Microsoft Entra 監視和健康情況部署相依性

您的 Microsoft Entra 報告和監視解決方案取決於法律、安全性、操作需求，以及您環境的程式。 使用下列各節來了解設計選項和部署策略。

Microsoft Entra 報告和監視的優點

Microsoft Entra ID 報告在您的環境中具有 Microsoft Entra 活動的檢視和記錄：登入和稽核事件，也會變更您的目錄。

使用資料輸出來：

• 決定您的應用程式和服務的使用方式。
• 偵測可能影響環境健康情況的潛在風險。
• 針對防止使用者完成工作的問題進行疑難解答。
• 查看 Microsoft Entra 目錄變更的稽核事件，以取得見解。

Microsoft Entra 監視可讓您將 Microsoft Entra ID 報告所產生的記錄路由傳送至不同的目標系統。 然後，您可以保留它以供長期使用，或將其與第三方安全性資訊與事件管理 （SIEM） 工具整合，以深入瞭解您的環境。

透過 Microsoft Entra 監視，您可以將記錄路由傳送至：

• 用於封存用途的 Azure 記憶體帳戶。
• Azure 監視器記錄，您可以在其中分析數據、建立儀錶板，以及針對特定事件發出警示。
• Azure 事件中樞，您可以與現有的 SIEM 工具整合，例如 Splunk、Sumologic 或 QRadar。

必要條件

您需要 Microsoft Entra ID P1 或 P2 授權，才能存取 Microsoft Entra 登入記錄。

如需詳細的功能和授權資訊，請參閱 Microsoft Entra 定價指南。

若要部署 Microsoft Entra 監視和健康情況，您需要 Microsoft Entra 租使用者的安全性 管理員 istrator 的使用者。

• Azure 監視器資料平台
• Azure 監視器命名和術語變更
• Microsoft Entra ID 會儲存報告數據多久？
• 您具有 ListKeys 許可權的 Azure 記憶體帳戶。 我們建議您使用一般記憶體帳戶，而不是 Blob 記憶體帳戶。 如需記憶體定價資訊，請參閱 Azure 儲存體 定價計算機。
• 要與第三方 SIEM 解決方案整合的 Azure 事件中樞 命名空間。
• 將記錄傳送至 Azure 監視器記錄的 Azure Log Analytics 工作區。

規劃和部署 Microsoft Entra 監視和健康情況部署專案

報告和監視可用來符合您的商務需求、深入瞭解使用模式，以及增加組織的安全性狀態。 在此專案中，您將定義將取用和監視報表的物件，並定義您的 Microsoft Entra 監視架構。

項目關係人、通訊和檔

當技術項目失敗時，通常會因為對效果、結果和責任的預期不符而這麼做。 若要避免這些陷阱， 請確定您參與正確的項目關係人。 同時，藉由記錄項目關係人及其專案投入和責任，確保專案中的項目關係人角色能夠充分瞭解。

項目關係人必須存取 Microsoft Entra 記錄以取得作業見解。 可能的使用者包括安全性小組成員、內部或外部稽核員，以及身分識別和存取管理作業小組。

Microsoft Entra 角色可讓您委派根據角色設定及檢視 Microsoft Entra 報告的能力。 識別組織中誰需要讀取 Microsoft Entra 報告的許可權，以及哪些角色適合他們。

下列角色可以讀取 Microsoft Entra 報告：

• 安全性系統管理員
• 安全性讀取者
• 報告讀取者

深入瞭解 Microsoft Entra 管理員 istrative 角色。 一律套用最低許可權的概念，以減少帳戶入侵的風險。 請考慮實作 Privileged Identity Management ，以進一步保護您的組織。

與利害關係人互動

成功的專案符合期望、結果和責任。 請參閱 Microsoft Entra 部署計劃。 記錄並傳達需要輸入和問責的項目關係人角色。

溝通計劃

告知您的使用者何時及如何變更其體驗。 提供支援連絡資訊。

• 如果有的話，您正在使用的 SIEM 工具。
• 您的 Azure 基礎結構，包括現有的記憶體帳戶和使用監視。
• 適用於記錄的組織保留原則，包括所需的任何適用的合規性架構。

商務使用案例

若要更妥善地排定使用案例和解決方案的優先順序，請依「符合商務需求所需的解決方案」、「必須符合商務需求」和「不適用」來組織選項。

考量

• 保留 - 記錄保留：儲存稽核記錄並登入 Microsoft Entra 超過 30 天的記錄
• 分析 - 記錄可使用分析工具進行搜尋
• 作業和安全性見解 - 提供應用程式使用方式、登入錯誤、自助式使用方式、趨勢等存取權。
• SIEM 整合 - 將 Microsoft Entra 登入記錄和稽核記錄整合並串流至 SIEM 系統

監視解決方案架構

透過 Microsoft Entra 監視，您可以路由傳送 Microsoft Entra 活動記錄，並保留它們以供長期報告和分析，以取得環境見解，並將其與 SIEM 工具整合。 使用下列決策流程圖來協助選取架構。

封存記憶體帳戶中的記錄

您可以將記錄路由傳送至 Azure 記憶體帳戶，以保留比預設保留期間更長的時間。

深入了解：

• Microsoft Entra ID 會儲存報告數據多久？
• 教學課程：將 Microsoft Entra 記錄封存至 Azure 記憶體帳戶

將記錄串流至記憶體和 SIEM 工具

• 整合 Microsoft Entra 記錄與 Azure 監視器記錄。
• 使用 Azure 監視器記錄分析 Microsoft Entra 活動記錄。
• 瞭解如何將 記錄串流至事件中樞。
• 瞭解如何將 Microsoft Entra 記錄封存到 Azure 儲存體 帳戶。
• 將 Microsoft Entra 記錄路由傳送至事件中樞

下一步

• 請考慮實作 Privileged Identity Management
• 請考慮實作 Azure 角色型訪問控制
• 深入瞭解報表保留原則。
• 使用 Azure 監視器記錄分析 Microsoft Entra 活動記錄