Logs de entrada no Azure Active Directory - versão prévia

Como administrador de TI, você deseja saber como seu ambiente de TI está se saindo. As informações sobre a integridade do seu sistema permitem que você avalie se e como precisa responder a possíveis problemas.

Para dar suporte a esse objetivo, o portal do Azure Active Directory dá acesso a três logs de atividade:

  • Entrada – informações sobre entradas e como seus recursos são usados por seus usuários.
  • Auditoria – informações sobre as alterações aplicadas ao seu locatário, como usuários e gerenciamento de grupo ou atualizações aplicadas aos recursos do locatário.
  • Provisionamento – atividades executadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

O log de entrada clássico no Azure Active Directory fornece uma visão geral das entradas interativas do usuário. Além disso, agora você passa a ter acesso a três logs de entrada adicionais que estão em versão prévia:

  • Entradas de usuário não interativas

  • Entradas de entidades de serviço

  • Identidades gerenciadas para entradas dos recursos do Azure

Este artigo fornece uma visão geral do relatório de atividades de entrada, oferecendo informações sobre identidades não interativas, de aplicativo e gerenciadas para entradas de recursos do Azure. Para saber mais sobre o relatório de entradas sem as versões prévias dos recursos, confira Logs de entrada no Azure Active Directory.

O que você pode fazer com eles?

O log de entrada fornece respostas para perguntas como:

  • Qual é o padrão de entrada de um usuário, aplicativo ou serviço?

  • Quantos usuários, aplicativos e serviços entraram em uma semana?

  • Qual é o status dessas entradas?

Quem pode acessar os dados?

  • Usuários nas funções Administrador de Segurança, Leitor de Segurança e Leitor de Relatório

  • Administradores globais

  • Qualquer usuário (não administradores) pode acessar suas próprias entradas

De que licença do Azure AD você precisa?

O relatório de atividade de entrada está disponível em todas as edições do Microsoft Azure Active Directory. Se você tiver uma licença P1 ou P2 do Microsoft Azure Active Directory, também poderá acessar o relatório de atividade de entrada pela API do Microsoft Graph. Consulte Introdução ao Azure Active Directory Premium para fazer upgrade da edição do Azure Active Directory. Serão necessários alguns dias para que os dados sejam exibidos no Graph depois que você fizer upgrade para uma licença premium sem ter tido atividades de dados antes do upgrade.

Onde você pode encontrá-los no portal do Azure?

O portal do Azure fornece várias opções para acessar o log. Por exemplo, no menu do Azure Active Directory, você pode abrir o log na seção Monitoramento.

Open sign-in logs

Além disso, você pode acessar diretamente o log de entrada usando este link: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Na página de entradas, você pode alternar entre:

  • Entradas de usuário interativas - Entradas em que um usuário fornece um fator de autenticação, como uma senha, uma resposta por meio de um aplicativo MFA, um fator biométrico ou um código QR.

  • Entradas de usuário não interativas - Entradas executadas por um cliente em nome de um usuário. Essas entradas não exigem qualquer fator de interação ou de autenticação do usuário. Por exemplo, autenticação e autorização usando tokens de acesso e de atualização que não exigem que um usuário insira credenciais.

  • Entradas de entidades de serviço - Entradas de aplicativos e entidades de serviço que não envolvem nenhum usuário. Nessas entradas, o aplicativo ou serviço fornece uma credencial em nome de si para autenticar ou acessar recursos.

  • Identidades gerenciadas para entradas de recursos do Azure - Entradas de recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure?

Sign-in log types

Cada guia na página de entradas mostra as colunas padrão abaixo. Algumas guias têm colunas adicionais:

  • Data de entrada

  • ID da Solicitação

  • Nome de usuário ou ID de usuário

  • Nome do aplicativo ou ID do aplicativo

  • Status da entrada

  • Endereço IP do dispositivo usado para a entrada

Entradas de usuário interativas

As entradas de usuário interativas são entradas em que um usuário fornece um fator de autenticação para o Azure AD ou interage diretamente com o Azure AD ou um aplicativo auxiliar, como o aplicativo Microsoft Authenticator. Os fatores que os usuários fornecem incluem senhas, respostas a desafios do MFA, fatores biométricos ou códigos QR que um usuário fornece ao Azure AD ou a um aplicativo auxiliar.

Observação

Esse log também inclui entradas federadas de provedores de identidade que são federados para o Azure AD.

