Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".
Используйте Azure Monitor для маршрутизации журналов входа и аудита Azure Active Directory B2C (Azure AD B2C) в различные решения мониторинга. Журналы можно сохранить для долгосрочного использования или интегрировать с сторонними средствами управления сведениями о безопасности и событиями (SIEM), чтобы получить аналитические сведения о вашей среде.
Вы можете перенаправить события журнала в следующее:
- Учетная запись хранения Azure.
- Рабочая область Log Analytics (для анализа данных, создания панелей мониторинга и оповещений о конкретных событиях).
- Azure Концентратор событий (и его интеграция с вашими экземплярами Splunk и Sumo Logic).
При планировании передачи журналов Azure AD B2C в различные решения мониторинга или репозиторий следует учитывать, что журналы Azure AD B2C содержат персональные данные. При обработке таких данных убедитесь, что вы используете соответствующие меры безопасности в отношении персональных данных. Они включают защиту от несанкционированной или незаконной обработки с использованием соответствующих технических или организационных мер.
Из этой статьи вы узнаете, как перенести журналы в рабочую область Azure Log Analytics. Затем можно создать панель мониторинга или создать оповещения, основанные на действиях пользователей Azure AD B2C.
Просмотрите это видео, чтобы узнать, как настроить мониторинг Azure AD B2C с помощью Azure Monitor.
Общие сведения о развертывании
Azure AD B2C использует мониторинг Microsoft Entra. В отличие от клиентов Microsoft Entra, у клиента Azure AD B2C не может быть связанная подписка. Поэтому необходимо предпринять дополнительные шаги, чтобы обеспечить интеграцию между Azure AD B2C и Log Analytics, где мы отправляем журналы. Чтобы включить параметры диагностики в идентификаторе Microsoft Entra в клиенте Azure AD B2C, используйте Azure Lighthouse для делегирования ресурса, который позволяет Azure AD B2C ( поставщик услуг) управлять ресурсом Microsoft Entra ID ( клиент).
Подсказка
Azure Lighthouse обычно применяется для управления ресурсами для нескольких клиентов. Однако она также может использоваться для управления ресурсами в пределах предприятия с несколькими клиентами Microsoft Entra, что является тем, что мы делаем здесь, за исключением того, что мы делегируем управление одной группой ресурсов.
После выполнения действий, описанных в этой статье, вы создадите новую группу ресурсов (здесь называется azure-ad-b2c-monitor) и получите доступ к той же группе ресурсов, содержащей рабочую область Log Analytics на портале Azure AD B2C . Вы также сможете перенести журналы из Azure AD B2C в рабочую область Log Analytics.
Во время этого развертывания вы авторизуете пользователя или группу в каталоге Azure AD B2C, чтобы настроить экземпляр рабочей области Log Analytics в клиенте, который содержит подписку Azure. Чтобы создать авторизацию, разверните шаблон Azure Resource Manager в подписке, которая содержит рабочую область Log Analytics.
На следующей схеме показаны компоненты, которые вы настроите в клиентах Microsoft Entra ID и Azure AD B2C.
Во время этого развертывания вы настроите клиент Azure AD B2C, где создаются журналы. Вы также настроите клиент Microsoft Entra, где будет размещена рабочая область Log Analytics. Учетные записи Azure AD B2C, используемые (например, учетная запись администратора), должны быть назначены роли глобального администратора в клиенте Azure AD B2C. Учетная запись Microsoft Entra, которую вы используете для запуска развертывания, должна иметь роль владельца в подписке Microsoft Entra. Также важно следить за тем, чтобы вы были авторизованы в правильной директории на протяжении выполнения каждого шага, как описано.
В итоге вы будете использовать Azure Lighthouse, чтобы разрешить пользователю или группе в клиенте Azure AD B2C управлять группой ресурсов в подписке, связанной с другим клиентом (клиент Microsoft Entra). После завершения этой авторизации можно выбрать подписку и рабочую область Log Analytics в качестве целевых объектов в параметрах диагностики в Azure AD B2C.
Предпосылки
Учетная запись Azure AD B2C с ролью глобального администратора в клиенте Azure AD B2C.
Учетная запись Microsoft Entra с ролью владельца в подписке Microsoft Entra. Узнайте, как назначить пользователя администратором подписки Azure.
1. Создание или выбор группы ресурсов
Сначала создайте или выберите группу ресурсов, содержащую целевую рабочую область Log Analytics, которая будет получать данные из Azure AD B2C. Имя группы ресурсов указывается при развертывании шаблона Azure Resource Manager.
