我为一家我帮助的小型慈善机构设置了 Office365/Azure 租赁。我热衷于设置自动报告,当有人以管理员帐户(即具有特定角色或组)登录时发送电子邮件。
我想要实现的主要目标是
- 第三方支持机构登录更改租赁时的可见性
- 了解内部员工何时登录,包括已离职且我们认为其帐户已被禁用的员工
- 未知帐户登录的可见性(即恶意行为者新创建的管理员帐户)
我所能找到的是如何向特定用户发出警报,这可以帮助满足前两个要求(尽管这意味着每个帐户设置一个警报),但它并不满足第 3 个要求。
是否可以在 Azure 中设置警报,当具有全局管理员角色的任何帐户登录时,向指定地址发送电子邮件?
答案1
Azure AD 登录日志包含您需要检测某人何时登录的信息。您可以将这些日志导出到 Log Analytics 工作区,然后设置某人以全局管理员角色登录时的警报。
本文有一些关于如何完成的逐步细节。