Registos de login no Diretório Ativo Azure

Como administrador de TI, quer saber como está o seu ambiente de TI. A informação sobre a saúde do seu sistema permite-lhe avaliar se e como precisa responder a potenciais problemas.

Para apoiá-lo com este objetivo, o portal Azure Ative Directory dá-lhe acesso a três registos de atividade:

  • Ins-ins – Informações sobre insinusagens e como os seus recursos são utilizados pelos seus utilizadores.
  • Auditoria – Informação sobre alterações aplicadas ao seu inquilino, como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do seu inquilino.
  • Provisionamento – Atividades realizadas pelo serviço de prestação de serviços, como a criação de um grupo no ServiceNow ou um utilizador importado do Workday.

Este artigo dá-lhe uma visão geral do relatório de inscrições.

O que se pode fazer com isto?

Pode utilizar o login para encontrar respostas a questões como:

  • O que é o padrão de início de sessão de um utilizador?

  • Quantos utilizadores iniciaram sessão ao longo de uma semana?

  • Qual é o estado destes inícios de sessão?

Quem pode acessá-lo?

Pode sempre aceder ao seu próprio registo de login.

Para aceder ao registo de login de outro utilizador, tem de ser:

  • Um administrador global

  • Um utilizador numa das seguintes funções:

    • Administrador de segurança

    • Leitor de segurança

    • Leitor global

    • Leitor de relatórios

Que licença de AD Azure precisa?

O relatório de atividades de inscrição está disponível em todas as edições do AZure AD e também pode ser acedido através da API do Microsoft Graph.

Onde pode encontrá-lo no portal Azure?

O portal Azure oferece-lhe várias opções para aceder ao registo. Por exemplo, no menu Azure Ative Directory, pode abrir o registo na secção De Monitorização.

Abrir registos de login

Além disso, pode chegar diretamente aos registos de login utilizando este link: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Qual é a vista padrão?

Um registo de inícios de sessão tem uma vista de listas predefinidas que mostra:

  • A data de início de sessão
  • O utilizador relacionado
  • A aplicação que o utilizador assinou
  • O estado de início de sessão
  • O estado da deteção de risco
  • O estado do requisito de autenticação multifator (MFA)

A screenshot mostra as entradas online do Office 365 SharePoint.

Pode personalizar a vista de lista ao clicar em Colunas na barra de ferramentas.

A screenshot mostra a opção Colunas na página 'Iniciar s-ins'.

O diálogo Colunas dá-lhe acesso aos atributos selecionáveis. Num relatório de inscrição, não se pode ter campos que tenham mais do que um valor para um dado pedido de inscrição como coluna. Isto é, por exemplo, verdade para detalhes de autenticação, dados de acesso condicional e localização da rede.

A screenshot mostra a caixa de diálogo colunas onde pode selecionar atributos.

Selecione um item na vista da lista para obter informações mais detalhadas.

A screenshot mostra uma visão detalhada da informação.

Código de erro de inscrição

Se uma sessão de login falhar, poderá obter mais informações sobre o motivo na secção de informações Básicas do item de registo relacionado.

código de erro de acesso

Embora o item de registo lhe forneça uma razão de falha, existem casos em que poderá obter mais informações utilizando a ferramenta de procuração de erros de início de sessão. Por exemplo, se disponível, esta ferramenta fornece-lhe medidas de reparação.

Ferramenta de procura de código de erro

<a name="filter-sign-in-activities">Filtrar atividades de início de sessão

Pode filtrar os dados num registo para reduzi-lo a um nível que funcione para si:

![A screenshot mostra a opção adicionar filtros.](./media/concept-sign-ins/04.png "Atividade de início de sessão")

ID do pedido - A identificação do pedido que lhe interessa.

Utilizador - O nome ou o nome principal do utilizador (UPN) do utilizador de que se preocupa.

Aplicação - O nome do pedido-alvo.

Estado - O estado de inscrição que lhe interessa:

  • Com êxito

  • Falha

  • Interrompido

Endereço IP - O endereço IP do dispositivo utilizado para ligar ao seu inquilino.

A Localização - A localização da ligação foi iniciada a partir de:

  • City

  • Estado / Província

  • País/Região

Recurso - O nome do serviço utilizado para a inscrição.

ID de recurso - A identificação do serviço utilizado para a inscrição.

