重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,Microsoft Sentinel 的所有功能将在中国区域的 Azure 中正式停用。
Microsoft Entra ID 日志提供有关访问 Microsoft Entra 租户的用户、应用程序和网络的综合信息。 本文介绍可以使用 Microsoft Entra ID 数据连接器收集的日志类型、如何使连接器能够将数据发送到 Microsoft Sentinel,以及如何在 Microsoft Sentinel 中查找数据。
先决条件
需要Microsoft Entra Workload ID Premium 许可证才能将 AADRiskyServicePrincipals 和 AADServicePrincipalRiskEvents 日志流式传输到 Microsoft Sentinel。
将登录日志引入 Microsoft Sentinel 需要 Microsoft Entra ID P1 或 P2 许可证。 任何 Microsoft Entra ID 许可证(免费/O365/P1 或 P2)均足以引入其他日志类型。 其他按千兆字节计费的费用可能适用于 Azure Monitor(Log Analytics)和 Microsoft Sentinel。
必须为你的用户分配工作区的 Microsoft Sentinel 参与者角色。
用户必须在你要从中流式传输日志的租户上拥有安全管理员角色,或拥有同等的权限。
用户必须具有对 Microsoft Entra 诊断设置进行读取和写入的权限,才能查看连接状态。
Microsoft Entra ID 数据连接器数据类型
下表列出了可以使用 Microsoft Entra ID 数据连接器从 Microsoft Entra ID 发送到 Microsoft Sentinel 的日志。 Microsoft Sentinel 将这些日志存储在链接到 Microsoft Sentinel 工作区的 Log Analytics 工作区中。
| 日志类型 | 说明 | 日志架构 |
|---|---|---|
| 审核日志 | 与用户和组管理、托管应用程序和目录活动相关的系统活动。 | AuditLogs |
| 登录日志 | 用户提供身份验证因素的交互式用户登录。 | SigninLogs |
| 非交互式用户登录日志 | 在没有用户交互或身份验证因素的情况下,由客户端代表用户执行的登录。 | AAD非互动用户登录日志 |
| 服务主体登录日志 | 不涉及任何用户的应用和服务主体的登录。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。 | AADServicePrincipalSignInLogs |
| 托管身份登录日志 | 机密由 Azure 托管的 Azure 资源的登录。 有关详细信息,请参阅 什么是 Azure 资源的托管标识?。 | AADManagedIdentitySignInLogs |
| 用户风险事件 | Microsoft Entra ID Protection 生成的用户风险事件。 | AADUserRiskEvents |
| 有风险的用户 | 在 Microsoft Entra ID Protection 中记录的风险用户。 | AADRiskyUsers |
| 有风险的服务主体 | 有关Microsoft Entra ID 保护标记为有风险的服务主体的信息。 | AADRiskyServicePrincipals |
| 服务主体风险事件 | 与 Microsoft Entra ID 保护记录的服务主体关联的风险检测。 | AADServicePrincipalRiskEvents |
重要
某些可用的日志类型目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的其他法律条款,请参阅 Azure 预览版的补充使用条款。
启用 Microsoft Entra ID 数据连接器
搜索并启用 Microsoft Entra ID 连接器,如 “启用数据连接器”中所述。
安装 Microsoft Entra ID 解决方案(可选)
在 Microsoft Sentinel 的内容中心中,为 Microsoft Entra ID 安装解决方案,以获取预生成的工作簿、分析规则、操作手册等。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
后续步骤
本文档介绍了如何将 Microsoft Entra ID 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: