Exiba a atividade e o histórico de auditoria para funções de recurso do Azure no Privileged Identity Management
O Privileged Identity Management (PIM) no Microsoft Entra ID permite que você visualize a atividade, as ativações e o histórico de auditoria das funções de recursos do Azure em sua organização. Isso inclui assinaturas, grupos de recursos e até mesmo máquinas virtuais. Todos os recursos na Central de administração do Microsoft entra que aproveitam a funcionalidade de controle de acesso baseado em função do Azure podem se beneficiar de todas as funcionalidades de segurança e gerenciamento do ciclo de vida do Privileged Identity Management. Se desejar manter os dados de auditoria por mais tempo do que o período de retenção padrão, você poderá usar o Azure Monitor para roteá-los para uma conta de armazenamento do Azure. Para obter mais informações, confira Arquivar os logs do Microsoft Entra em uma conta de armazenamento do Azure.
Observação
Se sua organização tiver funções de gerenciamento terceirizadas para um provedor de serviços que usa o Azure Lighthouse, as atribuições de função autorizadas por esse provedor de serviços não serão mostradas aqui.
Exibir a atividade e as ativações
Para ver as ações que um usuário específico realizou em vários recursos, você pode exibir a atividade do recurso do Azure associada a um período de ativação especificado.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure.
Selecione o recurso para o qual deseja exibir a atividade e as ativações.
Selecione Funções ou Membros.
Selecione um usuário.
Você verá um resumo das ações do usuário nos recursos do Azure por data. Ele também mostra as ativações de função recentes nesse mesmo período.
Selecione uma ativação de função específica para ver detalhes e a atividade do recurso do Azure correspondente que ocorreu enquanto o usuário estava ativo.
Exportar as atribuições de função com filhos
Talvez você tenha um requisito de conformidade no qual precisa fornecer uma lista completa de atribuições de função para auditores. O Privileged Identity Management permite que você consulte as atribuições de função em um recurso específico, que inclui as atribuições de função para todos os recursos filhos. Anteriormente, era difícil para os administradores obter uma lista completa das atribuições de função para uma assinatura e eles precisavam exportar as atribuições de função para cada recurso específico. Usando o Privileged Identity Management, você pode consultar todas as atribuições de função ativas e qualificadas em uma assinatura, incluindo as atribuições de função para todos os grupos de recursos e recursos.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure.
Selecione o recurso para o qual deseja exportar as atribuições de função, como uma assinatura.
Selecione Atribuições.
Selecione Exportar para abrir o painel Exportar associação.
Selecione Exportar todos os membros para exportar todas as atribuições de função em um arquivo CSV.
Exibir o histórico de auditoria de recursos
A auditoria de recursos fornece uma exibição de todas as atividades de função para um recurso.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure.
Selecione o recurso do qual deseja exibir o histórico de auditoria.
Selecione Auditoria de recursos.
Filtre o histórico usando uma data predefinida ou um intervalo personalizado.
Em Tipo de auditoria, selecione Ativar (Atribuído + Ativado).
Em Ação, selecione (atividade) de um usuário para ver os detalhes da atividade dele nos recursos do Azure.
Exibir minha auditoria
A opção Minha auditoria permite que você exiba sua atividade de função pessoal.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Governança de identidade>Privileged Identity Management>Recursos do Azure.
Selecione o recurso do qual deseja exibir o histórico de auditoria.
Selecione Minhas auditorias.
Filtre o histórico usando uma data predefinida ou um intervalo personalizado.
Observação
O acesso ao histórico de auditoria requer uma função Administrador global ou uma função Administrador com privilégios.
Obter motivo, aprovador e número do tíquete para eventos de aprovação
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Monitoramento e integridade>Logs de auditoria.
Use o filtro de Serviço para exibir apenas eventos de auditoria para o serviço Privileged Identity Management. Na página Logs de auditoria, você pode:
- Consulte o motivo de um evento de auditoria na coluna Razão do status.
- Consulte o aprovador na coluna Iniciado por (ator) do evento "Adicionar membro à solicitação de função aprovada".
Selecione um evento de log de auditoria para ver o número do tíquete na guia Atividade do painel de Detalhes.
Você pode exibir o solicitante (pessoa ativando a função) na guia Destinos do painel de Detalhes para um evento de auditoria. Há três tipos de destino para as funções de recurso do Azure:
- A função (Tipo = Função)
- O solicitante (Tipo = Outro)
- O aprovador (Tipo = Usuário)
Normalmente, o log de evento de auditoria imediatamente acima do evento de aprovação é um evento para "Adicionar membro à função concluída", onde o Iniciado por (ator) é o solicitante. Na maioria dos casos, você não precisará localizar o solicitante na solicitação de aprovação de uma perspectiva de auditoria.