整合 Microsoft Entra 記錄與 Azure 監視器記錄

在 Microsoft Entra ID 中使用 診斷設定 ，您可以將記錄與 Azure 監視器整合，讓登入活動以及租用戶內變更的稽核記錄與其他 Azure 數據一起進行分析。

本文提供整合Microsoft Entra 記錄與 Azure 監視器的步驟。

使用Microsoft Entra 活動記錄和 Azure 監視器的整合來執行下列工作：

• 比較您的 Microsoft Entra 登入記錄與適用於雲端的 Microsoft Defender 所發佈的安全性記錄。
• 藉由將來自 Azure 應用程式 Insights 的應用程式效能數據相互關聯，對應用程式登入頁面上的效能瓶頸進行疑難解答。
• 分析「身分識別保護」有風險的使用者與風險偵測記錄，以偵測您環境中的威脅。
• 識別仍在使用 Active Directory 驗證連結庫 （ADAL） 進行驗證的應用程式登入。 瞭解ADAL終止支援方案。

注意

Microsoft Entra 記錄與 Azure 監視器整合，會自動啟用 Sentinel 內 Microsoft Microsoft Entra 數據連接器。

必要條件

若要使用此功能，您必須要有：

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以 註冊免費試用。

• Microsoft Entra ID P1 或 P2 租用戶。

• 至少Microsoft Entra 租使用者中的 安全性系統管理員 角色。

• Azure 訂用帳戶中的 Log Analytics 工作區 。 瞭解如何 建立Log Analytics工作區。

• 存取 Log Analytics 工作區中數據的許可權。 如需不同許可權選項以及如何設定許可權的相關信息，請參閱 管理 Azure 監視器中記錄數據和工作區的存取 權。

建立 Log Analytics 工作區

Log Analytics 工作區可讓您根據各種或需求收集數據，例如數據的地理位置、訂用帳戶界限或資源存取權。 瞭解如何 建立Log Analytics工作區。

若要瞭解如何在 Microsoft Entra ID 之外設定 Azure 資源的 Log Analytics 工作區，請參閱 收集及檢視 Azure 監視器的資源記錄。

將記錄傳送至 Azure 監視器

使用下列步驟，將記錄從 Microsoft Entra ID 傳送至 Azure 監視器記錄。

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識元>監視與健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。

3. 選取 [+ 新增診斷設定] 以建立新的整合，或為現有的整合，選取 [編輯設定]。

4. 輸入 [診斷設定名稱]。 若要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。 如需每個記錄類別的描述，請參閱 您可以串流至端點的身分識別記錄。

6. 在 [目的地詳細數據] 下，選取 [ 傳送至 Log Analytics 工作區 ] 複選框。

7. 從功能表中選取適當的 [訂 用帳戶] 和 [ Log Analytics] 工作區 。

8. 選取 [儲存] 按鈕。

   

   如需記錄何時開始出現在Log Analytics工作區的詳細資訊，請參閱 Azure 監視器中的診斷設定。

相關內容

• 使用 Azure 監視器記錄來分析 Microsoft Entra 活動記錄
• 瞭解您可以使用 Azure 監視器分析的數據源
• 使用 Azure 原則 自動建立診斷設定

在 Microsoft Entra ID 中使用 診斷設定 ，您可以將記錄與 Azure 監視器整合，讓登入活動以及租用戶內變更的稽核記錄與其他 Azure 數據一起進行分析。

本文提供整合Microsoft Entra 記錄與 Azure 監視器的步驟。

使用Microsoft Entra 活動記錄和 Azure 監視器的整合來執行下列工作：

• 比較您的 Microsoft Entra 登入記錄與適用於雲端的 Microsoft Defender 所發佈的安全性記錄。
• 藉由將來自 Azure 應用程式 Insights 的應用程式效能數據相互關聯，對應用程式登入頁面上的效能瓶頸進行疑難解答。
• 分析「身分識別保護」有風險的使用者與風險偵測記錄，以偵測您環境中的威脅。
• 識別仍在使用 Active Directory 驗證連結庫 （ADAL） 進行驗證的應用程式登入。 瞭解ADAL終止支援方案。

注意

Microsoft Entra 記錄與 Azure 監視器整合，會自動啟用 Sentinel 內 Microsoft Microsoft Entra 數據連接器。

若要使用此功能，您必須要有：

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以 註冊免費試用。

• Microsoft Entra ID P1 或 P2 租用戶。

• 至少Microsoft Entra 租使用者中的 安全性系統管理員 角色。

• Azure 訂用帳戶中的 Log Analytics 工作區 。 瞭解如何 建立Log Analytics工作區。

• 存取 Log Analytics 工作區中數據的許可權。 如需不同許可權選項以及如何設定許可權的相關信息，請參閱 管理 Azure 監視器中記錄數據和工作區的存取 權。

Log Analytics 工作區可讓您根據各種或需求收集數據，例如數據的地理位置、訂用帳戶界限或資源存取權。 瞭解如何 建立Log Analytics工作區。

若要瞭解如何在 Microsoft Entra ID 之外設定 Azure 資源的 Log Analytics 工作區，請參閱 收集及檢視 Azure 監視器的資源記錄。

將記錄傳送至 Azure 監視器

使用下列步驟，將記錄從 Microsoft Entra ID 傳送至 Azure 監視器記錄。

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識元>監視與健康情況>診斷設定]。 您也可以從 [稽核記錄] 或 [登入] 頁面選取 [匯出設定]。

3. 選取 [+ 新增診斷設定] 以建立新的整合，或為現有的整合，選取 [編輯設定]。

4. 輸入 [診斷設定名稱]。 若要編輯現有的整合，則無法變更名稱。

5. 選取您想要串流的記錄類別。 如需每個記錄類別的描述，請參閱 您可以串流至端點的身分識別記錄。

6. 在 [目的地詳細數據] 下，選取 [ 傳送至 Log Analytics 工作區 ] 複選框。

7. 從功能表中選取適當的 [訂 用帳戶] 和 [ Log Analytics] 工作區 。

8. 選取 [儲存] 按鈕。

   

   如需記錄何時開始出現在Log Analytics工作區的詳細資訊，請參閱 Azure 監視器中的診斷設定。