- Войдите на портал Azure.
- Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
- Создайте группу ресурсов или выберите существующую. В этом примере используется группа ресурсов с именем azure-ad-b2c-monitor.
2. Создание рабочей области Log Analytics
Рабочая область Log Analytics — это уникальная среда для данных журналов Azure Monitor. Вы будете использовать эту рабочую область Log Analytics для сбора данных из журналов аудита Azure AD B2C, а затем визуализировать их с помощью запросов и рабочих книг или создать оповещения.
- Войдите на портал Azure.
- Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
- Создание рабочей области Log Analytics. В этом примере используется рабочая область Log Analytics с именем AzureAdB2C в группе ресурсов с именем azure-ad-b2c-monitor.
3. Делегирование управления ресурсами
На этом шаге вы выбираете клиент Azure AD B2C в качестве поставщика услуг. Вы также определяете разрешения, необходимые для назначения соответствующих встроенных ролей Azure группам в клиенте Microsoft Entra.
3.1 Получение идентификатора клиента Azure AD B2C
Сначала получите идентификатор клиента каталога Azure AD B2C (также известный как идентификатор каталога).
- Войдите на портал Azure.
- Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
- Выберите идентификатор Microsoft Entra, выберите "Обзор".
- Запишите идентификатор клиента.
3.2 Выбор группы безопасности
Теперь выберите группу или пользователя Azure AD B2C, которой требуется предоставить разрешение на группу ресурсов, созданную ранее в каталоге, содержащей подписку.
Чтобы упростить управление, рекомендуется использовать группы пользователей Microsoft Entra для каждой роли, позволяя добавлять или удалять отдельных пользователей в группу, а не назначать разрешения непосредственно этому пользователю. В этом пошаговом руководстве мы добавим группу безопасности.
Это важно
Чтобы добавить разрешения для группы Microsoft Entra, тип группы должен иметь значение Security. Этот вариант автоматически выбирается при создании группы. Дополнительные сведения см. в статье "Создание базовой группы" и добавление участников с помощью идентификатора Microsoft Entra.
- Если идентификатор Microsoft Entra по-прежнему выбран в каталоге Azure AD B2C , выберите группы и выберите группу. Если существующей группы нет, создайте группу безопасности, а затем добавьте участников. Дополнительные сведения см. в процедуре создания базовой группы и добавления участников с помощью идентификатора Microsoft Entra.
- Выберите "Обзор" и запишите идентификатор объекта группы.
3.3. Создание шаблона Azure Resource Manager
Чтобы создать настраиваемую авторизацию и делегирование в Azure Lighthouse, мы используем шаблон Azure Resource Manager. Этот шаблон предоставляет Azure AD B2C доступ к группе ресурсов Microsoft Entra, созданной ранее, например azure-ad-b2c-monitor. Разверните шаблон из примера GitHub с помощью кнопки "Развернуть в Azure ", которая открывает портал Azure и позволяет настроить и развернуть шаблон непосредственно на портале. Для этих действий убедитесь, что вы вошли в клиент Microsoft Entra (а не клиент Azure AD B2C).
Войдите на портал Azure.
Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
Нажмите кнопку "Развернуть в Azure ", чтобы открыть портал Azure и развернуть шаблон непосредственно на портале. Дополнительные сведения см. в разделе Создание шаблона Azure Resource Manager.
На странице Настраиваемое развертывание введите следующую информацию:
Поле Определение Подписка Выберите каталог, содержащий подписку Azure, в которой была создана группа ресурсов azure-ad-b2c-monitor . Регион Выберите регион, в котором будет развернут ресурс. Название предложения Msp Имя, описывающее это определение. Например, Мониторинг Azure AD B2C. Это имя, которое будет отображаться в Azure Lighthouse. Имя предложения MSP должно быть уникальным в идентификаторе Microsoft Entra. Чтобы отслеживать несколько клиентов Azure AD B2C, используйте разные имена. Описание предложения Msp Краткое описание вашего предложения. Например, включает Azure Monitor в Azure AD B2C. Управляется идентификатором арендатора Идентификатор клиента Azure AD B2C (также известный как идентификатор каталога). Авторизации Укажите массив объектов JSON, включающих идентификатор Microsoft Entra ID principalIdprincipalIdDisplayNameи AzureroleDefinitionId. ЭтоprincipalIdидентификатор объекта группы B2C или пользователя, который будет иметь доступ к ресурсам в этой подписке Azure. В этом пошаговом руководстве укажите идентификатор объекта группы, записанный ранее. ДляroleDefinitionIdиспользуйте встроенное значение роли для роли участникаb24988ac-6180-42a0-ab88-20f7382dd24c.Название группы ресурсов Имя группы ресурсов, создаваемой ранее в клиенте Microsoft Entra. Например, azure-ad-b2c-monitor. В следующем примере показан массив авторизаций с одной группой безопасности.