Observação

O log de entradas interativas de usuário costumava conter algumas entradas não interativas de clientes do Microsoft Exchange. Embora essas entradas sejam não interativas, elas foram incluídas no log de entradas interativas de usuário para gerar maior visibilidade. Depois que o log de entradas não interativas de usuário entrou em versão prévia pública em novembro de 2020, esses logs de entrada não interativas foram movidos para o log de entrada não interativas de usuário para gerar maior precisão.

Tamanho do relatório: pequeno
Exemplos:

  • Um usuário fornece nome de usuário e senha na tela de entrada do Azure AD.

  • Um usuário passa por uma verificação via SMS de um MFA.

  • Um usuário faz um gesto biométrico para desbloquear seu computador Windows com o Windows Hello para Empresas.

  • Um usuário é federado para o Azure AD com uma declaração SAML AD FS.

Além dos campos padrão, o log de entrada interativa também mostra:

  • O local da entrada

  • Se o acesso condicional foi aplicado

Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.

Interactive user sign-in columns

Personalizar a exibição permite a você exibir campos adicionais ou remover campos que já estão exibidos.

All interactive columns

Entradas de usuário não interativas

Entradas de usuário não interativas são entradas que foram executadas por um aplicativo cliente ou por componentes do sistema operacional em nome de um usuário. Assim como as entradas de usuário interativas, essas entradas são feitas em nome de um usuário. Ao contrário das entradas de usuário interativas, essas entradas não exigem que o usuário forneça um fator de autenticação. Em vez disso, o aplicativo do dispositivo ou do cliente usa um token ou código para autenticar ou acessar um recurso em nome de um usuário. Em geral, o usuário perceberá essas entradas como ocorrendo no segundo plano da atividade do usuário.

Tamanho do relatório: grande
Exemplos:

  • Um aplicativo cliente usa um token de atualização OAuth 2.0 para obter um token de acesso.

  • Um cliente usa um código de autorização OAuth 2.0 para obter um token de acesso e um token de atualização.

  • Um usuário executa o SSO (logout único) em um aplicativo Web ou Windows em um computador ingressado no Azure Active Directory (sem fornecer um fator de autenticação ou interagir com um prompt do Azure Active Directory).

  • Um usuário entra em um segundo aplicativo do Microsoft Office enquanto ele está em uma sessão em um dispositivo móvel usando FOCI (família de IDs de cliente).

Além dos campos padrão, o log de entrada não interativa também mostra:

  • ID de Recurso

  • Número de entradas agrupadas

Não é possível personalizar os campos mostrados neste relatório.

Disabled columns

Para facilitar a ingestão dos dados, os eventos de entradas não interativas são agrupados. Clientes geralmente criam muitas entradas não interativas em nome do mesmo usuário em um curto período de tempo. Elas compartilham as mesmas características, exceto pelo momento em que a entrada foi tentada. Por exemplo, um cliente pode obter um token de acesso uma vez por hora em nome de um usuário. Se o usuário ou o cliente não tiver o estado alterado, o endereço IP, o recurso e todas as outras informações serão os mesmas em cada solicitação de token de acesso. Quando o Azure AD registra várias entradas que são idênticas, exceto pela hora e data, essas entradas serão provenientes da mesma entidade e serão agregadas em uma única linha. Uma linha com várias entradas idênticas (com exceção da data e hora emitidas) terá um valor maior que 1 na coluna Nº de Entradas. Você pode expandir a linha para ver todas as entradas diferentes e seus diferentes carimbos de data/hora. As entradas são agregadas nos usuários não interativos quando os seguintes dados corresponderem:

  • Aplicativo

  • Usuário

  • Endereço IP

  • Status

  • ID de Recurso

O endereço IP de logins não interativos não é igual ao IP de origem real de onde vem a solicitação de token de atualização. Em vez disso, ele mostra o IP original usado para a emissão de token original.

Entradas de entidades de serviço

Ao contrário das entradas de usuário interativas e não interativas, as entradas de entidades de serviço não envolvem um usuário. Em vez disso, eles são entradas de qualquer conta que não seja de usuário, como de aplicativos ou entidades de serviço (exceto no caso da entrada de identidades gerenciadas, incluídas apenas no log de entrada de identidade gerenciada). Nessas entradas, o aplicativo ou serviço fornece sua própria credencial, como um certificado ou segredo de aplicativo para autenticar ou acessar recursos.

