O que são logs de entrada do Microsoft Entra?
O Microsoft Entra registra todas as entradas em um locatário do Microsoft Entra, que inclui seus aplicativos e recursos internos. Como administrador de TI, você precisa saber o que significam os valores nos logs de entrada para poder interpretar os valores de log corretamente.
A revisão de erros e padrões de entrada fornece informações valiosas sobre como seus usuários acessam aplicativos e serviços. Os logs de entrada fornecidos pelo Microsoft Entra ID são um tipo poderoso de log de atividades que você pode analisar. Este artigo descreve vários aspetos principais dos logs de entrada.
Dois outros logs de atividades também estão disponíveis para ajudar a monitorar a integridade do seu locatário:
- Auditoria – Informações sobre alterações aplicadas ao seu locatário, como gerenciamento de usuários e grupos ou atualizações aplicadas aos recursos do locatário.
- Provisionamento – Atividades realizadas por um serviço de provisionamento , como a criação de um grupo no ServiceNow ou um usuário importado do Workday.
Requisitos de licença e função
As funções e licenças necessárias variam de acordo com o relatório. São necessárias permissões separadas para aceder a dados de monitorização e estado de funcionamento no Microsoft Graph. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust. Para obter uma lista completa de funções, consulte Funções menos privilegiadas por tarefa.
| Registo / Relatório | Funções | Licenças |
|---|---|---|
| Logs de auditoria | Leitor de relatórios Leitor de Segurança Administrador de Segurança |
Todas as edições do Microsoft Entra ID |
| Registos de início de sessão | Leitor de relatórios Leitor de Segurança Administrador de Segurança |
Todas as edições do Microsoft Entra ID |
| Logs de provisionamento | Leitor de relatórios Leitor de Segurança Administrador de aplicativos Administrador de aplicativos na nuvem |
Microsoft Entra ID P1 ou P2 |
| Logs de auditoria de atributos de segurança personalizados* | Administrador de log de atributos Leitor de log de atributos |
Todas as edições do Microsoft Entra ID |
| Saúde | Leitor de relatórios Leitor de Segurança Administrador do Helpdesk |
Microsoft Entra ID P1 ou P2 |
| Proteção de ID do Microsoft Entra** | Administrador de Segurança Operador de Segurança Leitor de Segurança Leitor Global |
Microsoft Entra ID Grátis Aplicativos do Microsoft 365 Microsoft Entra ID P1 ou P2 |
| Logs de atividades do Microsoft Graph | Administrador de Segurança Permissões para acessar dados no destino do log correspondente |
Microsoft Entra ID P1 ou P2 |
| Uso e insights | Leitor de relatórios Leitor de Segurança Administrador de Segurança |
Microsoft Entra ID P1 ou P2 |
*A visualização dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados requer uma das funções de Log de Atributos. Você também precisa da função apropriada para exibir os logs de auditoria padrão.
**O nível de acesso e os recursos do Microsoft Entra ID Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de ID.
O que pode fazer com os registos de início de sessão?
Pode utilizar os registos de início de sessão para responder a perguntas como:
- Quantos usuários entraram em um aplicativo específico esta semana?
- Quantas tentativas de início de sessão falhadas ocorreram nas últimas 24 horas?
- Os utilizadores iniciam sessão a partir de browsers ou sistemas operativos específicos?
- Quais dos meus recursos do Azure foram acessados por identidades gerenciadas e entidades de serviço?
Também pode descrever a atividade associada a um pedido de início de sessão identificando os seguintes detalhes:
- Quem – A identidade (Utilizador) que realiza o início de sessão.
- Como – O cliente (Aplicativo) usado para o login.
- O que – O destino (Recurso) acessado pela identidade.
Como aceder aos registos de início de sessão?
Existem várias formas de aceder aos registos, dependendo das suas necessidades. Para obter mais informações, consulte Como acessar logs de atividades.
Para ver os registos de início de sessão a partir do centro de administração do Microsoft Entra:
- Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
- Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
Para usar com mais eficiência os logs de entrada no centro de administração do Microsoft Entra, ajuste os filtros para exibir apenas um conjunto específico de logs. Para obter mais informações, consulte Filtrar logs de entrada.
Quais são os tipos de logs de entrada?
Há quatro tipos de logs na visualização de logs de entrada:
- Login de usuário interativo
- Entradas de usuário não interativas
- Entradas na entidade de serviço
- Entradas de identidade gerenciadas
Os logs de entrada clássicos incluem apenas entradas interativas do usuário.
Observação
As entradas nos logs de entrada são geradas pelo sistema e não podem ser alteradas ou excluídas.
Dados de início de sessão utilizados por outros serviços
Os dados de entrada são usados por vários serviços no Azure e no Microsoft Entra para monitorar entradas arriscadas, fornecer informações sobre o uso do aplicativo e muito mais.
Proteção de ID do Microsoft Entra
A visualização de dados de log de entrada relacionada a entradas arriscadas está disponível na visão geral da Proteção de ID do Microsoft Entra, que usa os seguintes dados:
- Utilizadores arriscados
- Login de usuário arriscado
- Identidades de carga de trabalho arriscadas
Para obter mais informações sobre as ferramentas de Proteção de ID do Microsoft Entra, consulte a Visão geral da Proteção de ID do Microsoft Entra.
Uso e insights do Microsoft Entra
Para exibir dados de entrada específicos do aplicativo, navegue até Microsoft Entra ID>Monitoring & health>Usage & insights. Esses relatórios fornecem uma visão mais detalhada das entradas para a atividade do aplicativo Microsoft Entra e a atividade do aplicativo AD FS. Para obter mais informações, consulte Microsoft Entra Usage & insights.
Há vários relatórios disponíveis em Uso & insights. Alguns destes relatórios estão em fase de pré-visualização.
- Atividade do aplicativo Microsoft Entra (visualização)
- Atividade do aplicativo AD FS
- Atividade de métodos de autenticação
- Atividade de entrada da entidade de serviço
- Atividade de credenciais de aplicativo
Logs de atividades do Microsoft 365
Pode visualizar os registos de atividade do Microsoft 365 a partir do centro de administração do Microsoft 365. A atividade do Microsoft 365 e os logs de atividade do Microsoft Entra compartilham um número significativo de recursos de diretório. Apenas o centro de administração do Microsoft 365 fornece uma vista completa dos registos de atividade do Microsoft 365.
Você pode acessar os logs de atividades do Microsoft 365 programaticamente usando as APIs de Gerenciamento do Office 365.