Özel uyarıları Microsoft Entra Kimlik Yönetimi
Microsoft Entra Kimlik Yönetimi, kuruluşunuzdaki kişileri eyleme geçmeleri gerektiğinde (örn. bir kaynağa erişim isteğini onaylama) veya bir iş süreci düzgün çalışmadığında (örneğin, yeni işe alımlar sağlanmıyor) kolayca uyarabilirsiniz.
Aşağıdaki tabloda, Microsoft Entra Id Governance tarafından sunulan bazı standart bildirimler özetlenmiştir. Bu, bir kuruluştaki hedef kişiyi, nasıl uyarıldıklarını ve ne zaman uyarıldıklarını içerir.
Mevcut standart bildirimlerin örneği
| Kişilik | Uyarı yöntemi | Güncellik | Örnek uyarı |
|---|---|---|---|
| Son kullanıcı | Teams | Dakika | Bu erişim isteğini onaylamanız veya reddetmeniz gerekir; İstediğiniz erişim onaylandı, gidin yeni uygulamanızı kullanın. Daha fazla bilgi edinin |
| Son kullanıcı | Teams | Gün | İstediğiniz erişimin süresi gelecek hafta dolacak, lütfen yenileyin.Daha fazla bilgi edinin |
| Son kullanıcı | E-posta | Gün | Woodgrove'a hoş geldiniz. Daha fazla bilgi edinin. |
| Yardım masası | ServiceNow | Dakika | Kullanıcının eski bir uygulamada el ile sağlanması gerekir. Daha fazla bilgi edinin |
| BT işlemleri | E-posta | Saat | Yeni işe alınan çalışanlar Workday'den içeri aktarılamıyor. Daha fazla bilgi edinin |
Özel uyarı bildirimleri
kuruluşlar, Microsoft Entra Kimlik Yönetimi tarafından sağlanan standart bildirimlere ek olarak ihtiyaçlarını karşılamak için özel uyarılar oluşturabilir.
Microsoft Entra Kimlik Yönetimi hizmetleri tarafından gerçekleştirilen tüm etkinlikler Microsoft Entra Denetim Günlüklerine kaydedilir. Kuruluşlar, günlükleribir Azure İzleyici
Aşağıdaki bölümde, müşterilerin Microsoft Entra Kimlik Yönetimi Azure İzleyici ile tümleştirerek oluşturabileceği özel uyarı örnekleri verilmiştir. Kuruluşlar Azure İzleyici'yi kullanarak hangi uyarıların oluşturulduğunu, uyarıları kimin aldığını ve uyarıyı nasıl aldıklarını (e-posta, SMS, yardım masası bileti vb.) özelleştirebilir.
| Özellik | Örnek uyarı |
|---|---|
| Erişim Gözden Geçirmeleri | Erişim gözden geçirmesi silindiğinde BT yöneticisini uyarın. |
| Yetkilendirme yönetimi | Erişim paketi kullanmadan bir kullanıcı doğrudan bir gruba eklendiğinde BT yöneticisini uyarın. |
| Yetkilendirme yönetimi | Yeni bir bağlı kuruluş eklendiğinde BT yöneticisini uyarın. |
| Yetkilendirme yönetimi | Özel uzantı başarısız olduğunda BT yöneticisini uyarın. |
| Yetkilendirme yönetimi | Yetkilendirme yönetimi erişim paketi atama ilkesi oluşturulduğunda veya onay gerektirmeden güncelleştirildiğinde BT yöneticisini uyarın. |
| Yaşam döngüsü iş akışları | Belirli bir iş akışı başarısız olduğunda BT yöneticisini uyarın. |
| Çok kiracılı işbirliği | Kiracılar arası eşitleme etkinleştirildiğinde BT yöneticisini uyarma |
| Çok kiracılı işbirliği | Kiracılar arası erişim ilkesi etkinleştirildiğinde BT yöneticisini uyarma |
| Privileged Identity Management | PIM uyarıları devre dışı bırakıldığında BT yöneticisini uyarın. |
| Privileged Identity Management | PIM dışında bir rol verildiğinde BT yöneticisini uyarın. |
| Hazırlanıyor | Son bir gün içinde sağlama hatalarında ani bir artış olduğunda BT yöneticisini uyarın. |
| Hazırlanıyor | Birisi bir sağlama yapılandırmasını başlattığında, durdurduğunda, devre dışı bıraktığında, yeniden başlattığında veya sildiğinde BT yöneticisini uyarın. |
| Hazırlanıyor | Sağlama işi karantinaya alınırken BT yöneticisini uyarın. |
Erişim gözden geçirmeleri
Erişim gözden geçirmesi silindiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName == "Delete access review"
Yetkilendirme yönetimi
Erişim paketi kullanmadan bir kullanıcı doğrudan bir gruba eklendiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Yeni bir bağlı kuruluş oluşturulduğunda BT yöneticisini uyarın. Bu kuruluştan kullanıcılar artık tüm bağlı kuruluşların kullanımına sunulan kaynaklara erişim isteyebilir.