[ { "principalId": "<Replace with group's OBJECT ID>", "principalIdDisplayName": "Azure AD B2C tenant administrators", "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c" } ]
После развертывания шаблона для завершения проецирования ресурсов может потребоваться несколько минут (обычно не более пяти). Вы можете проверить развертывание в клиенте Microsoft Entra и получить сведения о проекции ресурсов. Дополнительные сведения см. в разделе "Просмотр поставщиков услуг и управление ими".
4. Выберите подписку
После развертывания шаблона и ожидания выполнения проекции ресурсов выполните следующие действия, чтобы связать подписку с каталогом Azure AD B2C.
Замечание
На странице параметров портала | Каталоги + подписки убедитесь, что клиенты Azure AD B2C и Microsoft Entra выбраны в разделе текущие и делегированные каталоги.
Выйдите на портал Azure и войдите с помощью учетной записи администратора Azure AD B2C . Эта учетная запись должна быть членом группы безопасности, указанной на шаге управления ресурсами делегата . Выход и повторный вход позволяет обновить учетные данные сеанса на следующем шаге.
Щелкните значок "Параметры" на панели инструментов портала.
Параметры портала | На странице каталогов и подписок в списке имен каталогов найдите каталог идентификатора Microsoft Entra, содержащий подписку Azure и созданную группу ресурсов azure-ad-b2c-monitor, а затем нажмите кнопку "Переключить".
Убедитесь, что выбран правильный каталог, а подписка Azure указана и выбрана в фильтре подписок по умолчанию.
5. Настройка параметров диагностики
Параметры диагностики определяют, куда будут отправляться журналы и метрики для ресурса. Возможные места назначения
В этом примере рабочая область Log Analytics используется для создания панели мониторинга.
5.1 Создание параметров диагностики
Вы готовы создать параметры диагностики на портале Azure.
Чтобы настроить параметры мониторинга для журналов действий Azure AD B2C, выполните следующие действия.
Войдите на портал Azure с помощью учетной записи администратора Azure AD B2C . Эта учетная запись должна быть членом группы безопасности, указанной на шаге "Выбор группы безопасности ".
Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
Выберите Microsoft Entra ID
В разделе Мониторинг выберите Параметры диагностики.
Если для ресурса уже настроены параметры, здесь отобразится их список. Выберите Добавить параметр диагностики, чтобы добавить новый параметр, или Изменить параметры, чтобы изменить существующий параметр. В каждой настройке может быть не более одного представителя каждого из типов назначения.
Присвойте параметру имя, если его еще нет.
Выберите AuditLogs и SignInLogs.
Выберите Отправить в рабочую область Log Analytics, а затем:
- В разделе Подписка выберите свою подписку.
- В разделе "Рабочая область Log Analytics" выберите имя созданной ранее рабочей области, например
AzureAdB2C.
Замечание
В настоящее время поддерживаются только параметры диагностики AuditLogs и SignInLogs для клиентов Azure AD B2C.
Нажмите кнопку "Сохранить".
Замечание
После того, как событие будет сгенерировано, может пройти до 15 минут, прежде чем оно появится в рабочей области Log Analytics. Кроме того, узнайте больше о задержках отчетов Active Directory, которые могут повлиять на устаревание данных и играть важную роль в отчетах.
Если появится сообщение об ошибке, чтобы настроить параметры диагностики для использования Azure Monitor для каталога Azure AD B2C, необходимо настроить делегированное управление ресурсами, убедитесь, что вы входите в систему с пользователем, который входит в группу безопасности , и выберите подписку.
6. Визуализация данных
Теперь вы можете настроить рабочую область Log Analytics для визуализации данных и настройки оповещений. Эти конфигурации можно настроить как в клиенте Microsoft Entra, так и в клиенте Azure AD B2C.
6.1. Создание запроса
Запросы по журналам позволяют с пользой применить все данные, собранные в журналах Azure Monitor. Эффективный язык запросов позволяет объединять данные из нескольких таблиц, агрегировать большие наборы данных и выполнять сложные операции с применением минимального кода. Практически любой вопрос можно ответить и проанализировать до тех пор, пока собираются вспомогательные данные, и вы понимаете, как создать правильный запрос. Дополнительные сведения см. в статье Начало работы с запросами журналов в Azure Monitor.
