Logs de entrada no Azure Active Directory
Como administrador de TI, você deseja saber como seu ambiente de TI está se saindo. As informações sobre a integridade do seu sistema permitem que você avalie se e como precisa responder a possíveis problemas.
Para dar suporte a esse objetivo, o portal do Azure Active Directory dá acesso a três logs de atividade:
- Entradas – informações sobre entradas e como seus recursos são usados por seus usuários.
- Auditoria – informações sobre as alterações aplicadas ao seu locatário, como usuários e gerenciamento de grupo ou atualizações aplicadas aos recursos do locatário.
- Provisionamento – atividades executadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.
Este artigo fornece uma visão geral das atividades de entradas.
O que você pode fazer com eles?
Você pode usar o log de entrada para encontrar respostas para perguntas como:
O que é o padrão de entrada de um usuário?
Quantos usuários entraram em uma semana?
Qual é o status dessas entradas?
Quem pode acessá-los?
Você pode acessar seu histórico de entradas usando este link: https://mysignins.microsoft.com
Para acessar o log de entrada, você precisa ser:
Um administrador global
Um usuário em uma das seguintes funções:
Administrador de segurança
Leitor de segurança
Leitor global
Leitor de relatórios
De que licença do Azure AD você precisa?
O relatório de atividade de entrada está disponível em todas as edições do Microsoft Azure Active Directory. Se você tiver uma licença P1 ou P2 do Microsoft Azure Active Directory, também poderá acessar o relatório de atividade de entrada pela API do Microsoft Graph.
Onde você pode encontrá-los no portal do Azure?
O portal do Azure fornece várias opções para acessar o log. Por exemplo, no menu do Azure Active Directory, você pode abrir o log na seção Monitoramento.
Além disso, você pode acessar diretamente os logs de entradas usando este link: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns
Qual é a exibição padrão?
Um log de entradas tem um modo de exibição de lista padrão que mostra:
- A hora de entrada
- O usuário relacionado
- O aplicativo no qual o usuário entrou
- O status de entrada
- O status da detecção de riscos
- O status do requisito de MFA (autenticação multifator)
Você pode personalizar o modo de exibição de lista clicando em Colunas na barra de ferramentas.
A caixa de diálogo Colunas fornece acesso aos atributos selecionáveis. Um relatório de entrada não pode conter campos que tenham mais de um valor para uma determinada solicitação de entrada como coluna. Isso ocorre, por exemplo, com detalhes de autenticação, dados de acesso condicional e local de rede.
Código de erro de logon
Se uma entrada falhar, você poderá saber o motivo na seção Informações básicas do item de log relacionado.
Embora o item de log forneça um motivo de falha, há casos em que você pode obter mais informações usando a ferramenta de pesquisa de erros de entrada. Se disponível, essa ferramenta pode, por exemplo, fornecer etapas de correção.
Filtrar atividades de entrada
Você pode filtrar os dados em um log para limitá-los a um nível funcional para você:
ID da solicitação – a ID da solicitação desejada.
Usuário – o nome ou o UPN do usuário desejado.
Aplicativo – o nome do aplicativo de destino.
Status – o status de entrada desejado:
Sucesso
Falha
Interrompido
Endereço IP – o endereço IP do dispositivo usado para se conectar ao seu locatário.
Local – o local a partir do qual a conexão foi iniciada:
City
Estado/Província
País/Região
Recurso – o nome do serviço usado para a entrada.
ID do recurso – a ID do serviço usado para a entrada.
Aplicativo cliente – o tipo do aplicativo cliente usado para se conectar ao seu locatário:
Observação
Devido a compromissos de privacidade, o Azure AD não preenche esse campo para o locatário da página inicial no caso de um cenário entre locatários.
| Name | Autenticação moderna | Descrição |
|---|---|---|
| SMTP autenticado | Usado por clientes POP e IMAP para enviar mensagens de email. | |
| Descoberta automática | Usada pelos clientes do Outlook e do EAS para localizar e se conectar às caixas de correio no Exchange Online. | |
| Exchange ActiveSync | Esse filtro mostra todas as tentativas de entrada nas quais o protocolo EAS foi testado. | |
| Navegador |  |
Mostra todas as tentativas de entrada de usuários usando navegadores da Web |
| Exchange ActiveSync | Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online | |
| PowerShell do Exchange Online | Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar. Para obter instruções, confira Conectar ao Exchange Online PowerShell usando a autenticação multifator. | |
| Serviços Web do Exchange | Uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros. | |
| IMAP4 | Um cliente de email herdado usando o IMAP para recuperar o email. | |
| MAPI via HTTP | Usado pelo Outlook 2010 e versões posteriores. | |
| Aplicativos móveis e clientes de desktop | |
Mostra todas as tentativas de entrada de usuários usando aplicativos móveis e clientes desktop. |
| Catálogo de endereços offline | Uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook. | |
| Outlook em Qualquer Lugar (RPC via HTTP) | Usado pelo Outlook 2016 e versões anteriores. | |
| Serviço do Outlook | Usado pelo aplicativo Email e Calendário para Windows 10. | |
| POP3 | Um cliente de email herdado usando o POP3 para recuperar o email. | |
| Serviços Web de relatório | Usados para recuperar dados de relatório no Exchange Online. | |
| Outros clientes | Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou é desconhecido. |
Sistema operacional – o sistema operacional em execução no dispositivo usado para fazer logon no locatário.
Navegador do dispositivo – se a conexão tiver sido iniciada em um navegador, esse campo permitirá que você filtre por nome do navegador.
