在 Microsoft Entra ID 中监视联合身份验证配置的更改

将本地环境与 Microsoft Entra ID 联合时，会在本地标识提供者与Microsoft Entra ID 之间建立信任关系。

由于这种已建立的信任，Microsoft Entra ID 将支持本地标识提供者在身份验证后发布的安全令牌，以授予对受 Microsoft Entra ID 保护的资源的访问权限。

因此，必须密切监视此信任（联合身份验证配置），并捕获任何异常或可疑活动。

若要监视信任关系，建议设置警报，以在联合身份验证配置更改时收到通知。

设置警报以监视信任关系

按照以下步骤设置警报以监视信任关系：

1. 配置 Microsoft Entra 审核日志以流向 Azure Log Analytics 工作区。
2. 创建基于 Microsoft Entra ID 日志查询触发的警报规则。
3. 将操作组添加到警报规则，以在符合警报条件时收到通知。

配置环境后，数据流如下所示：

1. Microsoft Entra 日志根据租户中的活动进行填充。

2. 日志信息将流向 Azure Log Analytics 工作区。

3. Azure Monitor 中的后台作业根据上述配置步骤 (2) 中的警报规则配置执行日志查询。

    AuditLogs 
    |  extend TargetResource = parse_json(TargetResources) 
    | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" 
    | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type 
   

4. 如果查询结果与警报逻辑相符（即结果数大于或等于 1），则操作组将启动。 假设它已启动，则步骤 5 中流继续。

5. 通知将发送到配置警报时选择的操作组。

后续步骤

• 将 Microsoft Entra 日志与 Azure Monitor 日志集成
• 使用 Azure Monitor 创建、查看和管理日志警报
• 使用 Microsoft Entra Connect 管理 AD FS 与 Microsoft Entra ID 之间的信任
• 有关保护 Active Directory 联合身份验证服务的最佳做法