Azure Entra ID 监控
Site24x7 的 Azure Entra ID 监控可为选定的身份和应用程序生命周期指标提供可见性,包括应用程序密钥和证书的到期时间线、身份验证事件,以及以下列出的具体指标。使用该监视器可及时收到密钥和证书到期以及其他枚举指标的告警,从而提前轮换凭据,避免应用程序中断。
主要功能
Site24x7 的 Azure Entra ID 监控可提供应用程序、密钥及其到期时间线的可见性,以加强身份和访问管理。具体优势包括:
- 防止中断:在客户端密钥到期前自动发送告警,确保应用程序访问不中断。
- 确保合规:监控到期情况可支持审计要求,避免违反策略。
- 主动管理:IT 团队可提前轮换密钥,最大限度减少临时紧急处理。
- 提升可见性:集中监控应用程序和凭据,简化大型 Azure 租户的治理工作。
通过密切关注这些关键身份组件,Site24x7 使组织能够维护安全、合规且可靠的访问管理,避免意外的服务中断。
前提条件
在 Azure 中创建用于 Entra ID 监控的应用程序
- 前往 https://portal.azure.com 并使用具有创建应用注册权限的账户登录。
- 从左侧菜单中选择 Microsoft Entra ID > 应用注册 > 新建注册。
- 输入描述性名称(例如"Site24x7 Entra ID Monitoring")。根据需要选择支持的账户类型。
- 点击注册。
- 在应用程序的"概述"页面,复制应用程序(客户端)ID 和目录(租户)ID,供后续使用。
- 前往证书和密钥>新建客户端密钥。添加描述,设置到期日,然后点击添加。
- 立即复制客户端密钥的值并安全保存。此后将无法再次查看该值。
您也可以使用 Site24x7 Azure 监控中已使用的现有应用程序来监控 Microsoft Entra ID。请确保分配以下权限:
为应用程序分配权限
- 在应用中,前往 API 权限。
- 点击添加权限>Microsoft Graph。
- 选择应用程序权限并添加以下权限:
- 读取应用注册:Application.Read.All
- 读取设备:Device.Read.All
- 读取组:Group.Read.All
- 读取组织信息:Organization.Read.All
- 读取用户配置文件:User.Read.All
- 点击添加权限以确认。
- 点击授予管理员同意并确认,以授予租户范围的同意。
- 确保每个权限在状态列下显示"已授予租户名称的同意"。
设置与配置
您可以在添加新监视器时添加 Azure Entra ID 服务,也可以将其添加到现有的 Azure 监视器中。
- 前往云> Azure > Microsoft Entra ID 监视器旁边的 + 图标。
- 显示名称:为 Entra ID 监视器提供适当的显示名称。
- 客户端凭据部分:
- 选择 Azure 监视器或添加新凭据:选择现有的 Azure 监视器以使用所选 Azure 监视器的凭据,或选择 + 添加新凭据以提供凭据。
- 租户 ID:输入 Azure 控制台中的租户 ID。
- 应用程序/客户端 ID:输入 Azure 控制台中的应用程序或客户端 ID。
- 客户端密钥值:输入 Azure 控制台中的客户端密钥值。
- 客户端密钥到期时间:输入所提供客户端密钥的到期日期。这有助于 Site24x7 在到期前提供提醒,并确保监控的连续性。
- 配置文件部分:
- 阈值与可用性:为此 Entra ID 监视器选择适当的阈值配置文件。默认的 Entra ID 监视器阈值配置文件已适配大多数使用场景。
- 标签:选择要分配给此 Entra ID 监视器的标签。
- IT 自动化模板:选择适当的 IT 自动化模板,以触发此 Entra ID 监视器的自动修复操作。
- 在计划维护期间排除 IT 自动化:启用此复选框,以防止在计划维护窗口期间触发 IT 自动化操作。
- 关联监视器组:选择要与 Entra ID 监视器关联的监视器组。
- 告警设置部分:
- 用户告警组:选择应接收此 Entra ID 监视器告警的用户告警组。
- 值班计划:从下拉菜单中选择值班计划。
- 通知配置文件:从下拉菜单中选择适当的通知配置文件。
- 第三方集成:使用第三方集成在您首选的平台上接收告警或创建工单。
- 点击保存。
监控数据
您可以在 Entra ID 监视器中查看以下数据:
