Registos de inícios de sessão no Azure Active Directory

Rever erros e padrões de entrada fornece informações valiosas sobre como os seus utilizadores acedem a aplicações e serviços. Os registos de login fornecidos pelo Azure Ative Directory (Azure AD) são um tipo poderoso de registo de atividade que os administradores de TI podem analisar. Este artigo explica como aceder e utilizar os registos de inscrição.

Outros dois registos de atividades também estão disponíveis para ajudar a monitorizar a saúde do seu inquilino:

  • Auditoria – Informação sobre alterações aplicadas ao seu inquilino, tais como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do seu inquilino.
  • Provisionamento – Atividades realizadas por um serviço de prestação de serviços, como a criação de um grupo no ServiceNow ou um utilizador importado do Workday.

O que se pode fazer com os registos de inscrição?

Pode utilizar o registo de inícios de sessão para encontrar respostas a perguntas como:

  • O que é o padrão de início de sessão de um utilizador?

  • Quantos utilizadores iniciaram sessão ao longo de uma semana?

  • Qual é o estado destes inícios de sessão?

Como acede aos registos de inscrição?

Pode sempre aceder ao seu próprio histórico de inscrições em https://mysignins.microsoft.com.

Para aceder ao registo de inscrições para um inquilino, deve ter uma das seguintes funções:

  • Administrador Global
  • Administrador de Segurança
  • Leitor de Segurança
  • Leitor Global
  • Leitor de Relatórios

O relatório da atividade de início de sessão está disponível em todas as edições do Azure AD. Se tiver uma licença Azure Ative Directory P1 ou P2, pode aceder ao relatório de atividades de inscrição através do Microsoft Graph API. Veja como começar com Azure Ative Directory Premium para atualizar a sua edição do Azure Ative Directory. Levará alguns dias para que os dados apareçam no Graph depois de atualizar para uma licença premium sem atividades de dados antes da atualização.

Para aceder ao registo de Azure AD de login:

  1. Inscreva-se no portal do Azure usando o papel menos privilegiado apropriado.

  2. Aceda aoregisto de inscriçõesdo Azure Ative Directory>.

    Screenshot do menu lateral de monitorização com registos de inscrição em destaque.

Também pode aceder aos registos de inscrição a partir das seguintes áreas de Azure AD:

  • Utilizadores
  • Grupos
  • Aplicações Empresariais

Ver o registo de entradas

Para ver mais eficazmente o login, passe alguns momentos personalizando a vista para as suas necessidades. Pode especificar quais as colunas a incluir e filtrar os dados para reduzir as coisas.

Personalize o layout

O registo de logins tem uma vista predefinida, mas pode personalizar a vista utilizando mais de 30 opções de coluna.

  1. Selecione Colunas do menu na parte superior do registo.
  2. Selecione as colunas que pretende visualizar e selecione o botão Guardar na parte inferior da janela.

Screenshot da página de registos de inícios de sessão com a opção Colunas realçada.

Filtrar os resultados

Filtrar o registo de entradas é uma forma útil de encontrar rapidamente registos que correspondam a um cenário específico. Por exemplo, pode filtrar a lista apenas para visualizar os ins-ins que ocorreram numa localização geográfica específica, a partir de um sistema operativo específico, ou de um tipo específico de credencial.

Algumas opções de filtro levam-no a selecionar mais opções. Siga as instruções para fazer a seleção necessária para o filtro. Pode adicionar vários filtros.

Selecione a opção adicionar filtros a partir da parte superior da tabela para começar.

Screenshot da página de registos de inícios de sessão com a opção 'Adicionar filtros' realçada.

Existem várias opções de filtro para escolher. Abaixo estão algumas opções e detalhes notáveis.

