Logs de auditoria no Azure Active Directory

Como administrador de TI, você deseja saber como seu ambiente de TI está se saindo. As informações sobre a integridade do seu sistema permitem que você avalie se e como precisa responder a possíveis problemas.

Para dar suporte a esse objetivo, o portal do Azure Active Directory dá acesso a três logs de atividade:

  • Entradas – informações sobre entradas e como seus recursos são usados por seus usuários.
  • Auditoria – informações sobre as alterações aplicadas ao seu locatário, como usuários e gerenciamento de grupo ou atualizações aplicadas aos recursos do locatário.
  • Provisionamento – atividades executadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

Este artigo fornece uma visão geral do relatório de auditoria.

O que é?

Com os logs de auditoria do Azure AD, você obtém acesso a registros de atividades do sistema para fins de conformidade. Os modos de exibição mais comuns desse log baseiam-se nas seguintes categorias:

  • Gerenciamento de usuários

  • Gerenciamento de grupos

  • Gerenciamento de aplicativos

Com uma exibição centrada no usuário, você pode obter respostas para perguntas como:

  • Que tipos de atualizações foram aplicadas aos usuários?

  • Quantos usuários foram alterados?

  • Quantas senhas foram alteradas?

  • O que um administrador fez em um diretório?

Com uma exibição centrada no grupo, você pode obter respostas para perguntas como:

  • Quais são os grupos que foram adicionados?

  • Existem grupos com alterações de associação?

  • Os proprietários do grupo foram alterados?

  • Quais licenças foram atribuídas a um grupo ou a um usuário?

Com uma exibição centrada no aplicativo, você pode obter respostas para perguntas como:

  • Quais aplicativos foram adicionados ou atualizados?

  • Quais aplicativos foram removidos?

  • Uma entidade de serviço para um aplicativo foi alterada?

  • Os nomes de aplicativos foram alterados?

  • Quem deu permissão a um aplicativo?

De qual licença eu preciso?

O relatório de atividades de auditoria está disponível em todas as edições do Azure AD.

Quem pode acessá-los?

Para acessar os logs de auditoria, você precisa estar em uma das seguintes funções:

  • Administrador de Segurança
  • Leitor de segurança
  • Leitor de relatórios
  • Leitor global
  • Administrador Global

Em que local posso encontrá-lo?

O portal do Azure fornece várias opções para acessar o log. Por exemplo, no menu do Azure Active Directory, você pode abrir o log na seção Monitoramento.

Abrir logs de auditoria

Além disso, você pode acessar diretamente os logs de auditoria usando este link.

Você também pode acessar o log de auditoria por meio da API do Microsoft Graph.

Qual é a exibição padrão?

Um log de auditoria tem um modo de exibição de lista padrão que mostra:

  • a data e a hora da ocorrência
  • o serviço que registrou a ocorrência
  • a categoria e o nome da atividade (o que)
  • o status da atividade (sucesso ou falha)
  • o destino
  • o iniciador/ator (quem) de uma atividade

Logs de auditoria

Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.

Auditar colunas

Isso permite a você exibir campos adicionais ou remover campos que já estão exibidos.

Remover campos

Selecione um item na exibição de lista para obter informações mais detalhadas.

Selecionar item

Filtragem de logs de auditoria

É possível filtrar os dados de auditoria nos seguintes campos:

  • Serviço
  • Categoria
  • Atividade
  • Status
  • Destino
  • Iniciado por (ator)
  • Intervalo de datas

Filtrar objeto

O filtro de Serviço permite que você selecione em uma lista suspensa com os seguintes serviços:

  • Tudo
  • Experiência de usuário do gerenciamento do AAD
  • Revisões de acesso
  • Provisionamento de conta de usuário
  • Proxy do Aplicativo
  • Métodos de autenticação
  • B2C
  • Acesso condicional
  • Diretório principal
  • Gerenciamento de direitos
  • Autenticação híbrida
  • Identity Protection
  • Usuários Convidados
  • Serviço MIM
  • MyApps
  • PIM
  • Gerenciamento de grupos de autoatendimento
  • Gerenciamento de senhas de auto-atendimento
  • Termos de Uso

O filtro Categoria permite que você selecione um dos seguintes filtros:

  • Tudo
  • AdministrativeUnit
  • ApplicationManagement
  • Autenticação
  • Autorização
  • Contact
  • Dispositivo
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Rótulo
  • Outro
  • PermissionGrantPolicy
  • Política
  • ResourceManagement
  • RoleManagement
  • UserManagement

O filtro Atividade se baseia na seleção do tipo de recurso de categoria e atividade que você faz. Você pode selecionar uma atividade específica que deseja exibir ou escolher todas.

Você pode obter a lista de todas as Atividades de auditoria usando a API Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

O filtro Status permite que você filtre com base no status de uma operação de auditoria. O status pode ser um dos seguintes:

  • Tudo
  • Sucesso
  • Falha

O filtro Destino permite que você procure um destino específico pelo início do nome ou UPN. O nome de destino e o UPN diferenciam maiúsculas de minúsculas.

O filtro Iniciado por permite que você defina com que começa o nome de um ator ou de um UPN. O nome e o UPN diferenciam maiúsculas de minúsculas.

O filtro intervalo de datas permite definir um período de tempo para os dados retornados.
Os valores possíveis são:

  • 7 dias
  • 24 horas
  • Personalizado

Quando você seleciona um período de tempo personalizado, pode configurar uma hora de início e uma hora de término.

Você também pode optar por baixar os dados filtrados, com limite de até 250.000 registros, selecionando o botão Baixar. Você pode baixar os logs nos formatos CSV ou JSON. O número de registros que podem ser baixados é restringido pelas políticas de retenção de relatórios do Azure Active Directory.

Baixar dados

Logs de atividades do Microsoft 365

Você pode exibir os logs de atividades do Microsoft 365 no Centro de administração do Microsoft 365. Embora os logs de atividades do Microsoft 365 e do Azure AD compartilhem muitos dos recursos de diretório, somente o Centro de administração do Microsoft 365 oferece uma exibição completa dos logs de atividades do Microsoft 365.

Você também pode acessar os logs de atividade do Microsoft 365 de modo programático usando as APIs de Gerenciamento do Office 365.

Próximas etapas