在外部租用戶中設定 Azure 監視器

適用於： 外部租用戶 （深入瞭解）

Azure 監視器 提供完整的解決方案，可收集、分析和回應來自雲端和內部部署環境的監視資料。 受監視資源的診斷設定會指定要傳送的資料，以及傳送資料的位置。 針對 Microsoft Entra，您可以將資料傳送至 Azure 儲存體、 Log Analytics 或 Azure 事件中樞。

當您將外部租用戶記錄傳輸至其他監視解決方案或儲存位置時，請注意這些記錄可能包含個人資料。 處理個人資料時，請採取適當的安全措施來保護它。 這些措施應透過使用適當的技術和組織保障措施來防止未經授權或非法的處理。

本文說明如何在外部租用戶中設定 Azure 監視器，以便收集和分析租用戶中的資料。 本文還會說明如何設定診斷設置，將記錄和度量傳送到工作環境租用戶中的 Log Analytics 的工作區。

部署概觀

外部租用戶會使用 Microsoft Entra 監視。 與員工租用戶不同，外部租用戶不能有相關聯的訂用帳戶。 若要在外部租戶中啟用監控，請登入您的工作租戶，以在設定配置時確認訂閱。
您也可以使用 Azure Lighthouse ，在外部租用戶 （服務提供者） 內啟用員工租用戶 （客戶） 的診斷設定。

在此組態中，您會使用精靈。 您可以從下列其中一個進入點啟動精靈： [診斷設定 ] 頁面或 [ 安全性存放區 ] 頁面。 本文涵蓋這兩種方法。

先決條件

• Azure 訂用帳戶。 如果您沒有帳戶，請在開始之前建立 免費帳戶 。
• Microsoft Entra 訂用帳戶中具有 擁有者 角色的Microsoft Entra 帳戶。
• 外部租戶中已被指派為 安全性管理員 或 應用程式管理員 角色的帳戶。

這很重要

這項功能僅支援新的 Azure Role-Based 存取控制 （RBAC） 擁有者角色，不支援傳統系統管理員角色。 如需將傳統系統管理員角色轉換成 Azure RBAC 的指示，請參閱 Azure 傳統訂用帳戶系統管理員。 完成轉換之後，請重新整理頁面以套用變更。

啟動精靈以設定 Azure Lighthouse

若要在外部租用戶中設定 Azure Lighthouse，請從 [診斷設定 ] 頁面或 [ 安全性存放區 ] 頁面啟動精靈。 選擇下列其中一個索引標籤，其中包含進入點以開始使用。

診斷設定

1. 登入 Microsoft Entra 系統管理中心。
2. 如果您有權存取多個租用戶，請使用頂端功能表中的 [設定] 圖示 ，並從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。
3. 流覽至外部租用戶中的 Entra ID，然後選取 監視與健康情況>診斷設定。
4. 選取 [ 開始設定 ] 以啟動精靈。

安全資源庫

1. 登入 Microsoft Entra 系統管理中心。
2. 如果您有權存取多個租用戶，請使用頂端功能表中的 [設定] 圖示 ，並從 [目錄 + 訂用帳戶] 功能表切換至您的外部租用戶。
3. 瀏覽至 Home>安全商店>使用 Azure 監視器監控日誌。
4. 選取 [開始使用 ] 以開啟 [診斷設定] 頁面。 如果已設定 Azure 監視，您可以選取 [檢視記錄] 以開啟記錄體驗。
5. 選取 [ 開始設定 ] 以啟動精靈。

在精靈中設定 Azure Lighthouse 配置

下列步驟會引導您透過精靈，在外部租戶中設定 Azure Lighthouse。

步驟 1：登入您的工作租戶

若要設定 Azure Lighthouse，請使用有權存取擁有外部設定租用戶之訂用帳戶的帳戶登入。

步驟2：填寫專案詳細資料

在此步驟中，提供專案的詳細資料。 當您同時建立資源群組和 Log Analytics 工作區時，您只能選取一個 位置。 此位置僅限於資源群組和 Log Analytics 工作區可用的區域。 若要存取位置的完整清單，請事先分別建立資源群組和 Log Analytics 工作區。