  • Utilizador: O nome principal do utilizador (UPN) do utilizador em questão.
  • Estado: As opções são sucesso, fracasso e interrompido.
  • Recurso: O nome do serviço usado para a inscrição.
  • Acesso condicional: O estado da política de Acesso Condicional (CA). As opções são:
    • Não aplicado: Nenhuma política aplicada ao utilizador e à aplicação durante a sação.
    • Sucesso: Uma ou mais políticas de CA aplicadas ao utilizador e à aplicação (mas não necessariamente às outras condições) durante a entrada.
    • Falha: A inscrição satisfaz o utilizador e a condição de aplicação de pelo menos uma política de CA e os controlos de concessão não estão satisfeitos ou definidos para bloquear o acesso.
  • Endereços IP: Não existe uma ligação definitiva entre um endereço IP e onde o computador com esse endereço está fisicamente localizado. Os fornecedores móveis e as VPNs emitem endereços IP a partir de piscinas centrais que muitas vezes estão longe de onde o dispositivo cliente é realmente usado. Atualmente, converter endereços IP numa localização física é um melhor esforço com base em rastreios, dados de registo, pesquisas inversas e outras informações.

A tabela seguinte fornece as opções e descrições para a opção de filtro de aplicação cliente .

Nota

Devido a compromissos de privacidade, Azure AD não preenche este campo ao arrendatário no caso de um cenário de inquilino cruzado.

Name Autenticação moderna Descrição
SMTP autenticado Usado por clientes POP e IMAP para enviar mensagens de correio e-mail.
Autodiscover Usado pelos clientes Outlook e EAS para encontrar e ligar caixas de correio em Exchange Online.
Exchange ActiveSync Este filtro mostra todas as tentativas de inscrição em que o protocolo EAS foi tentado.
Browser Marca de verificação azul. Mostra todas as tentativas de inscrição de utilizadores que usam navegadores web
Exchange ActiveSync Mostra todas as tentativas de login dos utilizadores com aplicações de clientes que usam Exchange ActiveSync para se conectarem a Exchange Online
Exchange Online PowerShell Usado para ligar a Exchange Online com powerShell remoto. Se bloquear a autenticação básica para Exchange Online PowerShell, tem de utilizar o módulo PowerShell Exchange Online para ligar. Para obter instruções, consulte Connect to Exchange Online PowerShell utilizando a autenticação de vários fatores.
Serviços Web Exchange Uma interface de programação que é usada pelo Outlook, Outlook for Mac e aplicações de terceiros.
IMAP4 Um cliente de correio antigo que usa o IMAP para recuperar o e-mail.
MAPI sobre HTTP Usado pelo Outlook 2010 e mais tarde.
Aplicativos móveis e clientes de desktop Marca de verificação azul. Mostra todas as tentativas de login dos utilizadores que usam aplicações móveis e clientes de desktop.
Livro de endereços offline Uma cópia das coleções de listas de endereços que são descarregadas e usadas pelo Outlook.
Outlook Anywhere (RPC over HTTP) Usado por Outlook 2016 e mais cedo.
Serviço Outlook Usado pela aplicação Mail and Calendar para Windows 10.
POP3 Um cliente de correio antigo usando POP3 para recuperar e-mail.
Serviços Web de Reporte Usado para recuperar dados de relatório em Exchange Online.
Outros clientes Mostra todas as tentativas de login de utilizadores onde a aplicação do cliente não está incluída ou desconhecida.

Analise os registos de inscrição

Agora que a sua tabela de registos de login está formatada adequadamente, pode analisar mais eficazmente os dados. Alguns cenários comuns são descritos aqui, mas não são as únicas formas de analisar dados de inscrição. Uma análise mais aprofundada e a conservação dos dados de login podem ser realizadas exportando os registos para outras ferramentas.

Códigos de erro de início de sessão

Se uma sessão de sessão tiver falhado, poderá obter mais informações sobre o motivo na secção de informações Básicas do item de registo relacionado. O código de erro e a razão de falha associada aparecem nos detalhes. Devido à complexidade de alguns ambientes Azure AD, não podemos documentar todos os códigos de erro possíveis e resolução. Alguns erros podem exigir a apresentação de um pedido de apoio para resolver o problema.

Screenshot de um código de erro de inscrição.

Para obter uma lista de códigos de erro relacionados com Azure AD autenticação e autorização, consulte o artigo códigos de autenticação e de erro de autorização Azure AD. Em alguns casos, a ferramenta de procuração por erro de entrada pode fornecer medidas de reparação. Introduza o código De erro fornecido nos dados de início de sessão de início de sessão na ferramenta e selecione o botão Enviar .

