個主要案例的全球服務等級協定達成和健康訊號。
身分識別監視和租用戶健康情況
檢閱 Microsoft Entra 活動記錄是維護及改善租用戶健康情況和安全性的第一個步驟。 您需要分析資料、監視有風險的案例,以及判斷您可以在哪裡進行改進。 Microsoft Entra 監視會提供必要的工具,協助您做出明智的決策。
監視 Microsoft Entra 活動記錄需要將記錄資料路由傳送至監視和分析解決方案。 端點包括 Azure 監視器記錄、Microsoft Sentinel 或第三方解決方案安全性資訊與事件管理 (SIEM) 工具。
使用案例
您如何根據組織需求使用可用的記錄、報告和監視服務。 能夠更妥善地決定使用案例和解決方案的優先順序,它可能有助於瞭解這些解決方案彼此的關聯性、解決方案彼此的差異,以及如何將這些解決方案搭配在一起使用。
考量
- 保留 - 記錄保留:將 Microsoft Entra 的稽核記錄和登入記錄儲存 30 天以上
- 分析 - 可以使用分析工具來搜尋記錄
- 操作和安全性深入解析 - 可讓您存取應用程式使用情況、登入錯誤、自助式使用情況、趨勢等。
- SIEM 整合 - 將 Microsoft Entra 登入記錄和稽核記錄整合並串流至 SIEM 系統
透過 Microsoft Entra 監視,您可以路由傳送 Microsoft Entra 活動記錄,並保留它們供長期報告和分析使用,以取得環境深入解析並與 SIEM 工具進行整合。 使用下列決策流程圖來協助選取架構。
如需如何存取、儲存及分析活動記錄的概觀,請參閱 如何存取活動記錄。