Настройка Azure Monitor во внешних арендаторах (предварительная версия)

Применяется: Клиенты рабочей силы Внешние клиенты (дополнительные сведения)

Azure Monitor — это комплексное решение для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Параметры диагностики в отслеживаемом ресурсе указывают, какие данные следует отправлять и куда отправлять. Для Microsoft Entra варианты назначения включают службу хранилища Azure, Log Analytics и Центры событий Azure.

При планировании передачи журналов внешнего клиента в различные решения мониторинга или репозиторий следует учитывать, что журналы внешних клиентов содержат персональные данные. При обработке таких данных убедитесь, что вы используете соответствующие меры безопасности в отношении персональных данных. Они включают защиту от несанкционированной или незаконной обработки с использованием соответствующих технических или организационных мер.

Общие сведения о развертывании

Внешний арендатор использует мониторинг Microsoft Entra. В отличие от тенантов Microsoft Entra, внешний тенант не может иметь связанную с ним подписку. Поэтому необходимо выполнить дополнительные шаги, чтобы обеспечить интеграцию между внешним клиентом и Log Analytics, где мы отправляем журналы. Чтобы включить параметры диагностики в клиенте рабочей силы внутри вашего внешнего клиента, используйте Azure Lighthouse для делегирования ресурса, что позволяет вашему внешнему клиенту (поставщик услуг) управлять ресурсом клиента рабочей силы (клиент).

Выполнив действия, описанные в этой статье, вы создадите новую группу ресурсов с именем ExtIDMonitor в клиенте рабочей силы и получите доступ к той же группе ресурсов, содержащей рабочую область Log Analytics в внешнем клиенте. Вы также сможете передать журналы из внешнего клиента в рабочую область Log Analytics.

Во время этого развертывания вы авторизуете пользователя или группу во внешнем каталоге клиента, чтобы настроить экземпляр рабочей области Log Analytics в клиенте, который содержит подписку Azure. Чтобы создать авторизацию, необходимо развернуть шаблон Azure Resource Manager в подписке, содержащей рабочую область Log Analytics.

На следующей схеме показаны компоненты, которые вы настроите во внутреннем и внешних арендаторах.

Во время этого развертывания вы настроите внешний клиент, где создаются журналы. Вы также настроите внешний клиент, где будет размещена рабочая область Log Analytics. Учетные записи внешнего клиента (например, учетная запись администратора) должны быть назначены на роль глобального администратора внешнего клиента. Учетная запись, используемая для запуска развертывания во внешнем клиенте, должна иметь роль "Владельца" в подписке Microsoft Entra. Также важно следить за тем, чтобы вы были авторизованы в правильной директории на протяжении выполнения каждого шага, как описано.

В итоге вы будете использовать Azure Lighthouse, чтобы разрешить пользователю или группе во внешнем клиенте управлять группой ресурсов в подписке, связанной с другим клиентом (клиент рабочей силы). После завершения этой авторизации подписка и рабочая область журнала аналитики могут быть выбраны в качестве целевых объектов для параметров диагностики во внешнем клиенте.

Предварительные условия

• Подписка Azure. Если у вас нет учетной записи, создайте бесплатную учетную запись перед началом работы.
• Учетная запись Microsoft Entra с ролью владельца в подписке Microsoft Entra.
• Учетная запись во внешнем клиенте, которой назначена роль глобального администратора.

Общие сведения о настройке

Чтобы выполнить действия по настройке в этой статье, рекомендуется открыть два отдельных окна браузера или вкладки: один для клиента рабочей силы и один для внешнего клиента. Эта настройка поможет вам переключаться между двумя арендаторами по мере необходимости.

Шаг 1. Настройка клиента для рабочей силы — создание группы ресурсов и рабочей области журналов

Создание группы ресурсов

Сначала создайте или выберите группу ресурсов, содержащую целевую рабочую область Log Analytics, которая будет получать данные из внешнего клиента. Имя группы ресурсов указывается при развертывании шаблона Azure Resource Manager.

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.
3. Создайте группу ресурсов или выберите существующую. В этом примере используется группа ресурсов с именем ExtIDMonitor.

Создание рабочей области Log Analytics

Рабочая область Log Analytics — это уникальная среда для данных журнала Azure Monitor. Вы будете использовать эту рабочую область Log Analytics для сбора данных из внешнего клиента, а затем визуализировать их с помощью запросов.

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.
3. Создайте рабочую область Log Analytics. В этом примере используется рабочая область Log Analytics с именем ExtIDLogAnalytics в группе ресурсов с именем ExtIDMonitor.

Добавьте microsoft.insights как поставщика ресурсов

На этом шаге вы выбираете внешнего арендатора в качестве поставщика услуг. Вы также определяете разрешения, необходимые для назначения соответствующих встроенных ролей группам в клиенте Microsoft Entra. Чтобы просмотреть всех поставщиков ресурсов, а также состояние регистрации для подписки, сделайте следующее:

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.
3. В меню портала Azure найдите подписки.
4. Выберите подписку, которую нужно просмотреть.
5. В меню слева в разделе "Параметры" выберите "Поставщики ресурсов".
6. Выберите поставщика ресурсов microsoft.insights и нажмите кнопку "Зарегистрировать".