Screenshot da ferramenta de procura de código de erro.

Detalhes de autenticação

O separador Dados de Autenticação nos detalhes de um registo de inscrição fornece as seguintes informações para cada tentativa de autenticação:

  • Uma lista de políticas de autenticação aplicadas, tais como Acesso Condicional ou Incumprimentos de Segurança.
  • Uma lista de políticas de vida útil da sessão aplicadas, tais como frequência de inscrição ou MFA de ressalto.
  • A sequência de métodos de autenticação usados para iniciar súm.
  • Se a tentativa de autenticação foi bem sucedida e a razão.

Estas informações permitem-lhe resolver problemas em cada passo da sessão de sessão de um utilizador. Utilize estes detalhes para rastrear:

  • O volume de inscrições protegidas pelo MFA.
  • O motivo da instrução de autenticação, com base nas políticas de vida da sessão.
  • Taxas de utilização e sucesso para cada método de autenticação.
  • Utilização de métodos de autenticação sem palavras-passe, tais como acesso telefónico sem palavras-passe, FIDO2 e Windows Hello para Empresas.
  • A frequência com que os requisitos de autenticação são preenchidos por alegações simbólicas, como quando os utilizadores não são solicitados interativamente para introduzir uma palavra-passe ou introduzir uma SMS OTP.

Ao visualizar o início de sessão, selecione um evento de início de sessão e, em seguida, selecione o separador Detalhes de Autenticação .

Screenshot do separador Detalhes de Autenticação

Ao analisar detalhes da autenticação, tome nota dos seguintes detalhes:

  • O código de verificação do OATH é registado como o método de autenticação tanto para o hardware do OATH como para fichas de software (como a aplicação Microsoft Authenticator).
  • O separador detalhes da autenticação pode inicialmente apresentar dados incompletos ou imprecisos até que as informações de registo são totalmente agregadas. Exemplos conhecidos incluem:
    • Uma satisfação por alegação na mensagem simbólica é exibida incorretamente quando os eventos de login são inicialmente registados.
    • A linha de autenticação primária não está inicialmente registada.

Dados de inscrição utilizados por outros serviços

Os dados de entrada são utilizados por vários serviços em Azure para monitorizar as entradas de risco e fornecer informações sobre o uso da aplicação.

Dados de inscrição arriscados na Azure AD Proteção de Identidade

A visualização de dados de registos de início de sessão relacionada com insessão de risco está disponível na visão geral da Proteção de Identidade Azure AD, que utiliza os seguintes dados:

  • Utilizadores de risco
  • Insuposições arriscadas do utilizador
  • Princípios de serviço arriscados
  • Entradas principais de serviço de risco

Para obter mais informações sobre as ferramentas de proteção de identidade Azure AD, consulte a visão geral da Proteção de Identidade Azure AD.

Screenshot de utilizadores arriscados na Proteção de Identidade.

Azure AD aplicação e atividade de inscrição de autenticação

Para visualizar dados de inscrição específicos da aplicação, vá a Azure AD e selecione insights de utilização & da secção de Monitorização. Estes relatórios fornecem uma análise mais atenta das inscrições para a atividade de aplicação Azure AD e para a atividade de aplicação de FS AD. Para obter mais informações, consulte Azure AD Informações sobre utilização&.

Screenshot do relatório de atividade da aplicação Azure AD.

Azure AD Os conhecimentos de utilização & também fornecem o relatório de atividade dos métodos de autenticação, que decompõe a autenticação pelo método utilizado. Utilize este relatório para ver quantos dos seus utilizadores estão configurado com ADM ou autenticação sem palavras-passe.

Screenshot do relatório de métodos de autenticação.

Microsoft 365 registos de atividades

Pode ver Microsoft 365 registos de atividades do centro de administração do Microsoft 365. Microsoft 365 registos de atividade e Azure AD partilham um número significativo de recursos de diretório. Apenas o centro de administração do Microsoft 365 oferece uma visão completa dos Microsoft 365 registos de atividade.

Pode aceder aos registos de atividades Microsoft 365 programáticamente utilizando as APIs de Gestão Office 365.

Passos seguintes