O que são logs de auditoria do Microsoft Entra?

Os logs de atividade do Microsoft Entra incluem logs de auditoria, que é um relatório abrangente sobre cada evento registrado na ID do Microsoft Entra. As alterações em aplicativos, grupos, usuários e licenças são capturadas nos logs de auditoria do Microsoft Entra.

Dois outros logs de atividades também estão disponíveis para ajudar a monitorar a integridade do seu locatário:

  • Logins – Informações sobre logins e como seus recursos são usados por seus usuários.
  • Provisionamento – Atividades realizadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

Este artigo fornece uma visão geral dos logs de auditoria, incluindo o que é necessário para acessá-los e quais informações eles fornecem.

Requisitos de licença e de função

As funções e licenças necessárias variam de acordo com o relatório. São necessárias permissões separadas para aceder a dados de monitorização e estado de funcionamento no Microsoft Graph. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.

Registo / Relatório Funções Licenças
Audit Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Leitor Global
Todas as edições do Microsoft Entra ID
Inícios de sessão Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Leitor Global
Todas as edições do Microsoft Entra ID
Aprovisionamento Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Leitor Global
Operador de Segurança
Administrador de Aplicações
Administrador de aplicativos na nuvem
Microsoft Entra ID P1 ou P2
Logs de auditoria de atributos de segurança personalizados* Administrador de log de atributos
Leitor de log de atributos
Todas as edições do Microsoft Entra ID
Utilização e informações Leitor de relatórios
Leitor de Segurança
Administrador de Segurança
Microsoft Entra ID P1 ou P2
Proteção de identidade** Administrador de Segurança
Operador de Segurança
Leitor de Segurança
Leitor Global
Microsoft Entra ID Gratuito
Microsoft 365 Apps
Microsoft Entra ID P1 ou P2
Logs de atividades do Microsoft Graph Administrador de Segurança
Permissões para acessar dados no destino do log correspondente
Microsoft Entra ID P1 ou P2

*A visualização dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados requer uma das funções de Log de Atributos. Você também precisa da função apropriada para exibir os logs de auditoria padrão.

**O nível de acesso e os recursos do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de identidade.

O que você pode fazer com os logs de auditoria?

Os logs de auditoria no Microsoft Entra ID fornecem acesso aos registros de atividade do sistema, geralmente necessários para a conformidade. Você pode obter respostas para perguntas relacionadas a usuários, grupos e aplicativos.

Utilizadores:

  • Que tipos de alterações foram recentemente aplicadas aos utilizadores?
  • Quantos utilizadores foram alterados?
  • Quantas palavras-passe foram alteradas?

Grupos:

  • Que grupos foram adicionados recentemente?
  • Os proprietários do grupo foram alterados?
  • Quais são as licenças para um grupo ou um usuário?

Aplicações:

  • Quais aplicativos foram, atualizados ou removidos?
  • Uma entidade de serviço para um aplicativo foi alterada?
  • Os nomes das aplicações foram alterados?

Atributos de segurança personalizados:

  • Que alterações foram feitas nas definições ou atribuições de atributos de segurança personalizados?
  • Que atualizações foram feitas nos conjuntos de atributos?
  • Que valores de atributos personalizados foram atribuídos a um usuário?

Nota

As entradas nos logs de auditoria são geradas pelo sistema e não podem ser alteradas ou excluídas.

O que mostram os registos?

Os logs de auditoria são padronizados na guia Diretório , que exibe as seguintes informações:

  • Data e hora da ocorrência
  • Serviço que registou a ocorrência
  • Categoria e nome da atividade (o quê)
  • Estado da atividade (êxito ou falha)

Uma segunda guia para Segurança Personalizada exibe logs de auditoria para atributos de segurança personalizados. Para exibir dados nesta guia, você deve ter a função Administrador de Log de Atributos ou Leitor de Log de Atributos . Este log de auditoria mostra todas as atividades relacionadas a atributos de segurança personalizados. Para obter mais informações, consulte O que são atributos de segurança personalizados.

Screenshot of the audit logs, with the Directory and Custom Security tabs highlighted.

Logs de atividades do Microsoft 365

Pode visualizar os registos de atividade do Microsoft 365 a partir do centro de administração do Microsoft 365. Embora a atividade do Microsoft 365 e os logs de atividade do Microsoft Entra compartilhem muitos recursos de diretório, apenas o centro de administração do Microsoft 365 fornece uma exibição completa dos logs de atividades do Microsoft 365.

Você também pode acessar os logs de atividade do Microsoft 365 programaticamente usando as APIs de Gerenciamento do Office 365.

A maioria das assinaturas autônomas ou agrupadas do Microsoft 365 têm dependências de back-end em alguns subsistemas dentro do limite do datacenter do Microsoft 365. As dependências exigem algumas informações write-back para manter os diretórios sincronizados e, essencialmente, para ajudar a habilitar a integração sem problemas em uma opção de assinatura para o Exchange Online. Para esses write-backs, as entradas do log de auditoria mostram as ações executadas pelo "Microsoft Substrate Management". Essas entradas de log de auditoria referem-se a operações de criação/atualização/exclusão executadas pelo Exchange Online para o Microsoft Entra ID. As entradas são informativas e não requerem qualquer ação.