Мы ищем решение для мониторинга в первую очередь Глобальный администратор роль в Azure AD, поэтому, если пользователь добавляется в роль или удаляется из нее, электронная почта отправляется на определенный почтовый ящик.
В нашем локальном AD у нас есть рабочее решение для этого, но я не могу найти аналогичного решения для AAD.
в Центр безопасности и соответствия требованиям Office 365> Оповещения> Политики оповещений существует политика под названием «Повышение привилегий администратора Exchange», которая в основном делает то, что я хочу, за исключением того, что нацелена только на роль администратора Exchange.
Я пробовал создать новую политику с нуля, но, насколько я могу судить, нет возможности выбрать конкретную роль. Есть только «Предоставленное разрешение администратора Exchange», и ничего не появляется, когда я ищу «роль» или «администратор» в раскрывающемся списке «Активность».
Я также посмотрел на политики MCAS (MS Cloud App Security), но, похоже, мне тоже ничего не нужно.
Я уже настроил уведомления через PIM в Azure AD> Управление привилегированными удостоверениями> [ИМЯ АРЕНДАТОРА] | Роли> Глобальный администратор | Настройки ролей поэтому мы получаем предупреждение всякий раз, когда кто-то либо «назначен как имеющий право на эту роль:», либо «назначен как активный для этой роли:».
Но если кто-то добавляет пользователя прямо в Глобальный администратор роль через Azure AD> [ИМЯ АРЕНДАТОРА] | Роли и администраторы почта не отправляется, даже если пользователь отображается в PIM как активный глобальный администратор.
Я нашел эту статью: Отслеживайте изменения роли администратора Office 365 во всех клиентах но, похоже, он больше ориентирован на многопользовательские среды и требует совсем немного дополнительной настройки. Я надеялся, что есть более простое решение для среды с одним арендатором.
Используйте Azure AD Privileged Identity Management (PIM), если пользователь был назначен вне PIM, вы получите уведомление по электронной почте.