Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью параметров диагностики в идентификаторе Microsoft Entra можно интегрировать журналы с Azure Monitor, чтобы действие входа и аудит изменений в клиенте можно анализировать вместе с другими данными Azure.
В этой статье приведены инструкции по интеграции журналов Microsoft Entra с Azure Monitor.
Используйте интеграцию журналов действий Microsoft Entra и Azure Monitor для выполнения следующих задач:
- Сравните журналы входа Microsoft Entra с журналами безопасности, опубликованными Microsoft Defender для облака.
- Устранение проблем с производительностью на странице входа в приложение путем сопоставления данных о производительности приложений из приложение Azure Insights.
- Анализ рискованных пользователей и журналов обнаружения рисков защиты идентификации для обнаружения угроз в вашей среде.
- Определите входы из приложений, которые по-прежнему используют библиотеку проверки подлинности Active Directory (ADAL) для проверки подлинности. Узнайте о плане завершения поддержки ADAL.
Примечание.
Интеграция журналов Microsoft Entra с Azure Monitor автоматически включает соединитель данных Microsoft Entra в Microsoft Sentinel.
Необходимые компоненты
Для использования этой функции необходимо иметь следующее.
Подписка Azure. Если у вас нет подписки Azure, вы можете зарегистрироваться для получения бесплатной пробной версии.
Клиент Microsoft Entra ID P1 или P2.
По крайней мере роль администратора безопасности в клиенте Microsoft Entra.
Рабочая область Log Analytics в подписке Azure. Узнайте, как создать рабочую область Log Analytics.
Разрешение на доступ к данным в рабочей области Log Analytics. Сведения о различных параметрах разрешений и настройке разрешений см. в статье "Управление доступом к данным журнала и рабочим областям в Azure Monitor ".
Создание рабочей области Log Analytics
Рабочая область Log Analytics позволяет собирать данные на основе различных требований, таких как географическое расположение данных, границ подписки или доступ к ресурсам. Узнайте, как создать рабочую область Log Analytics.
Сведения о настройке рабочей области Log Analytics для ресурсов Azure за пределами идентификатора Microsoft Entra см. в статье "Сбор и просмотр журналов ресурсов для Azure Monitor".
Отправка журналов в Azure Monitor
Выполните следующие действия, чтобы отправить журналы из идентификатора Microsoft Entra в журналы Azure Monitor.
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам мониторинга идентификатора> иработоспособности>записей. Вы также можете выбрать параметры экспорта на странице "Журналы аудита" или "Вход".
Выберите +Добавить параметр диагностики , чтобы создать новую интеграцию или выберите параметр "Изменить " для существующей интеграции.
Введите имя параметра диагностики. Если вы редактировать существующую интеграцию, вы не можете изменить имя.
Выберите категории журналов, которые требуется потоковой передачи. Описание каждой категории журнала см. в разделе "Что такое журналы удостоверений", которые можно передавать в конечную точку.
В разделе "Сведения о назначении" установите флажок "Отправить в рабочую область Log Analytics ".
Выберите соответствующую рабочую область Подписки и Log Analytics в меню.
Нажмите кнопку "Сохранить ".
Если журналы не отображаются в выбранном месте назначения через 15 минут, выйдите и вернитесь в Центр администрирования Microsoft Entra, чтобы обновить журналы.