Exibir atividades e histórico de auditoria para funções de recursos do Azure no Privileged Identity Management

O Gerenciamento Privilegiado de Identidades (PIM) na ID do Microsoft Entra permite exibir atividades, ativações e histórico de auditoria para funções de recursos do Azure em sua organização. Isso inclui assinaturas, grupos de recursos e até mesmo máquinas virtuais. Qualquer recurso no centro de administração do Microsoft Entra que aproveite a funcionalidade de controle de acesso baseada em função do Azure pode aproveitar os recursos de segurança e gerenciamento do ciclo de vida no Privileged Identity Management. Se quiser reter dados de auditoria por mais tempo do que o período de retenção padrão, você pode usar o Azure Monitor para roteá-los para uma conta de armazenamento do Azure. Para obter mais informações, consulte Arquivar logs do Microsoft Entra em uma conta de armazenamento do Azure.

Nota

Se sua organização tiver terceirizado funções de gerenciamento para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui.

Ver atividade e ativações

Para ver quais ações um usuário específico executou em vários recursos, você pode exibir a atividade de recursos do Azure associada a um determinado período de ativação.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades>Recursos do Azure.

  3. Selecione o recurso para o qual deseja visualizar a atividade e as ativações.

  4. Selecione Funções ou Membros.

  5. Selecione um utilizador.

    Você vê um resumo das ações do usuário nos recursos do Azure por data. Também mostra as ativações de funções recentes durante o mesmo período de tempo.

    Captura de tela dos detalhes do usuário com resumo da atividade do recurso e ativações de função.

  6. Selecione uma ativação de função específica para ver os detalhes e a atividade de recursos do Azure correspondente que ocorreu enquanto esse usuário estava ativo.

    Captura de ecrã da ativação da função selecionada e dos detalhes da atividade.

Exportar atribuições de função com filhos

Você pode ter um requisito de conformidade em que deve fornecer uma lista completa de atribuições de função aos auditores. O Privileged Identity Management permite que você consulte atribuições de função em um recurso específico, que inclui atribuições de função para todos os recursos filho. Anteriormente, era difícil para os administradores obter uma lista completa de atribuições de função para uma assinatura e eles tinham que exportar atribuições de função para cada recurso específico. Usando o Privileged Identity Management, você pode consultar todas as atribuições de função ativas e qualificadas em uma assinatura, incluindo atribuições de função para todos os grupos de recursos e recursos.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades>Recursos do Azure.

  3. Selecione o recurso para o qual deseja exportar atribuições de função, como uma assinatura.

  4. Selecione Tarefas.

  5. Selecione Exportar para abrir o painel Exportar associação.

    Captura de tela mostrando o painel de associação de exportação para exportar todos os membros.

  6. Selecione Exportar todos os membros para exportar todas as atribuições de função em um arquivo CSV.

    Captura de tela mostrando atribuições de função exportadas no arquivo CSV conforme exibido no Excel.

Exibir histórico de auditoria de recursos

A auditoria de recursos fornece uma visão de todas as atividades de função de um recurso.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades>Recursos do Azure.

  3. Selecione o recurso para o qual deseja exibir o histórico de auditoria.

  4. Selecione Auditoria de recursos.

  5. Filtre o histórico usando uma data predefinida ou um intervalo personalizado.

    Captura de ecrã a mostrar a lista de auditoria de recursos com filtros.

  6. Em Tipo de auditoria, selecione Ativar (Atribuído + Ativado).

    Captura de ecrã a mostrar a lista de auditoria de recursos filtrada por Tipo de auditoria Ativar.

  7. Em Ação, selecione (atividade) para um usuário ver os detalhes da atividade desse usuário nos recursos do Azure.

    Captura de tela mostrando detalhes da atividade do usuário para uma ação específica.

Ver a minha auditoria

A minha auditoria permite-lhe visualizar a sua atividade pessoal.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Governança de>identidade, Gerenciamento privilegiado de identidades>Recursos do Azure.

  3. Selecione o recurso para o qual deseja exibir o histórico de auditoria.

  4. Selecione Minha auditoria.

  5. Filtre o histórico usando uma data predefinida ou um intervalo personalizado.

    Captura de tela mostrando uma lista de auditoria para o usuário atual.

Nota

O acesso ao histórico de auditoria requer pelo menos a função de Administrador de Função Privilegiada.

Obtenha motivo, aprovador e número de bilhete para eventos de aprovação

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Monitoramento de identidade>& logs de auditoria de integridade>.

  3. Use o filtro Serviço para exibir somente eventos de auditoria para o serviço Gerenciamento privilegiado de identidades. Na página Logs de auditoria, você pode:

    • Consulte o motivo de um evento de auditoria na coluna Motivo do status.
    • Consulte o aprovador na coluna Iniciado por (ator) para o evento "adicionar membro à solicitação de função aprovada".

    Captura de tela mostrando a filtragem do log de auditoria para o serviço PIM.

  4. Selecione um evento de log de auditoria para ver o número do tíquete na guia Atividade do painel Detalhes .

    Captura de tela mostrando o número do ticket para o evento de auditoria.

  5. Você pode exibir o solicitante (pessoa que ativa a função) na guia Destinos do painel Detalhes de um evento de auditoria. Há três tipos de destino para funções de recurso do Azure:

    • A função (Tipo = Função)
    • O solicitante (Tipo = Outro)
    • O aprovador (Type = User)

    Captura de tela mostrando como verificar o tipo de destino.

Normalmente, o evento de log imediatamente acima do evento de aprovação é um evento para "Adicionar membro à função concluída", onde o Iniciado por (ator) é o solicitante. Na maioria dos casos, você não precisará encontrar o solicitante na solicitação de aprovação de uma perspetiva de auditoria.

Próximos passos