Relatórios de atividades de entrada no portal do Azure Active DirectorySign-in activity reports in the Azure Active Directory portal

A arquitetura de relatórios no Azure AD (Azure Active Directory) consiste nos seguintes componentes:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • AtividadeActivity
    • Entradas – Informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Logs de Auditoria - Logs de Auditoria fornecer informações de atividades do sistema sobre usuários e gerenciamento de grupos, aplicativos gerenciados e atividades de diretório.Audit logs - Audit logs provide system activity information about users and group management, managed applications and directory activities.
  • SegurançaSecurity
    • Entradas arriscadas - Uma entrada arriscada é um indicador para uma tentativa de entrada que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de usuário.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
    • Usuários sinalizados para risco - Um usuário arriscado é um indicador de uma conta de usuário que pode ter sido comprometida.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Este tópico fornece uma visão geral das atividades de entradas.This topic gives you an overview of the sign-ins report.

Pré-requisitosPrerequisites

Quem pode acessar os dados?Who can access the data?

  • Usuários nas funções Administrador de Segurança, Leitor de Segurança e Leitor de RelatórioUsers in the Security Administrator, Security Reader and Report Reader roles
  • Administradores globaisGlobal Administrators
  • Além disso, qualquer usuário (não administrador) pode acessar suas próprias entradasIn addition, any user (non-admins) can access their own sign-ins

Qual licença do Azure AD você precisa para acessar a atividade de entrada?What Azure AD license do you need to access sign-in activity?

  • O locatário deve ter uma licença do Azure AD Premium associada a ele para ver todo o relatório de atividade de entrada.Your tenant must have an Azure AD Premium license associated with it to see the all up sign-in activity report. Consulte Introdução ao Azure Active Directory Premium para fazer upgrade da edição do Azure Active Directory.See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition. Observe que, se você não tiver dados das atividades antes da atualização, eles demorarão alguns dias para ser exibidos nos relatórios depois de atualizar para uma licença premium.Note that if you did not have any activities data prior to the upgrade, it will take a couple of days for the data to show up in the reports after you upgrade to a premium license.

Relatório de entradasSign-ins report

O relatório de entradas de usuário fornece respostas para as seguintes perguntas:The user sign-ins report provides answers to the following questions:

  • O que é o padrão de entrada de um usuário?What is the sign-in pattern of a user?
  • Quantos usuários entraram em uma semana?How many users have signed in over a week?
  • Qual é o status dessas entradas?What’s the status of these sign-ins?

É possível acessar o relatório de entradas, selecionando Entradas na seção Atividade da folha Azure Active Directory no portal do Azure.You can access the sign-ins report by selecting Sign-ins in the Activity section of the Azure Active Directory blade in the Azure portal. Observe que alguns registros de entrada podem levar até duas horas para ser exibidos no portal.Note that it may take upto two hours for some sign-in records to show up in the portal.

Atividade de entradaSign-in activity

Importante

O relatório de entradas exibe apenas os logins interativos, isto é, os logins nos quais um usuário faz login manualmente usando seu nome de usuário e senha.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. Os logins não interativos, como a autenticação de serviço a serviço, não são exibidos no relatório de logins.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

Um log de entradas tem um modo de exibição de lista padrão que mostra:A sign-ins log has a default list view that shows:

  • A hora de entradaThe sign-in date
  • O usuário relacionadoThe related user
  • O aplicativo ao qual o usuário entrouThe application the user has signed in to
  • O status de entradaThe sign-in status
  • O status da detecção de riscosThe status of the risk detection
  • O status do requisito de MFA (autenticação multifator)The status of the multi-factor authentication (MFA) requirement

Atividade de entradaSign-in activity

Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.You can customize the list view by clicking Columns in the toolbar.

Atividade de entradaSign-in activity

Isso permite a você exibir campos adicionais ou remover campos que já estão exibidos.This enables you to display additional fields or remove fields that are already displayed.

Atividade de entradaSign-in activity

Selecione um item na exibição de lista para obter informações mais detalhadas.Select an item in the list view to get more detailed information.

Atividade de entradaSign-in activity

Observação

Agora, os clientes podem solucionar problemas de políticas de acesso condicional por meio de todos os relatórios de entrada.Customers can now troubleshoot Conditional Access policies through all sign-in reports. Ao clicar na guia acesso condicional para um registro de entrada, os clientes podem examinar o status de acesso condicional e aprofundar-se nos detalhes das políticas que foram aplicadas à entrada e ao resultado de cada política.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. Para obter mais informações, consulte as Perguntas frequentes sobre as informações de CA em todos os logins.For more information, see the Frequently asked questions about CA information in all sign-ins.

