Configuré un arrendamiento de Office365/Azure para una pequeña organización benéfica a la que ayudo. Estoy interesado en configurar informes automatizados que envíen un correo electrónico cuando alguien inicia sesión como cuenta de administrador (es decir, con una función o grupo en particular).
Las cosas principales que estoy tratando de lograr son
- Visibilidad de cuándo una organización de soporte externa inicia sesión para cambiar el arrendamiento
- Visibilidad de cuándo un miembro del personal interno inicia sesión, incluido el personal que se ha mudado y creemos que sus cuentas están deshabilitadas.
- Visibilidad de cuentas desconocidas que inician sesión (es decir, una cuenta de administrador recién creada por un actor nefasto)
Todo lo que he podido encontrar es cómo alertar a un usuario específico, lo que puede ayudar con los primeros 2 requisitos (aunque significa configurar una alerta por cuenta), sin embargo, no cubre el tercer requisito.
¿Es posible configurar una alerta en Azure para enviar un correo electrónico a una dirección designada cuando cualquier cuenta con el rol de administrador global inicia sesión?
Respuesta1
Los registros de inicio de sesión de Azure AD contienen la información que necesita para detectar cuando alguien inicia sesión. Puede exportar estos registros a un área de trabajo de Log Analytics y luego configurar una alerta para cuando alguien inicia sesión con un rol de administrador global.
Este artículotiene algunos detalles paso a paso sobre cómo se puede hacer.