Sorgu
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Yetkilendirme yönetimi özel uzantısı başarısız olduğunda BT yöneticisini uyarın .
Sorgu
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Yetkilendirme yönetimi erişim paketi atama ilkesi oluşturulduğunda veya onay gerektirmeden güncelleştirildiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Yaşam döngüsü iş akışları
Belirli bir yaşam döngüsü iş akışı başarısız olduğunda BT yöneticisini uyarın.
Sorgu
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Uyarı mantığı
- Temel: Sonuç sayısı
- İşleç: Eşittir
- Eşik: 0
Çok kiracılı işbirliği
Yeni bir kiracılar arası erişim ilkesi oluşturulduğunda BT yöneticisini uyarın. Bu, kuruluşunuzun yeni bir kuruluşla bir ilişkinin ne zaman oluşturulduğunu algılamasını sağlar.
Sorgu
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
Yönetici olarak, gelen kiracılar arası eşitleme ilkesi true olarak ayarlandığında bir uyarı alabilirim. Bu, kuruluşunuzun bir kuruluşun kiracınızla kimlikleri eşitleme yetkisinin ne zaman olduğunu algılamasına olanak tanır.
Sorgu
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Uyarı mantığı
Privileged Identity Management
Belirli PIM güvenlik uyarıları devre dışı bırakıldığında BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Kullanıcı PIM dışındaki bir role eklendiğinde BT yöneticisini uyarma
Aşağıdaki sorgu bir templateId'yi temel alır. Şablon kimliklerinin listesini burada bulabilirsiniz.
Sorgu
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Hazırlanıyor
Son bir gün içinde sağlama hatalarında ani bir artış olduğunda BT yöneticisini uyarın. Uyarınızı Log Analytics'te yapılandırırken toplama ayrıntı düzeyini 1 gün olarak ayarlayın.
Sorgu
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Uyarı Mantığı
- Temel: Sonuç sayısı
- İşleç: Büyüktür
- Eşik değeri: 10
Birisi bir sağlama yapılandırmasını başlattığında, durdurduğunda, devre dışı bıraktığında, yeniden başlattığında veya sildiğinde BT yöneticisini uyarın.
Sorgu
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Sağlama işi karantinaya alınırken BT yöneticisini uyarma
Sorgu
AuditLogs
| where ActivityDisplayName == "Quarantine"
Sonraki Adımlar
- Azure İzleyici log analytics ile Microsoft Entra günlük etkinliklerini analiz etme
- Azure İzleyici günlüklerindeki sorguları kullanmaya başlama
- Azure portalında uyarı grupları oluşturma ve yönetme
- Microsoft Entra ID için log analytics görünümlerini yükleme ve kullanma
- Azure İzleyici'de yetkilendirme yönetimiyle ilgili günlükleri arşivle ve raporlama