App cliente - O tipo de aplicação do cliente usada para ligar ao seu inquilino:

Filtro de aplicativo de cliente

Name Autenticação moderna Description
SMTP autenticado Usado pelos clientes POP e IMAP para enviar mensagens de correio e-mail.
Autodiscover Utilizado pelos clientes Outlook e EAS para encontrar e conectar-se a caixas de correio em Exchange Online.
Exchange ActiveSync Este filtro mostra todas as tentativas de inscrição em que o protocolo EAS foi tentado.
Browser Marca de verificação azul. Mostra todas as tentativas de inscrição de utilizadores que usam navegadores web
Exchange ActiveSync Mostra todas as tentativas de login dos utilizadores com aplicações de clientes que usam o Exchange ActiveSync para se conectarem ao Exchange Online
Intercâmbio PowerShell Online Usado para ligar a Exchange Online com powerShell remoto. Se bloquear a autenticação básica para Exchange Online PowerShell, tem de utilizar o módulo Exchange Online PowerShell para se ligar. Para obter instruções, consulte Connect to Exchange Online PowerShell utilizando a autenticação de vários fatores.
Serviços Web Exchange Uma interface de programação que é usada pelo Outlook, Outlook para Mac e aplicações de terceiros.
IMAP4 Um cliente de correio antigo que usa o IMAP para recuperar o e-mail.
MAPI sobre HTTP Usado pelo Outlook 2010 e mais tarde.
Aplicativos móveis e clientes de desktop Marca de verificação azul. Mostra todas as tentativas de login dos utilizadores que usam aplicações móveis e clientes de desktop.
Livro de endereços offline Uma cópia das coleções de listas de endereços que são descarregadas e usadas pelo Outlook.
Outlook Anywhere (RPC over HTTP) Usado pelo Outlook 2016 e mais cedo.
Serviço Outlook Utilizado pelo aplicativo Mail and Calendar para o Windows 10.
POP3 Um cliente de correio antigo usando POP3 para recuperar e-mail.
Serviços Web de Reporte Usado para recuperar dados de relatório no Exchange Online.
Outros clientes Mostra todas as tentativas de login de utilizadores onde a aplicação do cliente não está incluída ou desconhecida.

Sistema operativo - O sistema operativo em funcionamento do dispositivo usou a inscrição no seu inquilino.

Browser do dispositivo - Se a ligação foi iniciada a partir de um browser, este campo permite-lhe filtrar pelo nome do navegador.

ID de correlação - A identificação de correlação da atividade.

Acesso condicional - O estado das regras de acesso condicional aplicadas

  • Não aplicada: Nenhuma política aplicada ao utilizador e à aplicação durante a entrada.

  • Sucesso: Uma ou mais políticas de acesso condicional aplicadas ao utilizador e à aplicação (mas não necessariamente às outras condições) durante a entrada.

  • Falha: A inscrição satisfez o estado de utilização e aplicação de pelo menos uma política de acesso condicional e os controlos de concessão não estão satisfeitos ou definidos para bloquear o acesso.

Transferir atividades de início de sessão

Clique na opção Download para criar um ficheiro CSV ou JSON dos registos mais recentes de 250.000. Comece por fazer o download dos dados de insusição se quiser trabalhar com ele fora do portal Azure.

Transferência

Importante

O número de registos que pode descarregar está limitado pelas políticas de retenção do relatório Azure Ative Directory.

Atalhos de dados de inscrição

A Azure AD e o portal Azure fornecem-lhe pontos de entrada adicionais para os dados de inscrição:

  • A visão geral da proteção de identidade
  • Utilizadores
  • Grupos
  • Aplicações Empresariais

Utilizadores assinam dados de ins na proteção de segurança de identidade

O gráfico de inscrição do utilizador na página geral de proteção de identidade mostra agregações semanais de insinumentos. O padrão para o período de tempo é de 30 dias.

A screenshot mostra um gráfico de Inscrições ao longo de um mês.

Quando clica num dia no gráfico de início de sessão, obtém uma descrição geral das atividades de início de sessão para este dia.

Cada linha na lista de atividades de início de sessão mostra:

  • Quem iniciou sessão?
  • Que aplicação foi o destino do início de sessão?
  • Qual o estado do início de sessão?
  • Qual o estado MFA do início de sessão?

