Freigeben über


Benutzerdefinierte Microsoft Entra ID Governance-Warnungen

Microsoft Entra ID Governance erleichtert es Ihnen, Personen in Ihrer Organisation zu benachrichtigen, wenn sie Maßnahmen ergreifen müssen (z. B. eine Anforderung für den Zugriff auf eine Ressource genehmigen) oder wenn ein Geschäftsprozess nicht ordnungsgemäß funktioniert (z. B. neue Mitarbeitende werden nicht bereitgestellt).

In der folgenden Tabelle sind einige der Standardbenachrichtigungen aufgeführt, die von Microsoft Entra ID Governance bereitgestellt werden, die Zielpersonen in einer Organisation, die benachrichtigt werden sollen, und die Zeitspanne, in der sie benachrichtigt werden.

Beispiel für vorhandene Standardbenachrichtigungen

Persona Warnmethode Aktualität Beispiel für Warnung
Endbenutzer Teams Minuten Sie müssen diese Anforderung für den Zugriff genehmigen oder verweigern;
Der angeforderte Zugriff wurde genehmigt, nutzen Sie Ihre neue App.

Weitere Informationen
Endbenutzer Teams Tage Der von Ihnen angeforderte Zugriff wird nächste Woche ablaufen, bitte erneuern Sie ihn.Mehr erfahren
Endbenutzer E‑Mail Tage Willkommen bei Woodgrove, hier ist Ihr befristeter Zugriffspass. Weitere Informationen
Helpdesk ServiceNow Minuten Ein Benutzer bzw. eine Benutzerin muss manuell in einer Legacyanwendung bereitgestellt werden. Weitere Informationen
IT-Abläufe E‑Mail Stunden Neu eingestellte Mitarbeitende werden nicht aus Workday importiert. Weitere Informationen

Benutzerdefinierte Warnmeldungen

Zusätzlich zu den Standardbenachrichtigungen von Microsoft Entra ID Governance können Organisationen benutzerdefinierte Warnungen erstellen, um ihre Anforderungen zu erfüllen.

Alle Aktivitäten, die von den Microsoft Entra ID Governance-Diensten ausgeführt werden, werden in den Microsoft Entra-Überwachungsprotokollen protokolliert. Indem Sie die Protokolle in einen Log Analytics-Arbeitsbereich verschieben, können Unternehmen benutzerdefinierte Warnungen erstellen.

Der folgende Abschnitt enthält Beispiele für benutzerdefinierte Warnungen, die Kundinnen und Kunden erstellen können, indem sie Microsoft Entra ID Governance in Azure Monitor integrieren. Mit Azure Monitor können Unternehmen festlegen, welche Warnungen generiert werden, wer die Warnungen erhält und wie sie empfangen werden (E-Mail, SMS, Helpdeskticket usw.).

Funktion Beispiel für Warnung
Zugriffsüberprüfungen Benachrichtigen Sie einen IT-Admin, wenn eine Zugriffsüberprüfung gelöscht wird.
Berechtigungsverwaltung Benachrichtigen Sie einen IT-Admin, wenn ein Benutzer oder eine Benutzerin direkt zu einer Gruppe hinzugefügt wird, ohne ein Zugriffspaket zu verwenden.
Berechtigungsverwaltung Benachrichtigen Sie einen IT-Admin, wenn eine neue verbundene Organisation hinzugefügt wird.
Berechtigungsverwaltung Benachrichtigen Sie einen IT-Admin, wenn eine benutzerdefinierte Erweiterung fehlschlägt.
Berechtigungsverwaltung Benachrichtigen Sie eine bzw. einen IT-Admin, wenn eine Richtlinie für die Zuweisung von Zugriffspaketen für die Berechtigungsverwaltung erstellt oder aktualisiert wird, ohne dass eine Genehmigung erforderlich ist.
Lebenszyklus-Workflows Benachrichtigen Sie einen IT-Admin, wenn ein bestimmter Workflow fehlschlägt.
Mandantenübergreifende Zusammenarbeit Benachrichtigen Sie einen IT-Admin, wenn die mandantenübergreifende Synchronisierung aktiviert wurde.
Mandantenübergreifende Zusammenarbeit Benachrichtigen Sie einen IT-Admin, wenn eine mandantenübergreifende Zugriffsrichtlinie aktiviert wurde.
Privileged Identity Management Benachrichtigen Sie einen IT-Admin, wenn PIM-Warnungen deaktiviert wurden.
Privileged Identity Management Benachrichtigen Sie einen IT-Administrator, wenn eine Rolle außerhalb von PIM gewährt wird.
Bereitstellung Benachrichtigen Sie einen IT-Admin, wenn während des letzten Tages ein Anstieg der Bereitstellungsfehler aufgetreten ist.
Bereitstellung Benachrichtigen Sie einen IT-Admin, wenn jemand eine Bereitstellungskonfiguration startet, beendet, deaktiviert, neu startet oder löscht.
Bereitstellung Benachrichtigen Sie einen IT-Administrator, wenn ein Bereitstellungsauftrag in Quarantäne geht.