Filtrar atividades de entradaFilter sign-in activities

Para restringir os dados relatados a um nível que funciona para você, você pode filtrar os dados de entradas usando o campo de data como filtro padrão.To narrow down the reported data to a level that works for you, you can filter the sign-ins data using date field as default filter. Além disso, o Azure AD oferece uma ampla variedade de filtros adicionais que podem ser definidos.Additionally, Azure AD provides you with a broad range of additional filters you can set.

Atividade de entradaSign-in activity

O filtro Usuário permite que você especifique o nome ou o UPN (nome UPN) do usuário desejado.The User filter enables you to specify the name or the user principal name (UPN) of the user you care about.

O filtro Aplicativo permite que você especifique o nome do aplicativo desejado.The Application filter enables you to specify the name of the application you care about.

O filtro status de entrada permite que você selecione:The Sign-in status filter enables you to select:

  • TodasAll
  • ÊxitoSuccess
  • FalhaFailure

O filtro Acesso Condicional permite que você selecione o status da política de Autoridade de Certificação para a entrada:The Conditional Access filter enables you to select the CA policy status for the sign-in:

  • TodasAll
  • Não AplicadoNot Applied
  • ÊxitoSuccess
  • FalhaFailure

O filtro Data permite definir um período de tempo para os dados retornados.The Date filter enables to you to define a timeframe for the returned data.
Os valores possíveis são:Possible values are:

  • 1 mês1 month
  • 7 dias7 days
  • 24 horas24 hours
  • Intervalo de tempo personalizadoCustom time interval

Quando você seleciona um período de tempo personalizado, pode configurar uma hora de início e uma hora de término.When you select a custom timeframe, you can configure a start time and an end time.

Se você adicionar outros campos ao modo de exibição de entradas, esses campos serão adicionados automaticamente à lista de filtros.If you add additional fields to your sign-ins view, these fields are automatically added to the list of filters. Por exemplo, ao adicionar o campo Aplicativo Cliente à sua lista, você também obtém outra opção de filtro que permite definir os seguintes filtros:For example, by adding Client App field to your list, you also get another filter option that enables you to set the following filters:
Atividade de entradaSign-in activity

  • NavegadorBrowser
    Esse filtro mostra todos os eventos em que as tentativas de entrada foram executadas usando fluxos de navegador.This filter shows all events where sign-in attempts were performed using browser flows.

  • Exchange ActiveSync (com suporte)Exchange ActiveSync (supported)
    Esse filtro mostra todas as tentativas de entrada em que o protocolo EAS (Exchange ActiveSync) foi tentado a partir de plataformas com suporte, como iOS, Android e Windows Phone.This filter shows all sign-in attempts where the Exchange ActiveSync (EAS) protocol has been attempted from supported platforms like iOS, Android and Windows Phone.

  • Exchange ActiveSync (sem suporte)Exchange ActiveSync (unSupported)
    Esse filtro mostra todas as tentativas de entrada nas quais o protocolo EAS foi tentado a partir de plataformas sem suporte, como o Linux distribuições.This filter shows all sign-in attempts where the EAS protocol has been attempted from unsupported platforms like, Linux distros.

  • Aplicativos móveis e clientes de área de trabalho Esse filtro mostra todas as tentativas de entrada que não estavam usando fluxos de navegador.Mobile Apps and Desktop clients This filter shows all sign-in attempts that were not using browser flows. Isso pode ser aplicativos móveis de qualquer plataforma usando qualquer protocolo ou de aplicativos cliente de desktop, como Office no Windows ou MacOS.This can be mobile apps from any platform using any protocol or from Desktop client apps like Office on Windows or MacOS.

  • Outros clientesOther clients

    • IMAPIMAP
      Um cliente de email herdado usando IMAP para recuperar email.A legacy mail client using IMAP to retrieve email.
    • MAPIMAPI
      Office 2013, onde a ADAL está habilitada e está usando MAPI.Office 2013, where ADAL is enabled and it is using MAPI.
    • Clientes mais antigos do OfficeOlder Office clients
      Office 2013 em sua configuração padrão em que a ADAL não está habilitada e está usando MAPI ou o Office 2016 em que a ADAL foi desabilitada.Office 2013 in its default configuration where ADAL is not enabled and it is using MAPI, or Office 2016 where ADAL has been disabled.
    • POPPOP
      Um cliente de email herdado usando POP3 para recuperar email.A legacy mail client using POP3 to retrieve email.
    • SMTPSMTP
      Um cliente de email herdado usando SMTP para enviar email.A legacy mail client using SMTP to send email.

Baixar atividades de entradaDownload sign-in activities

Você poderá baixar os dados de entradas, caso queira trabalhar com esses dados fora do portal do Azure.You can download the sign-ins data if you want to work with it outside the Azure portal. Clicar em baixar oferece a opção de criar um arquivo CSV ou JSON dos registros 250.000 mais recentes.Clicking Download gives you the option to create a CSV or JSON file of the most recent 250,000 records.