1. 從下拉式清單中選取 [訂閱]。
2. 使用現有的資源群組或建立新的 資源群組 。
3. 提供新 Log Analytics 工作區的名稱。 此名稱必須是每個資源群組的唯一名稱。
4. 選取可用的 區域。
5. 選取 下一步。

步驟 3：選取使用者存取權

選擇外部租使用者中可以存取 Log Analytics 工作區的使用者或群組。 選取的使用者至少需要 安全性管理員 角色，才能設定診斷設定。

請使用 選擇 按鈕確認您的選擇。 選取使用者或群組之後，請為其指派角色。 您可以從下列角色中選擇：

• 貢獻者：可以讀取監控資料和配置。
• Log Analytics 參與者：可以讀取和寫入監視資料和設定。
• 監控貢獻者：可以讀取所有監控資料並編輯監控設定。
• 監控策略貢獻者： 可以管理安全相關功能，包括查看和管理安全警報和報告。

選取使用者或群組並指派角色之後，請選取 [ 下一步 ] 以繼續。

選擇性：將標籤新增至 Log Analytics 工作區

您可以將標籤新增至 Log Analytics 工作區。 標籤是名稱/值配對，可協助您將相同的標籤套用至多個資源和資源群組，以將資源分類並檢視合併帳單。 如需詳細資訊，請參閱 使用標籤來組織 Azure 資源。

步驟 4：檢閱並建立 Log Analytics 工作區

檢查您的設定。 如果您需要進行更改，請使用 [返回] 按鈕返回先前的步驟。 如果一切看起來都正確，請選取 [ 建立 ] 以設定 Log Analytics 工作區，並將選取的使用者或群組指派指定的角色。 設定 Log Analytics 工作區和指派角色可能需要幾分鐘的時間，因此請勿關閉瀏覽器視窗。

設定完成後，您會看到確認訊息。 選取 [完成] ，然後設定診斷設定，以開始將記錄和計量傳送至 Log Analytics 工作區。

進行診斷設定

診斷設定 可讓您收集 資源記錄 ，並將 平台度量 和 活動記錄 傳送至不同的目的地。 您最多可以建立五個不同的診斷設定，以將各種記錄和指標傳送至不同的目的地。 請遵循下列步驟，在外部租用戶中設定診斷設定。

1. 在 [新增診斷設定] 底下選取 [新增設定]。
2. 如果您在新增設定之前選取 [ 檢閱 ]，則可以在右側看到 [訂用帳戶 ] 和 [資源群組 ]。 這些欄位是唯讀的。 若要進行變更，請移除現有的服務提供者資訊，然後重新啟動精靈。 如果您對選取範圍感到滿意，請選取 [完成] 以繼續進行下一個步驟。 這個步驟是選擇性的。

注意

如果您在新增設定之前選取 [ 檢閱 ]，則 [訂用帳戶 ] 和 [資源群組 ] 會出現在右側。 這些欄位是唯讀的。 若要進行變更，請移除現有的服務提供者資訊，然後重新啟動精靈。
在執行背景訂用帳戶檢查時，讓視窗保持開啟。 如果您在檢查完成之前關閉或重新整理視窗，您可能需要從 [ 開始安裝程式] 重新啟動精靈。

3. 選取 [新增診斷設定 ] 以新增設定或 [編輯] 設定 以編輯現有的設定。 如果您想要將資料傳送至相同類型的多個目的地，則可能需要資源的多個診斷設定。
4. 為您的設置指定一個描述性名稱。
5. 要路由的記錄和計量：針對記錄，請選擇 類別群組 ，或針對您想要傳送至稍後所指定目的地的每個數據類別選取個別複選框。 類別清單會因每個 Azure 服務而異。 選取 AllMetrics 如果您想要收集平台計量。
6. 目的地詳細資料：選取診斷設定中應包含之每個目的地的核取方塊，然後提供每個目的地的詳細資料。 如果您選取 Log Analytics 工作區作為目的地，則可能需要指定收集模式。 如需詳細資訊，請參閱 收集模式 。