ID de correlação – a ID de correlação da atividade.
Acesso condicional – o status das regras de acesso condicional aplicadas
Não aplicado: nenhuma política aplicada ao usuário e ao aplicativo durante a entrada.
Sucesso: uma ou mais políticas de acesso condicional aplicadas ao usuário e ao aplicativo (mas não necessariamente às outras condições) durante a entrada.
Falha: a entrada satisfez a condição de usuário e aplicativo de pelo menos uma política de acesso condicional, e os controles de concessão não foram atendidos ou definidos para bloquear o acesso.
Atalhos dos dados de entradas
Tanto o AAD quanto o portal do Azure fornecem pontos de entrada adicionais para os dados de entrada:
- Visão geral da proteção de segurança de identidade
- Usuários
- Grupos
- Aplicativos empresariais
Dados de entradas de usuário na proteção de segurança de identidade
O grafo de entrada do usuário na página de visão geral da Proteção de segurança de identidade mostra agregações semanais de entradas. O padrão para o período é de 30 dias.
Quando você clica em um dia no gráfico de entradas, obtém uma lista detalhada das atividades de entrada do dia.
Cada linha na lista de atividades de entrada mostra:
- Quem entrou?
- Qual aplicativo era o destino da entrada?
- Qual é o status da entrada?
- Qual é o status de MFA da entrada?
Ao clicar em um item, você verá mais detalhes sobre a operação de entrada:
- ID do Usuário
- Usuário
- Nome de Usuário
- ID do aplicativo
- Aplicativo
- Cliente
- Local
- Endereço IP
- Data
- MFA obrigatório
- Status de entrada
Observação
Os endereços IP são emitidos de uma forma que não há nenhuma conexão definitiva entre um endereço IP e em que o computador com esse endereço está localizado fisicamente. O mapeamento de endereços IP é dificultado pelo fato de que os provedores móveis e VPNs emitem endereços IP de pools centrais que geralmente estão muito longe de onde o dispositivo cliente realmente é usado. No momento, a conversão de endereços IP para um local físico é um esforço baseado em rastreamentos, dados de registro, pesquisas inversas e outras informações.
Na página Usuários, você obtém uma visão geral completa de todas as entradas do usuário clicando em Entradas na seção Atividade.
Detalhes de autenticação
A guia Detalhes de Autenticação localizada no relatório de entradas fornece as seguintes informações para cada tentativa de autenticação:
- Uma lista de políticas de autenticação aplicadas (como Acesso Condicional, MFA por usuário, Padrões de Segurança)
- Uma lista de políticas de tempo de vida da sessão aplicadas (como frequência de logon, Lembrar MFA, Tempo de vida do token configurável)
- A sequência de métodos de autenticação usados para entrar
- Se a tentativa de autenticação foi bem-sucedida ou não
- Detalhes sobre por que a tentativa de autenticação foi bem-sucedida ou falhou
Essas informações permitem que os administradores solucionem problemas em cada etapa da entrada de um usuário e acompanhem:
- O volume de entradas protegidas pela autenticação multifator
- Motivo do prompt de autenticação com base nas políticas de tempo de vida da sessão
- As taxas de sucesso e uso de cada método de autenticação
- O uso de métodos de autenticação sem senha (como conexão via telefone sem senha, FIDO2 e Windows Hello para Empresas)
- Com que frequência os requisitos de autenticação são atendidos por declarações de token (em que não é solicitado interativamente aos usuários que eles insiram uma senha, um SMS OTP e assim por diante)
Ao exibir o relatório de entradas, selecione a guia Detalhes da Autenticação:
Observação
O código de verificação OATH é registrado como o método de autenticação para tokens de software e de hardware OATH (como o aplicativo Microsoft Authenticator).
Importante
A guia Detalhes da autenticação pode inicialmente mostrar dados incompletos ou imprecisos, até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
- Uma mensagem Atendido pela declaração no token é exibida de forma incorreta quando os eventos de entrada são registrados inicialmente.
- A linha de Autenticação primária não é registrada inicialmente.
Uso de aplicativos gerenciados
Com uma exibição centrada no aplicativo de seus dados de entrada, você pode responder a perguntas como:
- Quem está usando meus aplicativos?
- Quais são os três principais aplicativos na sua organização?
- Como meu aplicativo mais recente está se saindo?
O ponto de entrada desses dados são os três principais aplicativos em sua organização. Os dados estão contidos no relatório dos últimos 30 dias na seção Visão geral em Aplicativos empresariais.
Os grafos de uso de aplicativo geram agregações semanais de entradas dos três principais aplicativos em um determinado período de tempo. O padrão para o período é de 30 dias.
Se desejar, você pode definir o foco em um aplicativo específico.
Quando você clica em um dia no grafo de uso do aplicativo, pode obter uma lista detalhada das atividades de entrada.
A opção Entradas oferece uma visão geral completa de todos os eventos de entrada para seus aplicativos.
Logs de atividades do Microsoft 365
Você pode exibir os logs de atividades do Microsoft 365 no Centro de administração do Microsoft 365. Considere que as atividades do Microsoft 365 e os logs de atividade do Azure AD compartilham um número significativo de recursos de diretório. Apenas o Centro de administração do Microsoft 365 fornece uma exibição completa dos logs de atividade do Microsoft 365.
Você também pode acessar os logs de atividade do Microsoft 365 de modo programático usando as APIs de Gerenciamento do Office 365.