当租户中出现新的服务主体时,你可能想要了解为什么创建了它以及由谁或什么启动了该过程。
新的审核日志属性ServicePrincipalProvisioningType,SubscribedSkus并AppOwnerOrganizationId帮助你快速确定服务主体是由Microsoft预配的、由用户创建还是由外部应用程序添加。 以下步骤演示如何访问 Microsoft Entra 管理中心中的这些属性,以在调查中使用它们。 还可以利用Microsoft图形 API 和 Log Analytics 来访问这些新属性。
先决条件
若要在 Microsoft Entra 审核日志中查看和使用这些属性,需要:
- 访问 Microsoft Entra 管理中心。
- 以下角色之一(或具有等效权限的角色): 安全管理员、 安全读取者或 报表读取者。
- 为租户启用审核日志记录。 有关详细信息,请参阅 Microsoft Entra 审核日志概述。
查看审核日志属性以了解服务主体详细信息
若要查看Microsoft Entra 管理中心中的审核日志属性,请执行以下作:
- 登录到 Microsoft Entra 管理中心。
- 浏览到 监视和运行状况>审核日志。
- 将 Category 设置为 ApplicationManagement 并应用筛选器。
- 筛选 活动 到 添加服务主体 并应用该筛选器。
- 选择一个事件并展开其他详细信息。 查找这些属性
ServicePrincipalProvisioningType,SubscribedSkus以及AppOwnerOrganizationId。
如果将审核日志发送到 Log Analytics、Microsoft Sentinel 或其他目标,则 AdditionalDetails JSON 下的 AuditLogs 表中提供相同的属性。 解析查询中的这些字段,以根据预配类型、SKU 或拥有租户对事件进行分组。
调查新的服务主体
在新的属性在您的租户中可用后,您可以使用它们在 Log Analytics 和 Microsoft Sentinel 中简化对新服务主体的调查。
-
ServicePrincipalProvisioningType首先,将Microsoft驱动的预配与租户中的直接用户或应用活动区分开来。 - 如果值为订阅,请查看
SubscribedSkus租户中的哪些订阅或服务计划使 Microsoft 服务主体有资格进行按需预配。 - 用
AppOwnerOrganizationId来了解应用是驻留在您的租户、Microsoft服务租户,还是其他外部租户中。 - 将这些字段与现有的审核日志属性(例如
initiatedBy和targetResources)结合,以全面了解谁或什么创建了服务主体,无需依赖额外的 API 调用。
注释
该 AppOwnerOrganizationId 属性将仅在事件中存在作为支持的应用程序对象时显示。 在 SubscribedSkus 属性仅会显示于 ServicePrincipalProvisioningType = Subscription 事件发生时。
这些增强功能旨在让你更轻松地解释服务主体创建事件、快速了解不同值的含义,并将这些信息插入你自己的警报和治理工作流。 这些警报可以根据租户安全首选项将服务主体创建事件分类为“预期”,而不是“意外”。