跨租户访问活动工作簿

作为 IT 管理员，你需要深入了解用户如何与其他组织协作。 跨租户访问活动工作簿可帮助你了解哪些外部用户在访问组织中的资源，以及用户在访问哪些组织的资源。 此工作簿将组织的所有入站和出站协作合并成单个视图。

本文概述了“跨租户访问活动”工作簿。

先决条件

若要将 Azure 工作簿用于 Microsoft Entra ID，需要：

• 使用 Premium P1 许可证的 Microsoft Entra 租户
• 一个 Log Analytics 工作区和对该工作区的访问权限
• Azure Monitor 和 Microsoft Entra ID 的相应角色

Log Analytics 工作区

必须先创建 Log Analytics 工作区，然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息，请参阅管理对 Log Analytics 工作区的访问权限。

Azure Monitor 角色

Azure Monitor 提供两个内置角色，用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。

• 视图：

  • 监视查阅者
  • Log Analytics 读者

• 查看和修改设置：

  • 监视参与者
  • Log Analytics 参与者

Microsoft Entra 角色

只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能，以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。

• “读取”：

  • 报告读者
  • 安全读取者
  • 全局读取者

• 更新：

  • 安全管理员

有关 Microsoft Entra 内置角色的详细信息，请参阅 Microsoft Entra 内置角色。

有关 Log Analytics RBAC 角色的详细信息，请参阅 Azure 内置角色。

说明

对用于管理跨租户访问的策略进行更改的租户管理员可以使用此工作簿来可视化并审阅现有访问活动模式，然后再更改策略。 例如，你可以识别用户在外部组织中访问的应用，这样就不会无意中阻止关键业务流程。 了解外部用户如何访问租户中的资源（入站访问）以及租户中的用户如何访问外部租户中的资源（出站访问）有助于确保你实施正确的跨租户策略。

有关详细信息，请参阅 Microsoft Entra 外部 ID 文档。

如何访问工作簿

1. 使用适当的角色组合登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“工作簿”。

3. 从“使用情况”部分选择“跨租户访问活动”工作簿。

工作簿的各个部分

此工作簿包含四个部分：

• 按租户 ID 划分的所有入站和出站活动

• 按租户 ID 划分的用于入站和出站协作的登录状态摘要

• 按租户 ID 访问的用于入站和出站协作的应用程序

• 按租户 ID 划分的负责入站和出站协作的各个用户

工作簿顶部显示了与你的租户有过跨租户访问活动的外部租户的总数。

“外部租户”列表显示了所有与你的租户有过入站或出站活动的租户。 在表中选择外部租户时，表后面的部分会显示该租户的出站和入站活动的相关信息。

从具有出站活动的列表中选择外部租户时，关联的详细信息将显示在“出站活动”表中。 这同样适用于选择具有入站活动的外部租户。 选择“入站活动”选项卡，以查看具有入站活动的外部租户的详细信息。

查看具有出站活动的外部租户时，后续两个表将显示应用程序和用户活动的详细信息。 查看具有入站活动的外部租户时，同样会有两个表显示入站应用程序和用户活动。 这些表是动态变化的，并且基于之前选择的内容，因此请确保查看正确的租户和活动。

筛选器

此工作簿支持多个筛选器：

• 时间范围（最多 90 天）

• 外部租户 ID

• 用户主体名称

• 应用程序

• 登录状态（成功或失败）

最佳做法

使用此工作簿可执行以下操作：

• 获取有效管理跨租户访问设置所需的信息，而不会破坏合法协作

• 识别来自外部 Microsoft Entra 组织的所有入站登录

• 识别用户到外部 Microsoft Entra 组织的所有出站登录