O que são logs de auditoria do Microsoft Entra?

Os logs de atividades do Microsoft Entra incluem logs de auditoria, que consistem em um relatório abrangente sobre cada evento registrado no Microsoft Entra ID. As alterações em aplicativos, grupos, usuários e licenças são todas capturadas nos logs de auditoria do Microsoft Entra.

Dois outros logs de atividades também estão disponíveis para ajudar a monitorar a integridade do locatário:

  • Entradas – informações sobre entradas e como seus recursos são usados por seus usuários.
  • Provisionamento – atividades executadas pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

Este artigo apresenta uma visão geral dos logs de auditoria, incluindo o que é necessário para acessá-los e quais informações eles fornecem.

Requisitos de licença e função

As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero. Para obter uma lista completa de funções, consulte Funções com privilégios mínimos por tarefa.

Log/Relatório Funções Licenças
Logs de auditoria Leitor de relatórios
Leitor de segurança
Administrador de segurança
Todas as edições do Microsoft Entra ID
Logs de entrada Leitor de relatórios
Leitor de segurança
Administrador de segurança
Todas as edições do Microsoft Entra ID
Logs de provisionamento Leitor de relatórios
Leitor de segurança
Administrador de Aplicativos
Administrador de Aplicativos na Nuvem
Microsoft Entra ID P1 ou P2
Logs de auditoria de atributos de segurança personalizados* Administrador de Log de Atributos
Leitor de Log de Atributos
Todas as edições do Microsoft Entra ID
Integridade Leitor de relatórios
Leitor de segurança
Administrador da assistência técnica
Microsoft Entra ID P1 ou P2
Proteção do Microsoft Entra ID** Administrador de segurança
Operador de Segurança
Leitor de segurança
Leitor global
Microsoft Entra ID Gratuito
Aplicativos do Microsoft 365
Microsoft Entra ID P1 ou P2
Logs de atividades do Microsoft Graph Administrador de segurança
Permissões para acessar dados no destino de log correspondente
Microsoft Entra ID P1 ou P2
Uso e insights Leitor de relatórios
Leitor de segurança
Administrador de segurança
Microsoft Entra ID P1 ou P2

*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.

**O nível de acesso e as funcionalidades do Microsoft Entra ID Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença do Microsoft Entra ID Protection.

O que você pode fazer com os logs de auditoria?

Os logs de auditoria no Microsoft Entra ID fornecem acesso aos registros de atividade do sistema, muitas vezes necessários para conformidade. Você pode obter respostas para perguntas relacionadas a usuários, grupos e aplicativos.

Usuários:

  • Quais tipos de alterações foram aplicadas recentemente aos usuários?
  • Quantos usuários foram alterados?
  • Quantas senhas foram alteradas?

Grupos:

  • Quais grupos foram adicionados recentemente?
  • Os proprietários do grupo foram alterados?
  • Quais licenças são para um grupo ou para um usuário?

Aplicativos:

  • Quais aplicativos foram atualizados ou removidos?
  • Uma entidade de serviço para um aplicativo foi alterada?
  • Os nomes de aplicativos foram alterados?

Atributos de segurança personalizados:

  • Quais alterações foram feitas nas definições ou atribuições do atributo de segurança personalizado?
  • Quais atualizações foram feitas nos conjuntos de atributos?
  • Quais valores de atributo personalizado foram atribuídos a usuário?

Observação

As entradas na trilha de auditoria são geradas pelo sistema e não podem ser alteradas ou excluídas.

O que os logs mostram?

Os logs de auditoria são padrão na guia Diretório, que exibe as seguintes informações:

  • Data e hora da ocorrência
  • O serviço que registrou a ocorrência
  • A categoria e o nome da atividade (o que)
  • O status da atividade (sucesso ou falha)

Uma segunda guia para Segurança Personalizada exibe logs de auditoria para atributos de segurança personalizados. Para exibir dados nessa guia, você deve ter a função Administrador de Log de Atributos ou Leitor de Log de Atributos. Esse log de auditoria mostra todas as atividades relacionadas a atributos de segurança personalizados. Para obter mais informações, consulte O que são atributos de segurança personalizados.

Captura de tela dos logs de auditoria, com as guias Diretório e Segurança Personalizada destacadas.

Logs de atividades do Microsoft 365

Você pode exibir os logs de atividades do Microsoft 365 no Centro de administração do Microsoft 365. Embora os logs de atividades do Microsoft 365 e do Microsoft Entra compartilhem muitos recursos de diretório, somente o Centro de administração do Microsoft 365 oferece uma exibição completa dos logs de atividades do Microsoft 365.

Você também pode acessar os logs de atividade do Microsoft 365 de modo programático usando as APIs de Gerenciamento do Office 365.

A maioria das assinaturas autônomas ou fornecidas em pacotes do Microsoft 365 têm dependências de back-end em alguns subsistemas dentro do limite do datacenter do Microsoft 365. As dependências exigem um write-back de informações para manter os diretórios em sincronia e, essencialmente, para ajudar a habilitar a integração sem complicações em uma aceitação de assinatura do Exchange Online. Para esses write-backs, as entradas do log de auditoria mostram as ações executadas pelo “Gerenciamento de Substrato da Microsoft”. Essas entradas do log de auditoria referem-se a operações de criação/atualização/exclusão executadas pelo Exchange Online no Microsoft Entra. As entradas são informativas e não exigem nenhuma ação.