BaixarDownload

Importante

O número de registros que podem ser baixados é restringido pelas políticas de retenção de relatórios do Azure Active Directory.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Atalhos dos dados de entradasSign-ins data shortcuts

Além do Azure AD, o portal do Azure fornece pontos de entrada adicionais aos dados de entradas:In addition to Azure AD, the Azure portal provides you with additional entry points to sign-ins data:

  • Visão geral da proteção de segurança de identidadeThe Identity security protection overview
  • UsuáriosUsers
  • GruposGroups
  • Aplicativos empresariaisEnterprise applications

Dados de entradas de usuário na proteção de segurança de identidadeUsers sign-ins data in Identity security protection

O grafo de entrada do usuário na página Visão geral da proteção de segurança de identidade mostra as agregações semanais de entradas para todos os usuários em um determinado período de tempo.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins for all users in a given time period. O padrão para o período é de 30 dias.The default for the time period is 30 days.

Atividade de entradaSign-in activity

Quando você clica em um dia no gráfico de entradas, obtém uma lista detalhada das atividades de entrada do dia.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

Cada linha na lista de atividades de entrada mostra:Each row in the sign-in activities list shows:

  • Quem entrou?Who has signed in?
  • Qual aplicativo era o destino da entrada?What application was the target of the sign-in?
  • Qual é o status da entrada?What is the status of the sign-in?
  • Qual é o status de MFA da entrada?What is the MFA status of the sign-in?

Ao clicar em um item, você verá mais detalhes sobre a operação de entrada:By clicking an item, you get more details about the sign-in operation:

  • ID de usuárioUser ID
  • UserUser
  • Nome de usuárioUsername
  • ID do AplicativoApplication ID
  • AplicativoApplication
  • ClienteClient
  • LocationLocation
  • Endereço IPIP address
  • DateDate
  • MFA NecessárioMFA Required
  • Status de entradaSign-in status

Observação

Os endereços IP são emitidos de uma forma que não há nenhuma conexão definitiva entre um endereço IP e em que o computador com esse endereço está localizado fisicamente.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. O mapeamento de endereços IP é dificultado pelo fato de que os provedores móveis e VPNs emitem endereços IP de pools centrais que geralmente estão muito longe de onde o dispositivo cliente realmente é usado.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. Atualmente, nos relatórios do Azure AD, a conversão do endereço IP em um local físico é um melhor esforço com base em rastreamentos, dados de registro, pesquisas inversas e outras informações.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

Na página Usuários, você obtém uma visão geral completa de todas as entradas do usuário clicando em Entradas na seção Atividade.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

Atividade de entradaSign-in activity

Uso de aplicativos gerenciadosUsage of managed applications

Com uma exibição centrada no aplicativo de seus dados de entrada, você pode responder a perguntas como:With an application-centric view of your sign-in data, you can answer questions such as:

  • Quem está usando meus aplicativos?Who is using my applications?
  • Quais são os três principais aplicativos em sua organização?What are the top 3 applications in your organization?
  • Recentemente, eu implantei um aplicativo.I have recently rolled out an application. Como ele está se saindo?How is it doing?

Seu ponto de entrada para esses dados é composto pelos três principais aplicativos em sua organização no relatório dos 30 últimos dias, presente na seção Visão geral, em Aplicativos empresariais.Your entry point to this data is the top 3 applications in your organization within the last 30 days report in the Overview section under Enterprise applications.

Atividade de entradaSign-in activity

As agregações semanais do grafo de uso do aplicativo de entradas para os três principais aplicativos em um determinado período de tempo.The app-usage graph weekly aggregations of sign-ins for your top 3 applications in a given time period. O padrão para o período é de 30 dias.The default for the time period is 30 days.

Atividade de entradaSign-in activity

Se desejar, você pode definir o foco em um aplicativo específico.If you want to, you can set the focus on a specific application.

RelatóriosReporting

Quando você clica em um dia no grafo de uso do aplicativo, pode obter uma lista detalhada das atividades de entrada.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

A opção Entradas oferece uma visão geral completa de todos os eventos de entrada para seus aplicativos.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Atividade de entradaSign-in activity

Logs de atividade do Office 365Office 365 activity logs

Você pode exibir os logs de atividade do Office 365 no centro de administração do Microsoft 365.You can view Office 365 activity logs from the Microsoft 365 admin center. Embora a atividade do Office 365 e os logs de atividades do Azure AD compartilhem muitos recursos de diretório, somente o Microsoft 365 centro de administração fornece uma visão completa dos logs de atividade do Office 365.Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Você também pode acessar os logs de atividade do Office 365 programaticamente usando as APIs de gerenciamento do office 365.You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

Próximas etapasNext steps