Шаг 2. Конфигурация внешнего клиента — получение идентификатора внешнего клиента и создание группы для мониторинга внешних идентификаторов

Получите идентификатор внешнего клиента

Сначала получите идентификатор клиента внешнего клиента. Этот идентификатор потребуется для настройки внешнего клиента для отправки журналов в рабочее пространство Log Analytics в клиенте рабочей среды.

1. Войдите в Центр администрирования Microsoft Entra.
2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок.
3. Выберите Обзор арендатора и выберите «Обзор».
4. Запишите идентификатор клиента.

Создание группы для мониторинга внешних идентификаторов

Теперь создайте группу или пользователя, которому требуется предоставить разрешение на группу ресурсов, созданную ранее в каталоге, содержавшей подписку.

Чтобы упростить управление, рекомендуется использовать группы пользователей Microsoft Entra для каждой роли, позволяя добавлять или удалять отдельных пользователей в группу, а не назначать разрешения непосредственно этому пользователю. В этом пошаговом руководстве мы добавим группу безопасности.

1. Войдите в Центр администрирования Microsoft Entra.
2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок.
3. Выберите группы и выберите группу. Если у вас нет существующей группы, создайте группу безопасности , а затем добавьте участников. Дополнительные сведения см. в процедуре создания базовой группы и добавления участников с помощью клиента рабочей силы.
4. Выберите "Обзор" и запишите идентификатор объекта группы.

Шаг 3. Настройка клиента рабочей силы — настройка Azure Lighthouse

Создание шаблона Azure Resource Manager

Чтобы создать настраиваемую авторизацию и делегирование в Azure Lighthouse, мы используем шаблон Azure Resource Manager. Этот шаблон предоставляет внешнему арендатору доступ к группе ресурсов Microsoft Entra, которую вы создали ранее, например ExtIDMonitor. Разверните шаблон из примера GitHub с помощью кнопки "Развернуть в Azure ", которая открывает портал Azure и позволяет настроить и развернуть шаблон непосредственно на портале. Для этих действий убедитесь, что вы вошли в тенант Microsoft Entra для сотрудников (а не во внешний тенант).

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.

3. Нажмите кнопку "Развернуть в Azure ", чтобы открыть портал Azure и развернуть шаблон непосредственно на портале. Дополнительные сведения см. в статье о создании шаблона Azure Resource Manager.

   

4. На странице "Пользовательское развертывание " введите следующие сведения:

   Поле	Определение
   Подписка	Выберите каталог, содержащий подписку Azure, в которой была создана группа ресурсов ExtIDMonitor .
   Область/регион	Выберите регион, в котором будет развернут ресурс.
   Название предложения Msp	Имя, описывающее это определение. Например, ExtIDMonitor. Это имя, которое будет отображаться в Azure Lighthouse. Имя предложения MSP должно быть уникальным в клиенте рабочей силы. Для мониторинга нескольких внешних клиентов используйте разные имена.
   Описание предложения Msp	Краткое описание вашего предложения. Например, включите Azure Monitor во внешнем клиенте.
   Управляется идентификатором арендатора	Идентификатор клиента внешнего клиента (также известный как идентификатор каталога).
   Авторизации	Укажите массив объектов JSON, включающий клиента рабочей силы principalId, principalIdDisplayName и Azure roleDefinitionId. Это principalIdидентификатор объекта группы или пользователя, который будет иметь доступ к ресурсам в этой подписке Azure. В этом пошаговом описании процесса укажите идентификатор объекта группы, записанный ранее во внешнем арендаторе. Для этого roleDefinitionIdиспользуйте встроенное значение роли для ролиb24988ac-6180-42a0-ab88-20f7382dd24c участника.
   Название группы ресурсов	Имя группы ресурсов, которую вы создали ранее в арендаторе для рабочей силы. Например, ExtIDMonitor.

   В следующем примере показан массив авторизаций с одной группой безопасности.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

После развертывания шаблона для завершения проецирования ресурсов может потребоваться несколько минут (обычно не более пяти). Вы можете проверить развертывание в клиенте =workforce и получить сведения о проекции ресурсов. Дополнительные сведения см. в разделе "Просмотр поставщиков услуг и управление ими".

Шаг 4. Конфигурация внешнего клиента — выберите подписку

После развертывания шаблона и ожидания завершения проекции ресурсов выполните следующие действия, чтобы связать подписку с внешним клиентом.

Выберите свою подписку.