Zugriffsüberprüfungen

Benachrichtigen Sie einen IT-Administrator, wenn eine Zugangsüberprüfung gelöscht wurde.

Abfrage

AuditLogs
| where ActivityDisplayName == "Delete access review"

Berechtigungsverwaltung

Benachrichtigen Sie einen IT-Administrator, wenn ein Benutzer direkt zu einer Gruppe hinzugefügt wird, ohne ein Zugangspaket zu verwenden.

Abfrage

AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"

Benachrichtigen Sie einen IT-Administrator, wenn eine neue verbundene Organisation erstellt wird. Benutzende aus dieser Organisation können jetzt den Zugriff auf Ressourcen anfordern, die allen verbundenen Organisationen zur Verfügung gestellt werden.

Abfrage

AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID 
| distinct TenantID

Benachrichtigen Sie einen IT-Administrator, wenn eine Benutzerdefinierte Erweiterung fehlgeschlagen ist.

Abfrage

AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources 
| extend  CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')

Benachrichtigen Sie einen IT-Administrator, wenn eine Richtlinie für die Zuweisung von Zugriffspaketen für die Berechtigungsverwaltung erstellt oder aktualisiert wird, ohne dass eine Genehmigung erforderlich ist.

Abfrage

AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))

Lebenszyklus-Workflows

Benachrichtigen Sie einen IT-Administrator, wenn ein bestimmter Lebenszyklus-Workflow fehlgeschlagen ist.

Abfrage

AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources 
| extend  WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value 
| extend DisplayName = AdditionalDetails[1].value 
| extend ObjectId = AdditionalDetails[2].value 
| extend UserCount = AdditionalDetails[3].value 
| extend Users = AdditionalDetails[4].value 
| extend RequestId = AdditionalDetails[5].value 
| extend InitiatedBy = InitiatedBy.app.displayName 
| extend Result = Result 
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName

Warnungslogik

  • Basierend auf: Anzahl der Ergebnisse
  • Operator: Gleichgestellt mit
  • Schwellenwert: 0

Mandantenübergreifende Zusammenarbeit

Benachrichtigen Sie einen IT-Administrator, wenn eine neue Mandanten-übergreifende Zugangsrichtlinie erstellt wird. Auf diese Weise kann Ihre Organisation erkennen, wann eine Beziehung mit einer neuen Organisation gebildet wurde.

Abfrage

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

Als Admin kann ich eine Benachrichtigung erhalten, wenn eine mandantenübergreifende Synchronisierungsrichtlinie auf „ true“ festgelegt ist. Auf diese Weise kann Ihre Organisation erkennen, wann eine Organisation berechtigt ist, Identitäten mit Ihrem Mandanten zu synchronisieren.

Abfrage

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

Warnungslogik

Privileged Identity Management

Benachrichtigen Sie einen IT-Administrator, wenn bestimmte PIM-Sicherheitswarnungen deaktiviert sind.

Abfrage

AuditLogs
| where ActivityDisplayName == "Disable PIM alert"

Warnung an IT-Admins, wenn Benutzende zu einer Rolle außerhalb von PIM hinzugefügt werden

Die folgende Abfrage basiert auf einer templateId. Eine Liste der Vorlagen-IDs finden Sie hier.

Abfrage

AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")

Bereitstellung

Benachrichtigen Sie einen IT-Admin, wenn im Laufe des letzten Tages ein Anstieg bei Bereitstellungsfehlern auftritt. Legen Sie bei der Konfiguration Ihrer Warnung in der Protokollanalyse die Granularität der Aggregration auf 1 Tag fest.

Abfrage

AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"

Warnungslogik

  • Basierend auf: Anzahl der Ergebnisse
  • Operator: Größer als
  • Schwellenwert: 10

Benachrichtigen Sie einen IT-Admin, wenn jemand eine Bereitstellungskonfiguration startet, beendet, deaktiviert, neu startet oder löscht.

Abfrage

AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')

Benachrichtigung eines IT-Administrators, wenn ein Bereitstellungsauftrag in die Quarantäne geht

Abfrage

AuditLogs
| where ActivityDisplayName == "Quarantine"

Nächste Schritte