當您將內部部署環境與 Microsoft Entra 識別子同盟時,您會在內部部署識別提供者與 Microsoft Entra ID 之間建立信任關係。
由於此已建立的信任,Microsoft Entra ID 會接受內部部署識別提供者在驗證后所簽發的安全性令牌,以授與Microsoft Entra ID 所保護資源的存取權。
因此,必須嚴密監控這種信任關係(同盟設定),並記錄任何不尋常或可疑的活動。
若要監視信任關係,建議您設定警示,以在對同盟設定進行變更時收到通知。
設定警示以監視信任關係
請遵循下列步驟來設定警示來監視信任關係:
- 設定Microsoft Entra 稽核記錄 流向 Azure Log Analytics 工作區。
- 建立 警示規則,根據 Microsoft Entra ID 記錄查詢觸發。
- 將動作群組 新增至警示規則,以在符合警示條件時收到通知。
設定環境之後,數據流如下所示:
Microsoft Entra 記錄會根據租戶中的活動進行填入。
記錄資訊會流向 Azure Log Analytics 工作區。
Azure 監視器的背景作業會根據上述設定步驟 (2) 中的警示規則設定來執行記錄查詢。
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type如果查詢的結果符合警示邏輯(也就是結果數目大於或等於 1),則動作群組會啟動。 假設它已啟動,因此流程會在步驟 5 中繼續執行。
通知會在設定警示時傳送至選取的動作群組。
注意
除了設定警示之外,建議您定期檢閱您Microsoft Entra 租使用者內的已設定網域,並移除任何過時、無法辨識或可疑網域。