1. Выйдите из портала Azure и войдите в систему с помощью учетной записи администратора внешнего клиента. Эта учетная запись должна быть членом указанной ранее группы безопасности. Выход и повторный вход позволяет обновить учетные данные сеанса на следующем шаге.
2. Щелкните значок "Параметры" на панели инструментов портала.
3. Параметры портала | На странице каталогов и подписок в списке имен каталога найдите каталог клиента рабочей силы, содержащий подписку Azure и созданную группу ресурсов ExtIDMonitor , а затем нажмите кнопку Switch.
4. Убедитесь, что выбран правильный каталог, а подписка Azure указана и выбрана в фильтре подписки по умолчанию.

Настройка параметров диагностики

Параметры диагностики определяют, куда будут отправляться журналы и метрики для ресурса. Возможные места назначения

• Учетная запись хранения Azure
• Решения центров событий
• Рабочая область Log Analytics

В этом примере рабочая область Log Analytics используется для создания панели мониторинга. Выполните действия, чтобы настроить параметры мониторинга для журналов действий внешнего клиента:

1. Войдите в Центр администрирования Microsoft Entra.

2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню и переключитесь на внешний клиент из меню каталогов и подписок. Эта учетная запись должна быть членом указанной ранее группы безопасности.

3. Перейдите к параметрам диагностики, зайдя в Entra ID> и выбрав мониторинг и состояние.

4. Если для ресурса уже настроены параметры, здесь отобразится их список. Выберите " Добавить параметр диагностики ", чтобы добавить новый параметр, или выберите "Изменить параметры ", чтобы изменить существующий параметр. В каждой настройке может быть не более одного представителя каждого из типов назначения.

   

5. Присвойте параметру имя, если его еще нет.

6. Выберите AuditLogs и SignInLogs.

7. Выберите "Отправить в рабочую область Log Analytics", а затем:

   1. В разделе "Подписка" выберите подписку.
   2. В разделе "Рабочая область Log Analytics" выберите имя созданной ранее рабочей области, например ExtIDLogAnalytics.

8. Нажмите кнопку "Сохранить".

Шаг 5: Конфигурация арендатора рабочей силы — визуализация ваших данных

Теперь вы можете настроить рабочую область Log Analytics для визуализации данных и настройки оповещений. Эти конфигурации можно сделать как в рабочей области, так и во внешнем клиенте.

Создание запроса

Запросы по журналам позволяют с пользой применить все данные, собранные в журналах Azure Monitor. Эффективный язык запросов позволяет объединять данные из нескольких таблиц, агрегировать большие наборы данных и выполнять сложные операции с применением минимального кода. Можно ответить на практически любой вопрос и провести анализ, если собраны необходимые данные и вы понимаете, как составить правильный запрос. Дополнительные сведения см. в статье "Начало работы с запросами журналов" в Azure Monitor.

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.

3. В окне рабочей области Log Analytics выберите Логи

4. В редакторе запросов вставьте следующий запрос языка запросов Kusto . Этот запрос показывает использование политики в зависимости от операций за последние x дней. Период по умолчанию — 90 дней (90 д). Обратите внимание, что запрос ориентирован только на операцию, в которой маркер или код выдается политикой.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Выберите Выполнить. Результаты запроса отображаются в нижней части экрана.

6. Чтобы сохранить запрос для последующего использования, нажмите кнопку "Сохранить".

7. Укажите следующие сведения:

   • Имя — введите имя запроса.
   • Сохранить как — выбрать query.
   • Категория — выбор Log.

8. Нажмите кнопку "Сохранить".

Вы также можете изменить запрос, чтобы визуализировать данные с помощью оператора отрисовки .

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Изменение срока хранения данных

Журналы Azure Monitor предназначены для масштабирования и поддержки сбора, индексирования и хранения огромных объемов данных ежедневно из любого источника в вашей организации или развернутые в Azure. По умолчанию журналы хранятся в течение 30 дней, но длительность хранения может быть увеличена до двух лет. Узнайте, как управлять использованием и затратами с помощью журналов Azure Monitor. Выбрав ценовую категорию, можно изменить период хранения данных.

Отключение сбора данных мониторинга

Чтобы прекратить сбор журналов в рабочую область Log Analytics, удалите настройки диагностики, которые вы создали. Вы продолжите нести расходы за хранение данных журнала, которые вы уже собрали в рабочую область. Если вам больше не нужны собранные данные мониторинга, вы можете удалить рабочую область Log Analytics и группу ресурсов, созданную для Azure Monitor. При удалении рабочей области Log Analytics удаляются все данные в рабочей области и вы не будете взимать дополнительные расходы на хранение данных.

Удаление рабочей области Log Analytics и группы ресурсов

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким арендаторам, щелкните значок "Параметры " в верхнем меню, чтобы переключиться на арендатора вашей рабочей группы из меню Каталоги и подписки.
3. Выберите группу ресурсов, содержащую рабочую область Log Analytics. В этом примере используется группа ресурсов с именем ExtIDMonitor и рабочая область Log Analytics с именем ExtIDLogAnalytics.
4. Удалите рабочую область Logs Analytics.
5. Нажмите кнопку "Удалить ", чтобы удалить группу ресурсов.

Связанный контент

• Использование журналов аудита и проверок доступа