Войдите на портал Azure.
Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
В окне рабочей области Log Analytics выберите Логи
В редакторе запросов вставьте следующий запрос, используя язык запросов Kusto. Этот запрос показывает использование политики в зависимости от операций за последние x дней. Период по умолчанию — 90 дней (90 д). Обратите внимание, что запрос ориентирован только на операцию, в которой маркер или код выдается политикой.
AuditLogs | where TimeGenerated > ago(90d) | where OperationName contains "issue" | extend UserId=extractjson("$.[0].id",tostring(TargetResources)) | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails)) | summarize SignInCount = count() by Policy, OperationName | order by SignInCount desc nulls lastВыберите Выполнить. Результаты запроса отображаются в нижней части экрана.
Для сохранения запроса с целью дальнейшего использования нажмите Сохранить.
Укажите следующие сведения:
- Имя — введите имя запроса.
-
Сохранить как. Выберите
query. -
Категория. Выберите
Log.
Нажмите кнопку "Сохранить".
Можно также изменить запрос, чтобы визуализировать данные с помощью оператора render.
AuditLogs
| where TimeGenerated > ago(90d)
| where OperationName contains "issue"
| extend UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc nulls last
| render piechart
Дополнительные примеры см. в репозитории Azure AD B2C SIEM GitHub.
6.2. Создание рабочей книги
Рабочие книги предоставляют гибкую платформу для анализа данных и создания расширенных визуальных отчетов на портале Azure. Они позволяют использовать несколько источников данных из Azure и объединять их в единый интерактивный интерфейс. Дополнительные сведения см. в рабочих книгах Azure Monitor.
Следуйте инструкциям ниже, чтобы создать новую рабочую книгу с помощью шаблона из галереи JSON. Эта рабочая книга предоставляет информационную панель Аналитика пользователей и Проверка подлинности для арендатора Azure AD B2C.
Войдите на портал Azure.
Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
В окне рабочей области Log Analytics выберите рабочие книги.
На панели инструментов выберите пункт + Новый, чтобы создать новую рабочую книгу.
На странице "Новая книга" выберите расширенный редактор с помощью параметра </> на панели инструментов.
Выберите Шаблон коллекции.
Замените JSON в шаблоне галереи содержимым из базового пособия Azure AD B2C:
Примените шаблон с помощью кнопки "Применить ".
Нажмите кнопку "Готово редактирование" на панели инструментов, чтобы завершить редактирование книги.
Наконец, сохраните книгу с помощью кнопки "Сохранить " на панели инструментов.
Укажите название, например панель мониторинга Azure AD B2C.
Нажмите кнопку "Сохранить".
Книга будет отображать отчеты в виде панели мониторинга.
Создание оповещений
Оповещения создаются правилами генерации оповещений в Azure Monitor и могут автоматически выполнять сохраненные запросы или пользовательские поисковые запросы журнала через регулярные интервалы. Оповещения можно создавать на основе определенных метрик производительности или при возникновении определенных событий. Вы также можете создавать оповещения о отсутствии события или при возникновении ряда событий в течение определенного периода времени. Например, оповещения можно использовать для уведомления, когда среднее число входов превышает определенное пороговое значение. Дополнительные сведения см. в статье Создание оповещений для базы данных SQL Azure и хранилища данных с помощью портала Azure.
Используйте следующие инструкции для создания нового оповещения Azure, которое будет отправлять уведомление по электронной почте при каждом снижении общего числа запросов на 25% по сравнению с предыдущим периодом. Оповещение будет срабатывать каждые 5 минут и искать снижение в текущем часу по сравнению с предыдущим. Оповещения создаются с помощью языка запросов Kusto.
Войдите на портал Azure.
Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
В рабочей области Log Analytics выберите журналы.
Создайте новый запрос Kusto с помощью этого запроса.
let start = ago(2h); let end = now(); let threshold = -25; //25% decrease in total requests. AuditLogs | serialize TimeGenerated, CorrelationId, Result | make-series TotalRequests=dcount(CorrelationId) on TimeGenerated from start to end step 1h | mvexpand TimeGenerated, TotalRequests | serialize TotalRequests, TimeGenerated, TimeGeneratedFormatted=format_datetime(todatetime(TimeGenerated), 'yyyy-MM-dd [HH:mm:ss]') | project TimeGeneratedFormatted, TotalRequests, PercentageChange= ((toreal(TotalRequests) - toreal(prev(TotalRequests,1)))/toreal(prev(TotalRequests,1)))*100 | order by TimeGeneratedFormatted desc | where PercentageChange <= threshold //Trigger's alert rule if matched.Нажмите кнопку "Выполнить", чтобы протестировать запрос. Вы должны увидеть результаты, если за последний час общее количество запросов уменьшилось на 25% или более.