Tamanho do relatório: grande
Exemplos:

  • Uma entidade de serviço usa um certificado para autenticar e acessar o Microsoft Graph.

  • Um aplicativo usa um segredo do cliente para se autenticar no fluxo de credenciais do cliente OAuth.

Este relatório tem um modo de exibição de lista padrão que mostra:

  • Data de entrada

  • ID da Solicitação

  • Nome ou ID da entidade de serviço

  • Status

  • Endereço IP

  • Nome do recurso

  • ID de Recurso

  • Número de entradas

Não é possível personalizar os campos mostrados neste relatório.

Disabled columns

Para facilitar a ingestão dos dados nos logs de entradas de entidades de serviço, os eventos de entradas de entidades de serviço são agrupados. As entradas da mesma entidade, feita sob as mesmas condições, são agregadas em uma única linha. Você pode expandir a linha para ver todas as entradas diferentes e seus diferentes carimbos de data/hora. As entradas são agregadas no relatório de entidades de serviço quando os seguintes dados correspondem:

  • Nome ou ID da entidade de serviço

  • Status

  • Endereço IP

  • ID ou nome do recurso

Entradas dos recursos de identidades gerenciadas do Azure

As entradas dos recursos de identidades gerenciadas do Azure são entradas que foram executadas por recursos que têm seus segredos gerenciados pelo Azure para simplificar o gerenciamento de credenciais.

Tamanho do relatório: pequeno
Exemplos:

Uma VM com credenciais gerenciadas usa o Azure AD para obter um token de acesso.

Este relatório tem um modo de exibição de lista padrão que mostra:

  • ID da identidade gerenciada

  • Nome da identidade gerenciada

  • Recurso

  • ID de Recurso

  • Número de entradas agrupadas

Não é possível personalizar os campos mostrados neste relatório.

Para facilitar a ingestão dos dados, os logs das entradas dos recursos de identidades gerenciadas do Azure e os eventos de entradas não interativas são agrupados. As entradas da mesma entidade são agregadas em uma única linha. Você pode expandir a linha para ver todas as entradas diferentes e seus diferentes carimbos de data/hora. As entradas são agregadas no relatório de identidades gerenciadas quando todos os dados a seguir corresponderem:

  • Nome ou ID da identidade gerenciada

  • Status

  • ID ou nome do recurso

Selecione um item na exibição em lista para exibir todas as entradas agrupadas em um nó.

Selecione um item agrupado para ver todos os detalhes da entrada.

Código de erro de logon

Se uma entrada falhar, você poderá saber o motivo na seção Informações básicas do item de log relacionado.

Screenshot shows a detailed information view.

Embora o item de log forneça um motivo de falha, há casos em que você pode obter mais informações usando a ferramenta de pesquisa de erros de entrada. Se disponível, essa ferramenta pode, por exemplo, fornecer etapas de correção.

Error code lookup tool

Filtrar atividades de entrada

Com a definição de um filtro, você pode restringir o escopo dos dados de entrada retornados. O Azure AD oferece uma ampla variedade de filtros adicionais que você pode definir. Ao definir seu filtro, você deve sempre prestar atenção especial ao filtro de intervalo de Datas configurado. Um filtro de intervalo de datas configurado adequadamente garante que o Azure AD retorne apenas os dados nos quais você realmente se interessa.

O filtro de intervalo de Datas permite definir um intervalo de tempo para os dados retornados. Os valores possíveis são:

  • Um mês

  • Sete dias

  • Vinte e quatro horas

  • Personalizado

Date range filter

Filtrar entradas de usuários

O filtro para entradas interativas e não interativas é o mesmo. Por causa disso, o filtro que você configurou para entradas interativas é mantido para entradas não interativas e vice-versa.

Acessar os novos logs de atividades de entrada

O relatório de atividades de entrada no Portal do Azure fornece um método simples para ativar e desativar o relatório em versão prévia. Se os logs em versão prévia estiverem habilitados, você obterá um novo menu que fornece acesso a todos os tipos de relatório de atividades de entrada.

Para acessar os novos logs de entrada com entradas não interativas e de aplicativos:

  1. No Portal do Azure, selecione Azure Active Directory.

    Select Azure AD

  2. Na seção Monitoramento, clique em Entradas.

    Select sign-ins

  3. Clique na barra Versão prévia.

    Enable new view

  4. Para voltar para o modo de exibição padrão, clique na barra Versão Prévia novamente.

    Restore classic view

Próximas etapas