Azure Active Directory Identity Governance のカスタム アラート
Azure Active Directory Identity Governance を使うと、組織内のユーザーがアクションを実行する必要があるとき (たとえば、リソースへのアクセス要求を承認する)、またはビジネス プロセスが正常に機能していないとき (たとえば、新規採用者がプロビジョニングされていない場合) に、ユーザーに簡単にアラートを送ることができます。
次の表は、Azure AD Identity Governance が提供する標準的な通知の一部、組織内のターゲット ペルソナ、アラートの想定される送信先、アラートを受け取る速さを示したものです。
既存の標準通知のサンプル
| ペルソナ | アラート方法 | 適時性 | アラートの例 |
|---|---|---|---|
| エンド ユーザー | Teams | 分間 | このアクセス要求を承認または拒否する必要があります。 要求したアクセスが承認されました。新しいアプリを使用してください 詳細情報 |
| エンド ユーザー | Teams | 日 | 要求したアクセスは来週期限切れになります。更新してください。詳細情報 |
| エンド ユーザー | メール | 日 | Woodgrove へようこそ、こちらがあなたの一時的なアクセス パスです。 詳細情報。 |
| ヘルプ デスク | ServiceNow | 分間 | ユーザーをレガシ アプリケーションに手動でプロビジョニングする必要があります。 詳細情報 |
| IT 運用 | メール | 時間 | 新しく採用された従業員が Workday からインポートされません。 詳細情報 |
カスタム アラート通知
Azure AD Identity Governance によって提供される標準通知に加えて、組織はニーズに合わせてカスタム アラートを作成できます。
Azure AD Identity Governance サービスによって実行されるすべてのアクティビティは、Microsoft Entra の監査ログに記録されます。 組織は、Log Analytics ワークスペースにログをプッシュして、カスタム アラートを作成できます。
次のセクションでは、ユーザーが Azure AD Identity Governance と Azure Monitor を統合して作成できるカスタム アラートの例を示します。 Azure Monitor を使用すると、組織は生成されるアラート、アラートの受信者、アラートの受信方法 (電子メール、SMS、ヘルプ デスク チケット など) をカスタマイズできます。
| 機能 | アラートの例 |
|---|---|
| アクセス レビュー | アクセス レビューが削除されたときに、IT 管理者に警告します。 |
| エンタイトルメント管理 | アクセス パッケージを使用せずにユーザーがグループに直接追加されたときに、IT 管理者に警告します。 |
| エンタイトルメント管理 | 新しい接続されている組織が追加されたときに、IT 管理者に警告します。 |
| エンタイトルメント管理 | カスタム拡張機能が失敗したときに、IT 管理者に警告します。 |
| エンタイトルメント管理 | エンタイトルメント管理アクセス パッケージ割り当てポリシーが 承認を必要とせずに作成または更新された場合に、IT 管理者に警告します。 |
| ライフサイクル ワークフロー | 特定のワークフローが失敗したときに、IT 管理者に警告します。 |
| マルチテナント コラボレーション | テナント間同期が有効にされたときに、IT 管理者に警告します |
| マルチテナント コラボレーション | テナント間アクセス ポリシーが有効にされたときに、IT 管理者に警告します |
| Privileged Identity Management | PIM アラートが無効にされたときに、IT 管理者に警告します。 |
| Privileged Identity Management | PIM の外部でロールが付与されたときに IT 管理者に警告します。 |
| プロビジョニング | 過去1日にわたってプロビジョニングの失敗が急増したときに、IT 管理者に警告します。 |
| プロビジョニング | 誰かがプロビジョニング構成を開始、停止、無効化、再起動、または削除したときに、IT 管理者に警告します。 |
| プロビジョニング | プロビジョニング ジョブが検疫状態になったときに IT 管理者に警告します。 |
アクセス レビュー
アクセス レビューが削除されたときに IT 管理者に警告します。
クエリ
AuditLogs
| where ActivityDisplayName == "Delete access review"
エンタイトルメント管理
アクセス パッケージを使用せずにユーザーがグループに直接追加されたときに、IT 管理者に警告します。
クエリ
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
新しい接続された組織が作成されたときに IT 管理者に警告します。 この組織のユーザーは、すべての接続されている組織で利用できるリソースへのアクセスを要求できるようになります。
クエリ
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
エンタイトルメント管理の カスタム拡張機能 が失敗した場合に IT 管理者に警告します。
クエリ
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
エンタイトルメント管理アクセス パッケージ割り当てポリシーが 承認を必要とせずに作成または更新された場合に、IT 管理者に警告します。
クエリ
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
ライフサイクル ワークフロー
特定の ライフサイクル ワークフロー が失敗した場合に IT 管理者に警告します。
クエリ
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
アラート ロジック
- ベース: 結果の数
- 演算子: 等しい
- しきい値: 0
マルチテナント コラボレーション
新しいテナント間アクセス ポリシーが作成されたときに IT 管理者に警告します。 これにより、組織は、新しい組織との関係が形成されたことを検出できます。
クエリ
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
管理者は、インバウンド テナント間同期ポリシーが "true" に設定されている場合にアラートを受け取ることができます。 これにより、組織は、組織がテナントへの ID の同期を承認されたことを検出できます。
クエリ
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
アラート ロジック
Privileged Identity Management
特定の PIM セキュリティ アラート が無効になった場合は、IT 管理者に警告します。
クエリ
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
PIM の外部のロールにユーザーが追加されたときに IT 管理者に警告する
以下のクエリは templateId に基づいています。 テンプレート ID の一覧はこちらで確認できます。
クエリ
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
プロビジョニング
過去1日にわたってプロビジョニングの失敗が急増したときに、IT 管理者に警告します。 ログ分析でアラートを構成する場合は、集計の粒度を 1 日に設定します。
クエリ
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
アラート ロジック
- ベース: 結果の数
- 演算子:より大きい
- しきい値: 10
誰かがプロビジョニング構成を開始、停止、無効化、再起動、または削除したときに、IT 管理者に警告します。
クエリ
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
プロビジョニングジョブが 検疫状態になったときにIT管理者に警告する
クエリ
AuditLogs
| where ActivityDisplayName == "Quarantine"
次のステップ