Che cos'è il monitoraggio e l'integrità di Microsoft Entra?

Le funzionalità di monitoraggio e integrità di Microsoft Entra offrono una panoramica completa delle attività correlate all'identità nell'ambiente in uso. Questi dati consentono di:

• Determinare come gli utenti usano le app e i servizi.
• Rilevare potenziali rischi che influiscono sull'integrità dell'ambiente.
• Risolvere problemi che influiscono negativamente sulla produttività degli utenti.

I log di accesso e di controllo includono i log attività dietro molti report di Microsoft Entra, che possono essere usati per analizzare, monitorare e risolvere i problemi dell'attività nel tenant. Il routing dei log attività a una soluzione di analisi e monitoraggio offre maggiori informazioni dettagliate sull'integrità e la sicurezza del tenant.

Questo articolo descrive i tipi di log attività disponibili in Microsoft Entra ID, i report che usano i log e i servizi di monitoraggio disponibili per analizzare i dati.

Log attività di identità

I log attività consentono di comprendere il comportamento degli utenti dell'organizzazione. Esistono tre tipi di log attività in Microsoft Entra ID:

• I log di controllo includono la cronologia di ogni attività eseguita nel tenant.

• I log di accesso acquisisce i tentativi di accesso degli utenti e delle applicazioni client.

• I log di provisioning forniscono informazioni sugli utenti di cui è stato effettuato il provisioning nel tenant tramite un servizio di terze parti.

I log attività possono essere visualizzati nella portale di Azure o usando l'API Microsoft Graph. I log attività possono anche essere indirizzati a vari endpoint per l'archiviazione o l'analisi. Per informazioni su tutte le opzioni per la visualizzazione dei log attività, vedere Come accedere ai log attività.

Log di audit

I log di controllo forniscono i record delle attività di sistema per la conformità. Questi dati consentono di risolvere scenari comuni, ad esempio:

• Un utente del tenant ha avuto accesso a un gruppo amministrativo e si vuole sapere chi ha concesso tale accesso.
• Voglio conoscere l'elenco degli utenti che accedono a un'app specifica perché di recente ho eseguito l'onboarding dell'app e voglio sapere se funziona correttamente.
• Si vuole sapere quante reimpostazioni delle password stanno accadendo nel tenant.

Log di accesso

I log di accesso consentono di trovare risposte a domande come:

• Qual è il modello di accesso di un utente?
• Quanti utenti hanno effettuato l'accesso nell'arco di una settimana?
• Qual è lo stato di questi accessi?

Log di provisioning

È possibile usare i log di provisioning per trovare risposte a domande quali:

• Quali gruppi sono stati correttamente creati in ServiceNow?
• Quali utenti sono stati rimossi correttamente da Adobe?
• Quali utenti di Workday sono stati creati correttamente in Active Directory?

Report di identità

La revisione dei dati nei log attività di Microsoft Entra può fornire informazioni utili per gli amministratori IT. Per semplificare il processo di revisione dei dati negli scenari chiave, sono stati creati diversi report su scenari comuni che usano i log attività.

• Identity Protection usa i dati di accesso per creare report sugli utenti a rischio e sulle attività di accesso.
• Le attività correlate alle applicazioni, ad esempio l'entità servizio e l'attività delle credenziali dell'app, vengono usate per creare report in Utilizzo e informazioni dettagliate.
• Le cartelle di lavoro di Microsoft Entra offrono un modo personalizzabile per visualizzare e analizzare i log attività.
• Monitorare lo stato delle raccomandazioni di Microsoft Entra per migliorare la sicurezza del tenant.

Monitoraggio delle identità e integrità del tenant

La revisione dei log attività di Microsoft Entra è il primo passaggio per gestire e migliorare l'integrità e la sicurezza del tenant. È necessario analizzare i dati, monitorare gli scenari rischiosi e determinare dove è possibile apportare miglioramenti. Il monitoraggio di Microsoft Entra fornisce gli strumenti necessari per prendere decisioni informate.

Il monitoraggio dei log attività di Microsoft Entra richiede il routing dei dati di log a una soluzione di monitoraggio e analisi. Gli endpoint includono log di Monitoraggio di Azure, Microsoft Sentinel o uno strumento SIEM (Security Information and Event Management) di terze parti della soluzione di terze parti.

• Trasmettere i log a un hub eventi per l'integrazione con strumenti SIEM di terze parti.
• Integrare i log con i log di Monitoraggio di Azure.
• Analizzare i log con i log di Monitoraggio di Azure e Log Analytics.

Per una panoramica su come accedere, archiviare e analizzare i log attività, vedere Come accedere ai log attività.