Informações básicas nos logs de entrada do Azure AD

O Azure AD registra todas as entrada em um locatário do Azure por questão de conformidade. Como administrador de TI, você precisa saber o que os valores do log de entrada significam para interpretá-los corretamente.

Este artigo explica os valores na guia Informações Básicas do log de entrada.

Identificadores exclusivos

No Azure AD, um acesso a recursos tem três componentes relevantes:

  • Quem – a identidade (usuário) que entrou.
  • Como: o cliente (aplicativo) usado no acesso.
  • O quê: o destino (recurso) que a identidade acessou.

Cada componente tem um identificador exclusivo (ID) associado. Abaixo, é apresentado um exemplo de usuário que usa o modelo de implantação clássico do Microsoft Azure para acessar o portal do Azure.

Open audit logs

Identificadores de locatário

O log de entrada acompanha dois identificadores de locatário:

  • Locatário inicial: o locatário que é proprietário da identidade de usuário.
  • Locatário do recurso: o locatário que é proprietário do recurso (destino).

Esses identificadores são relevantes em cenários entre locatários. Por exemplo, para descobrir como os usuários fora do locatário acessam os recursos, selecione todas as entradas em que o locatário inicial não corresponde ao locatário do recurso. Para o locatário inicial, o Azure AD rastreia a ID e o nome.

ID da Solicitação

A ID da solicitação é um identificador que corresponde a um token emitido. Para procurar por entradas realizadas com um token específico, primeiro você precisa extrair a ID da solicitação do token.

ID de Correlação

A ID de correlação agrupa as entrada da mesma sessão de logon. O identificador foi implementado por conveniência. Sua precisão não é garantida porque o valor é baseado nos parâmetros passados pelo cliente.

Identificador de entrada

O identificador de entrada é uma cadeia de caracteres que o usuário fornece ao Microsoft Azure AD para se identificar ao tentar entrar. Geralmente é um UPN, mas pode ser outro identificador, como um número de telefone.

Requisito de autenticação

Esse atributo mostra o nível mais alto de autenticação necessário em todas as etapas de logon para que a entrada seja bem-sucedida. Na API do Graph, dá suporte a $filter (somente a operadores eq e startsWith).

Tipos de eventos de entrada

Indica a categoria da entrada que o evento representa. Para logons de usuário, a categoria pode ser interactiveUser ou nonInteractiveUser e corresponde ao valor da propriedade isInteractive no recurso de entrada. Para logons de identidade gerenciada, a categoria é managedIdentity. Para logons de entidade de serviço, a categoria é servicePrincipal. O portal do Azure não mostra esse valor, mas o evento de entrada é colocado na guia que corresponde ao seu tipo. Os valores possíveis são:

  • interactiveUser
  • nonInteractiveUser
  • servicePrincipal
  • managedIdentity
  • unknownFutureValue

A API do Microsoft Graph dá suporte a: $filter (somente operador eq)

Tipo de usuário

O tipo de um usuário. Os exemplos incluem member, guest ou external.

Tipo de acesso entre locatários

Esse atributo descreve o tipo de acesso entre locatários usado pelo ator para acessar o recurso. Os valores possíveis são:

  • none: um evento de entrada que não ultrapassou os limites de um locatário do Azure AD.
  • b2bCollaboration: uma entrada entre locatários executada por um usuário convidado usando a Colaboração B2B.
  • b2bDirectConnect: uma entrada entre locatários executada por um B2B.
  • microsoftSupport: uma entrada entre locatários executada por um agente de suporte da Microsoft em um locatário de cliente da Microsoft.
  • serviceProvider: uma entrada entre locatários executada por um CSP (Provedor de Serviços de Nuvem) ou por um administrador semelhante em nome do cliente do CSP em um locatário.
  • unknownFutureValue: um valor sentinela usado pelo MS Graph para ajudar os clientes a lidar com alterações em listas de enumeração. Para saber mais, confira Práticas recomendadas para trabalhar com o Microsoft Graph.

Se a entrada não tiver aprovado os limites de um locatário, o valor será none.

Avaliação de acesso condicional

Esse valor mostra se a CAE (avaliação de acesso contínuo) foi aplicada ao evento de entrada. Há várias solicitações de entrada para cada autenticação. Alguns são mostrados na guia interativa, enquanto outros são mostrados na guia não interativa. A CAE só é exibida como “true” para uma das solicitações, e pode estar na guia interativa ou na guia não interativa. Para obter mais informações, consulte Monitorar e solucionar problemas de entrada com avaliação de acesso contínuo no Azure AD.

Próximas etapas