| 属性 | 描述 | 统计方式 | 单位 |
|---|---|---|---|
| 摘要 | |||
| 密钥总数 | Entra ID 中的密钥总数 | 不适用 | 数量 |
| 即将到期的密钥(<30 天) | 30 天内到期的密钥 | 不适用 | 数量 |
| 已过期密钥 | 已过期的密钥 | 不适用 | 数量 |
| 证书总数 | Entra ID 中的证书总数 | 不适用 | 数量 |
| 即将到期的证书(<30 天) | 30 天内到期的证书 | 不适用 | 数量 |
| 已过期证书 | 已过期的证书 | 不适用 | 数量 |
| 用户 | 目录中的用户总数 | 不适用 | 数量 |
| 应用程序 | 已注册的应用程序总数 | 不适用 | 数量 |
| 设备 | 已注册的设备总数 | 不适用 | 数量 |
| 组 | 目录中的组总数 | 不适用 | 数量 |
| 应用程序 | |||
| 应用程序名称 | 应用程序的名称 点击应用程序可查看相应的应用程序监视器。 | 不适用 | 文本 |
| 应用程序 ID | 应用程序的唯一标识符 | 不适用 | 文本 |
| 状态 | 应用程序的当前状态 | 不适用 | 文本 |
| 密钥总数 | 链接到该应用程序的密钥总数 | 不适用 | 数量 |
| 已过期密钥 | 该应用程序已过期的密钥 | 不适用 | 数量 |
| 证书总数 | 链接到该应用程序的证书总数 | 不适用 | 数量 |
| 已过期证书 | 该应用程序已过期的证书 | 不适用 | 数量 |
| 应用程序密钥 | |||
| 应用程序名称 | 应用程序的名称 点击应用程序可查看相应的应用程序监视器。 | 不适用 | 文本 |
| 描述 | 密钥的描述 | 不适用 | 文本 |
| 密钥 ID | 密钥的唯一标识符 | 不适用 | 文本 |
| 应用程序 ID | 链接到该密钥的应用程序标识符 | 不适用 | 文本 |
| 创建时间 | 密钥创建的时间 | 不适用 | 日期或时间 |
| 结束时间 | 密钥的到期时间 | 不适用 | 日期或时间 |
| 状态 | 密钥的当前状态 | 不适用 | 文本 |
| 距到期天数 | 到期前的剩余天数 | 不适用 | 天 |
| 应用程序证书 | |||
| 应用程序名称 | 应用程序的名称 点击应用程序可查看相应的应用程序监视器。 | 不适用 | 文本 |
| 描述 | 证书的描述 | 不适用 | 文本 |
| 证书 ID | 证书的唯一标识符 | 不适用 | 文本 |
| 应用程序 ID | 链接到该证书的应用程序标识符 | 不适用 | 文本 |
| 创建时间 | 证书创建的时间 | 不适用 | 日期或时间 |
| 结束时间 | 证书的到期时间 | 不适用 | 日期或时间 |
| 状态 | 证书的当前状态 | 不适用 | 文本 |
| 距到期天数 | 到期前的剩余天数 | 不适用 | 天 |
阈值配置
可从监视器的编辑页面关联阈值配置文件:
- 在配置文件>阈值与可用性> 从下拉菜单中选择相应的阈值配置文件。
对此阈值配置文件所做的更改将应用于所有关联的监视器。您可以通过点击加号图标 + 或铅笔图标
来添加或编辑阈值配置文件。
批量操作
可从管理页面(管理> 清单>批量操作> 在监视器配置下,前往修改阈值配置文件)批量关联阈值配置文件。
您可以通过选择阈值与可用性选项为指标设置阈值。您也可以在属性级别配置 IT 自动化。
为单个应用程序密钥和证书设置阈值
- 在 Site24x7 中导航到您的 Azure Entra ID 监视器。
- 在应用程序下,选择要管理其密钥/证书的应用程序。
- 对于特定的应用程序密钥或应用程序证书行,点击该行右端的汉堡图标
。 - 从菜单中选择编辑阈值。
- 在对话框中,配置到期警告和严重阈值(例如到期前 30 天和 7 天),然后点击保存。
- 对每个需要自定义阈值的密钥或证书重复上述步骤。
在 Entra ID 监视器级别配置的阈值为全局阈值,将应用于该监视器发现的所有密钥和证书。
IT 自动化
Site24x7 提供一套专属 IT 自动化工具,可自动解决性能退化问题。这些工具主动响应事件,而不是等待人工干预。
配置规则
借助 Site24x7 的配置规则,您可以为多个监视器设置阈值配置文件、通知配置文件、标签和监视器组等参数。这些规则可以针对符合给定条件的现有或新监视器(添加时)进行配置和运行。