使用日誌查詢視覺化您的資料

設定診斷設定和資料流程進入 Log Analytics 工作區之後，請使用記錄查詢來分析和視覺化您的資料。 記錄查詢是以 Kusto 查詢語言 （KQL） 撰寫，可協助您從收集的記錄和計量取得深入解析。 您可以在員工和外部租用戶中進行這些設定。

建立查詢

記錄查詢可協助您從 Azure 監視器記錄中收集的資料中取得最大價值。 強大的查詢語言允許您聯接來自多個表的數據、聚合大型數據集，並使用最少的代碼執行複雜的作。 您幾乎可以回答任何問題並執行分析，只要您收集支援資料並瞭解如何建構正確的查詢即可。 如需詳細資訊，請參閱 開始使用 Azure 監視器中的記錄查詢。

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請選取頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的員工租用戶。
3. 從 [Log Analytics 工作區] 視窗中，選取 [記錄]
4. 在查詢編輯器中，貼上下列 Kusto 查詢語言 查詢。 此查詢會依操作顯示過去 x 天內的政策使用情況。 預設持續時間設定為 90 天 (90d)。 請注意，查詢只會集中於策略發出權杖或代碼的作業。

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc  nulls last

5. 選取 執行。 查詢結果會顯示在畫面底部。
6. 若要儲存您的查詢供稍後使用，請選取 [儲存]。

7. 填入下列詳細資料：

• 名稱 - 輸入查詢的名稱。
• 另存新檔 - 選擇 query。
• 類別 - 選取 Log。

8. 選取 [ 儲存]。

您也可以變更查詢，以使用 呈現 運算子將數據可視化。

  AuditLogs
  | where TimeGenerated  > ago(90d)
  | where OperationName contains "issue"
  | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
  | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
  | summarize SignInCount = count() by Policy
  | order by SignInCount desc  nulls last
  | render  piechart

變更資料保留期間

Azure Monitor 日誌可以進行調整，以支援每天從企業內的任何來源或部署在 Azure 中的來源收集、編製索引和儲存大量資料。 根據預設，記錄會保留 30 天，但您可以將保留期間延長至最多兩年。 如需詳細資訊，請參閱 使用 Azure 監視器記錄管理使用量和成本。 選取定價層之後，您可以 變更數據保留期間。

停用監視資料收集

若要停止收集 Log Analytics 工作區的記錄，請刪除您建立的診斷設定。 您仍需因保留已收集到工作區的記錄資料而產生費用。 如果您不再需要收集的監視資料，您可以刪除 Log Analytics 工作區和您為 Azure 監視器建立的資源群組。 刪除 Log Analytics 工作區會刪除工作區中的所有數據，並防止產生其他數據保留費用。

使用 Microsoft Sentinel 搭配外部識別碼

將外部租用戶的外部識別碼記錄傳送至勞動力租用戶中的 Log Analytics 工作區之後，您可以將它們內嵌至 Microsoft Sentinel 中，以進行監視、事件規則、警示和活頁簿。 您必須從員工租戶配置 Sentinel，因為不支援從外部租戶直接配置。 若要使用 Sentinel：

1. 透過 Azure 監視器診斷設定，將日誌傳送到工作端租用戶中的 Log Analytics 工作區。 不支援來自外部租用戶的直接設定。

2. 在 Azure 入口網站中，將 Microsoft Sentinel 新增至 Log Analytics 工作區。 如需詳細資訊，請參閱 加入 Microsoft Sentinel。

3. 在 Defender 入口網站中，開啟 Microsoft Sentinel 內容中樞，並安裝 Entra ID 內容套件。

支援的功能

• 分析與警報： 使用預先建置的範本設定事件規則;觸發的警示會正確顯示。

• 工作簿： 使用預先建置的工作簿視覺化和分析收集的記錄。

如需詳細資訊，請參閱 Microsoft Sentinel 檔。

這些步驟可在使用支援的企業租戶設定時，啟用外部 ID 日誌的集中監控、事件管理和可視化。

相關內容

• 使用稽核記錄和存取權檢閱