在您的 Microsoft Entra ID 中監視同盟設定的變更

當您將內部部署環境與 Microsoft Entra ID 同盟時，您會在內部部署識別提供者與 Microsoft Entra ID 之間建立信任關係。

由於此已建立的信任，Microsoft Entra ID 會接受內部部署身分識別提供者在驗證之後發出的安全性權杖，以授與受 Microsoft Entra ID 保護的資源存取權。

因此，請務必密切監視此信任 (同盟設定)，並擷取任何異常或可疑的活動。

若要監視信任關係，建議您設定在對同盟設定進行變更時收到通知的警示。

設定警示以監視信任關係

遵循下列步驟來設定警示以監視信任關係：

1. 設定 Microsoft Entra 稽核記錄以傳送至 Azure Log Analytics 工作區。
2. 建立警示規則以根據 Microsoft Entra ID 記錄查詢進行觸發。
3. 新增動作群組至警示規則，以在符合警示條件時收到通知。

設定環境之後，資料流程如下所示：

1. 根據租用戶中的活動填入 Microsoft Entra 記錄。

2. 記錄資訊會傳送至 Azure Log Analytics 工作區。

3. Azure 監視器的背景工作會根據上述設定步驟 (2) 中的警示規則設定，來執行記錄查詢。

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. 如果查詢的結果符合警示邏輯 (也就是結果數目大於或等於 1)，那麼動作群組就會開始。 假設動作群組已開始，因此流程會在步驟 5 中繼續進行。

5. 設定警示時，系統會將通知傳送至選取的動作群組。

注意

除了設定警示之外，建議您定期檢閱 Microsoft Entra 租用戶內設定的網域，並移除任何過時、無法辨識或可疑的網域。

下一步

• 整合 Microsoft Entra 記錄與 Azure 監視器記錄
• 使用 Azure 監視器建立、檢視和管理記錄警示
• 使用 Microsoft Entra Connect 管理與 Microsoft Entra ID 的 AD FS 信任
• 保護 Active Directory 同盟服務的最佳做法