Ao clicar num item, obtém mais detalhes sobre a operação de início de sessão:

  • ID de Utilizador
  • Utilizador
  • Nome de utilizador
  • ID da aplicação
  • Aplicação
  • Cliente
  • Localização
  • Endereço IP
  • Data
  • MFA Necessário
  • Estado de início de sessão

Nota

Os endereços IP são emitidos de forma a que não exista uma ligação definitiva entre um endereço IP e onde o computador com esse endereço esteja fisicamente localizado. O mapeamento de endereços IP é complicado pelo facto de os fornecedores móveis e VPNs emitirem endereços IP a partir de piscinas centrais que muitas vezes estão muito longe de onde o dispositivo cliente é realmente usado. Atualmente, converter o endereço IP para uma localização física é um melhor esforço com base em vestígios, dados de registo, análises inversas e outras informações.

Na página Utilizadores, pode obter uma descrição geral completa de todos os inícios de sessão dos utilizadores ao clicar em Inícios de sessão na secção Atividade.

A screenshot mostra a secção De Atividades onde pode selecionar ins.

Detalhes de autenticação

O separador Detalhes de Autenticação localizado no relatório de inscrição fornece as seguintes informações, para cada tentativa de autenticação:

  • Uma lista de políticas de autenticação aplicadas (tais como Acesso Condicional, MFA por utilizador, Incumprimentos de Segurança)
  • A sequência de métodos de autenticação usados para iniciar súm.in
  • Se a tentativa de autenticação foi ou não bem sucedida
  • Detalhes sobre o porquê da tentativa de autenticação ter sido bem sucedida ou falhada

Esta informação permite que os administradores resolvam cada passo na sessão de sessão de um utilizador e rastreiem:

  • Volume de entradas protegidas por autenticação de vários fatores
  • Taxas de utilização e sucesso para cada método de autenticação
  • Utilização de métodos de autenticação sem palavras-passe (como o Sign-in do Telefone Sem Palavras-Passe, o FIDO2 e o Windows Hello for Business)
  • A frequência com que os requisitos de autenticação são preenchidos por alegações simbólicas (quando os utilizadores não são interativamente solicitados a introduzir uma palavra-passe, introduza uma SMS OTP, e assim por diante)

Ao visualizar o relatório 'Iniciar sção', selecione o separador Detalhes de Autenticação:

Screenshot do separador Detalhes de Autenticação

Nota

O código de verificação do OATH é registado como o método de autenticação tanto para hardware oath como para fichas de software (como a aplicação Microsoft Authenticator).

Importante

O separador Detalhes de Autenticação pode inicialmente apresentar dados incompletos ou imprecisos, até que as informações de registo são totalmente agregadas. Exemplos conhecidos incluem:

  • Um satisfeito pela afirmação na mensagem simbólica é exibido incorretamente quando os eventos de login são inicialmente registados.
  • A linha de autenticação primária não está inicialmente registada.

<a name="usage-of-managed-applications">Utilização de aplicações geridas

Com uma vista centrada em aplicações dos seus dados de início de sessão, poderá responder a perguntas como:

  • Quem está a utilizar as minhas aplicações?
  • Quais são as três principais aplicações na sua organização?
  • Como está a minha nova aplicação?

O ponto de entrada nestes dados é o top 3 de aplicações na sua organização. Os dados estão contidos no relatório dos últimos 30 dias na secção Visão Geral ao abrigo das aplicações da Enterprise.

![A screenshot mostra onde pode selecionar o Resumo.](./media/concept-sign-ins/10.png "Atividade de início de sessão")

Os gráficos de utilização da aplicação são agregações semanais de inscrições para as suas três principais aplicações num determinado período de tempo. A predefinição do período de tempo é 30 dias.

A screenshot mostra o uso da App por um período de um mês.

Se quiser, pode colocar o foco numa aplicação específica.

Relatórios

Quando clica num dia no gráfico de utilização da aplicação, obtém uma lista detalhada das atividades de início de sessão.

A opção Inícios de sessão dá uma visão geral completa de todos os eventos de início de sessão nas suas aplicações.

Registos de atividades da Microsoft 365

Pode ver os registos de atividade do Microsoft 365 a partir do centro de administração Microsoft 365. Considere o ponto que, a atividade da Microsoft 365 e os registos de atividade azure AD partilham um número significativo de recursos do diretório. Apenas o centro de administração Microsoft 365 fornece uma visão completa dos registos de atividades da Microsoft 365.

Também pode aceder aos registos de atividades do Microsoft 365 programáticamente utilizando as APIs de Gestão do Office 365.

Passos seguintes