在 Microsoft Entra ID 中监视联合身份验证配置的更改
将本地环境与 Microsoft Entra ID 联合时,会在本地标识提供者与Microsoft Entra ID 之间建立信任关系。
由于这种已建立的信任,Microsoft Entra ID 将支持本地标识提供者在身份验证后发布的安全令牌,以授予对受 Microsoft Entra ID 保护的资源的访问权限。
因此,必须密切监视此信任(联合身份验证配置),并捕获任何异常或可疑活动。
若要监视信任关系,建议设置警报,以在联合身份验证配置更改时收到通知。
设置警报以监视信任关系
按照以下步骤设置警报以监视信任关系:
- 配置 Microsoft Entra 审核日志以流向 Azure Log Analytics 工作区。
- 创建基于 Microsoft Entra ID 日志查询触发的警报规则。
- 将操作组添加到警报规则,以在符合警报条件时收到通知。
配置环境后,数据流如下所示:
Microsoft Entra 日志根据租户中的活动进行填充。
日志信息将流向 Azure Log Analytics 工作区。
Azure Monitor 中的后台作业根据上述配置步骤 (2) 中的警报规则配置执行日志查询。
AuditLogs | extend TargetResource = parse_json(TargetResources) | where ActivityDisplayName contains "Set federation settings on domain" or ActivityDisplayName contains "Set domain authentication" | project TimeGenerated, SourceSystem, TargetResource[0].displayName, AADTenantId, OperationName, InitiatedBy, Result, ActivityDisplayName, ActivityDateTime, Type
如果查询结果与警报逻辑相符(即结果数大于或等于 1),则操作组将启动。 假设它已启动,则步骤 5 中流继续。
通知将发送到配置警报时选择的操作组。
注意
除了设置警报外,建议定期查看 Microsoft Entra 租户中配置的域,并删除所有过时、无法识别或可疑的域。