在 Microsoft Entra ID 中监视联合身份验证配置的更改

将本地环境与 Microsoft Entra ID 联合时,会在本地标识提供者与Microsoft Entra ID 之间建立信任关系。

由于这种已建立的信任,Microsoft Entra ID 将支持本地标识提供者在身份验证后发布的安全令牌,以授予对受 Microsoft Entra ID 保护的资源的访问权限。

因此,必须密切监视此信任(联合身份验证配置),并捕获任何异常或可疑活动。

若要监视信任关系,建议设置警报,以在联合身份验证配置更改时收到通知。

设置警报以监视信任关系

按照以下步骤设置警报以监视信任关系:

  1. 配置 Microsoft Entra 审核日志以流向 Azure Log Analytics 工作区。
  2. 创建基于 Microsoft Entra ID 日志查询触发的警报规则
  3. 将操作组添加到警报规则,以在符合警报条件时收到通知。

配置环境后,数据流如下所示:

  1. Microsoft Entra 日志根据租户中的活动进行填充。

  2. 日志信息将流向 Azure Log Analytics 工作区。

  3. Azure Monitor 中的后台作业根据上述配置步骤 (2) 中的警报规则配置执行日志查询。

     AuditLogs 
     |  extend TargetResource = parse_json(TargetResources) 
     | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
     | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
    
  4. 如果查询结果与警报逻辑相符(即结果数大于或等于 1),则操作组将启动。 假设它已启动,则步骤 5 中流继续。

  5. 通知将发送到配置警报时选择的操作组。

注意

除了设置警报外,建议定期查看 Microsoft Entra 租户中配置的域,并删除所有过时、无法识别或可疑的域。

后续步骤