Registos de auditoria no Azure Active Directory

Os registos de atividades do Azure Active Directory (Azure AD) incluem registos de auditoria, que é um relatório abrangente sobre todos os eventos registados no Azure AD. As alterações a aplicações, grupos, utilizadores e licenças são capturadas nos registos de auditoria Azure AD.

Estão também disponíveis dois outros registos de atividades para ajudar a monitorizar o estado de funcionamento do seu inquilino:

  • Inícios de sessão – informações sobre inícios de sessão e como os seus recursos são utilizados pelos seus utilizadores.
  • Aprovisionamento – atividades realizadas pelo serviço de aprovisionamento, como a criação de um grupo no ServiceNow ou um utilizador importado do Workday.

Este artigo fornece-lhe uma descrição geral dos registos de auditoria.

O que é?

Os registos de auditoria no Azure AD fornecem acesso aos registos de atividades do sistema, muitas vezes necessários para a conformidade. Este registo é categorizado pela gestão de utilizadores, grupos e aplicações.

Com uma vista centrada no utilizador, pode obter respostas a perguntas como:

  • Que tipos de atualizações foram aplicadas aos utilizadores?

  • Quantos utilizadores foram alterados?

  • Quantas palavras-passe foram alteradas?

  • O que fez um administrador num diretório?

Com uma vista centrada em grupos, pode obter respostas a perguntas como:

  • Quais são os grupos que foram adicionados?

  • Existem grupos com as alterações na associação?

  • Os proprietários do grupo foram alterados?

  • Que licenças foram atribuídas a um grupo ou utilizador?

Com uma vista centrada na aplicação, pode obter respostas a perguntas como:

  • Que aplicações foram adicionadas ou atualizadas?

  • Que aplicações foram removidas?

  • Um principal de serviço de uma aplicação foi alterado?

  • Os nomes das aplicações foram alterados?

  • Quem autorizou uma aplicação?

Como devo proceder para aceder à mesma?

O relatório da atividade de auditoria está disponível em todas as edições do Azure AD. Para aceder aos registos de auditoria, tem de ter uma das seguintes funções:

  • Leitor de Relatórios
  • Leitor de Segurança
  • Administrador de Segurança
  • Leitor Global
  • Administrador Global

Inicie sessão no portal do Azure e aceda a Azure AD e selecione Registo de auditoria na secção Monitorização.

Também pode aceder ao registo de auditoria através do Microsoft Graph API.

O que mostram os registos?

Os registos de auditoria têm uma vista da lista predefinida que mostra:

  • Data e hora da ocorrência
  • Serviço que registou a ocorrência
  • Categoria e nome da atividade (o quê)
  • Estado da atividade (êxito ou falha)
  • Destino
  • Iniciador/ator de uma atividade (quem)

Pode personalizar e filtrar a vista de lista ao clicar no botão Colunas na barra de ferramentas . Editar as colunas permite-lhe adicionar ou remover campos da sua vista.

Captura de ecrã a mostrar os campos disponíveis.

Filtrar registos de auditoria

Pode filtrar os dados de auditoria com as opções visíveis na sua lista, como intervalo de datas, serviço, categoria e atividade.

Captura de ecrã do filtro de serviço.

  • Serviço: predefinição para todos os serviços disponíveis, mas pode filtrar a lista para um ou mais ao selecionar uma opção na lista pendente.

  • Categoria: predefinições para todas as categorias, mas pode ser filtrada para ver a categoria de atividade, como alterar uma política ou ativar uma função de Azure AD elegível.

  • Atividade: com base na seleção de tipo de recurso de categoria e atividade que efetua. Pode selecionar uma atividade específica que queira ver ou selecionar todas.

    Pode obter a lista de todas as Atividades de Auditoria com o Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Estado: permite-lhe analisar o resultado com base no facto de a atividade ter sido um êxito ou uma falha.

  • Destino: permite-lhe procurar o destino ou destinatário de uma atividade. Pesquise pelas primeiras letras de um nome ou nome principal de utilizador (UPN). O nome de destino e o UPN são sensíveis a maiúsculas e minúsculas.

  • Iniciado por: permite-lhe procurar por quem iniciou a atividade com as primeiras letras do respetivo nome ou UPN. O nome e o UPN são sensíveis às maiúsculas e minúsculas.

  • Intervalo de datas: permite-lhe definir um período de tempo para os dados devolvidos. Pode procurar nos últimos 7 dias, 24 horas ou num intervalo personalizado. Quando selecionar um período de tempo personalizado, pode configurar uma hora de início e uma hora de fim.

    Também pode optar por transferir os dados filtrados, até 250 000 registos, ao selecionar o botão Transferir . Pode transferir os registos no formato CSV ou JSON. O número de registos que pode transferir está limitado pelas políticas de retenção de relatórios do Azure Active Directory.

    Captura de ecrã a mostrar a opção transferir dados.

Microsoft registos de atividades 365

Pode ver Microsoft registos de atividades 365 do centro de administração do Microsoft 365. Apesar de Microsoft registos de atividades 365 e Azure AD de atividades partilharem muitos recursos de diretório, apenas o centro de administração do Microsoft 365 fornece uma vista completa dos registos de atividades do Microsoft 365.

Também pode aceder aos registos de atividades do Microsoft 365 programaticamente com as APIs de Gestão de Office 365.

Nota

A maioria das subscrições autónomas ou agrupadas Microsoft 365 têm dependências de back-end em alguns subsistemas dentro do limite do datacenter Microsoft 365. As dependências requerem alguma repetição de escrita de informações para manter os diretórios sincronizados e, essencialmente, para ajudar a ativar a inclusão sem problemas numa subscrição opt-in para Exchange Online. Para estas repetições de escrita, as entradas de registo de auditoria mostram as ações efetuadas pela "Gestão de Substratos Microsoft". Estas entradas de registo de auditoria referem-se a operações de criação/atualização/eliminação executadas por Exchange Online para Azure AD. As entradas são informativas e não requerem qualquer ação.

Passos seguintes