Чтобы создать правило генерации оповещений на основе этого запроса, используйте параметр "+ Новое правило генерации оповещений ", доступный на панели инструментов.
На странице "Создание правила генерации оповещений " выберите имя условия
На странице "Настройка логики сигнала" задайте следующие значения и нажмите кнопку "Готово ", чтобы сохранить изменения.
- Логика оповещений: задайте число результатовбольше0.
- Оценка на основе: выберите 120 для периода (в минутах) и 5 для частоты (в минутах)
После создания оповещения перейдите в рабочую область Log Analytics и выберите "Оповещения". На этой странице отображаются все оповещения, которые были активированы в период, заданный параметром диапазона времени .
Настройка групп действий
Оповещения Azure Monitor и работоспособности служб используют группы действий для уведомления пользователей о том, что оповещение было активировано. Вы можете включить отправку голосового звонка, SMS, электронной почты; или активация различных типов автоматизированных действий. Следуйте инструкциям по созданию групп действий и управлению ими на портале Azure
Вот пример электронного письма с уведомлением о предупреждении.
Несколько арендаторов
Чтобы интегрировать журналы нескольких клиентов Azure AD B2C в одну рабочую область Log Analytics (или учетную запись хранения Azure, или концентратор событий), потребуется использовать отдельные развертывания с разными значениями имени предложения Msp. Убедитесь, что рабочая область Log Analytics находится в той же группе ресурсов, что и в группе ресурсов, настроенной в разделе "Создание" или выбор группы ресурсов.
При работе с несколькими рабочими областями Log Analytics используйте кросс-рабочий запрос для создания запросов, которые работают в нескольких рабочих областях. Например, следующий запрос выполняет объединение двух журналов аудита из разных тенантов на основе той же категории (например, проверки подлинности):
workspace("AD-B2C-TENANT1").AuditLogs
| join workspace("AD-B2C-TENANT2").AuditLogs
on $left.Category== $right.Category
Изменение срока хранения данных
Журналы Azure Monitor предназначены для масштабирования и поддержки сбора, индексирования и хранения огромных объемов данных ежедневно из любого источника в вашей организации или развернутые в Azure. По умолчанию журналы хранятся в течение 30 дней, но длительность хранения может быть увеличена до двух лет. Ознакомьтесь с информацией о том, как управлять использованием и затратами с помощью журналов Azure Monitor. После выбора ценовой категории можно изменить срок хранения данных.
Отключение сбора данных мониторинга
Чтобы прекратить сбор журналов в рабочую область Log Analytics, удалите настройки диагностики, которые вы создали. Вы продолжите нести расходы за хранение данных журнала, которые вы уже собрали в рабочую область. Если вам больше не нужны собранные данные мониторинга, вы можете удалить рабочую область Log Analytics и группу ресурсов, созданную для Azure Monitor. При удалении рабочей области Log Analytics удаляются все данные в рабочей области и вы не будете взимать дополнительные расходы на хранение данных.
Удаление рабочей области Log Analytics и группы ресурсов
- Войдите на портал Azure.
- Если у вас есть доступ к нескольким арендаторам, щелкните значок Настройки в верхнем меню, чтобы переключиться на арендатора Microsoft Entra ID из меню Каталоги и подписки.
- Выберите группу ресурсов, содержащую рабочую область Log Analytics. В этом примере используется группа ресурсов azure-ad-b2c-monitor и рабочая область Log Analytics с именем
AzureAdB2C. - Удалите рабочую область Logs Analytics.
- Нажмите кнопку "Удалить ", чтобы удалить группу ресурсов.
Дальнейшие шаги
Дополнительные примеры см. в коллекции SIEM Azure AD B2C.
Дополнительные сведения о добавлении и настройке параметров диагностики в Azure Monitor см. в руководстве по сбору и анализу журналов ресурсов из ресурса Azure.
Сведения о потоковой передаче журналов Microsoft Entra в концентратор событий см. в руководстве по потоковой передаче журналов Microsoft Entra в концентратор событий Azure.