Encontrar relatórios de atividade no portal do Azure

Neste artigo, aprende a encontrar relatórios de atividade do utilizador do Azure Ative (Azure AD) no portal do Azure.

Relatório de registos de auditoria

O relatório de registos de auditoria combina vários relatórios em torno das atividades de aplicação numa única visão para relatórios baseados em contextos. Para aceder ao relatório de registos de auditoria:

  1. Navegue até o portal do Azure.

  2. Selecione registos de auditoria da secção de Atividades do Diretório Ativo Azure.

    Registos de

O relatório de registos de auditoria consolida os seguintes relatórios:

  • Relatório de auditoria
  • Atividade de reposição de palavra-passe
  • Atividade de registo de redefinição de palavra-passe
  • Atividade de grupos de self-service
  • Alterações de nome de grupo Office365
  • Atividade de provisionamento de conta
  • Estado de capotamento de palavra-passe
  • Erros de aprovisionamento de contas

Filtragem nos registos de auditoria

Pode utilizar a filtragem avançada no relatório de auditoria para aceder a uma categoria específica de dados de auditoria, especificando-os no filtro Categoria . Por exemplo, para visualizar todas as atividades relacionadas com os utilizadores, selecione a categoria UserManagement .

As categorias incluem:

  • Todos
  • AdministrativeUnit
  • Gestão de Aplicações
  • Autenticação
  • Autorização
  • Contacto
  • Dispositivo
  • DeviceConfiguration
  • Diretório
  • Gestão de Direitos
  • Gestão de Grupos
  • Outro
  • Política
  • Gestão de Recursos
  • Gestão de Papéis
  • Gestão de Utilizador

Também pode filtrar um serviço específico utilizando o filtro de entrega do Serviço . Por exemplo, para obter todos os eventos de auditoria relacionados com a gestão de passwords self-service, selecione o filtro Self-service Password Management .

Os serviços incluem:

  • Todos
  • Revisões de Acesso
  • Aprovisionamento de Contas
  • SSO de aplicação
  • Métodos de Autenticação
  • B2C
  • Acesso Condicional
  • Diretório do Núcleo
  • Gestão de Direitos
  • Identity Protection
  • Utilizadores Convidados
  • PIM
  • Gestão de Grupos Personalizada
  • Gestão de Palavra-passe Personalizada
  • Termos de Utilização

Relatório de inscrições

A vista 'Iniciar sposição' inclui todos os pedidos de informação do utilizador, bem como o relatório de Utilização de Aplicações . Também pode ver as informações de utilização da aplicação na secção Gerir as aplicações da Enterprise .

Para aceder ao relatório de inscrições:

  1. Navegue até o portal do Azure.

  2. Selecione o seu diretório a partir do canto superior direito e, em seguida, selecione Azure Ative Directory a partir do painel de navegação esquerdo.

  3. Selecione Signinas na secção de Atividade da lâmina do Diretório Ativo Azure.

    Ver ins's ver

Filtragem no nome da aplicação

Pode utilizar o relatório de insusimento para visualizar detalhes sobre a utilização da aplicação, filtrando o nome de utilizador ou o nome da aplicação.

Filtrar Sign-In eventos

Relatórios de segurança

Relatórios de atividades anómalas

Relatórios de atividade anómala fornecem informações sobre deteções de risco relacionadas com a segurança que Azure AD podem detetar e reportar.

O quadro que se segue enumera os relatórios de segurança de atividade Azure AD anómalos e os tipos correspondentes de deteção de riscos no portal do Azure. Para obter mais informações, consulte deteções de risco do Azure Ative Directory.

Azure AD relatório de atividades anómalos Tipo de deteção de risco de proteção de identidade
Utilizadores com fuga de credenciais Fuga de credenciais
Atividades irregulares de início de sessão Deslocação impossível para localizações atípicas
Inícios de sessão de dispositivos possivelmente infetados Inícios de sessão de dispositivos infetados
Inícios de sessão de fontes desconhecidas Inícios de sessão de endereços IP anónimos
Inícios de sessão de endereços IP com atividade suspeita Inícios de sessão de endereços IP com atividade suspeita
- Inícios de sessão de localizações desconhecidas

Os seguintes relatórios de segurança Azure AD de atividade anómala não são incluídos como deteções de riscos no portal do Azure:

  • Inícios de sessão após várias falhas
  • Inícios de sessão de várias localizações geográficas

Deteção de riscos detetadas

Pode aceder a relatórios sobre deteções de risco detetadas na secção de Segurança da lâmina do Diretório Ativo Azure no portal do Azure. As deteções de risco detetadas são rastreadas nos seguintes relatórios:

Resolver problemas com relatórios de atividade

Dados em falta nos registos de atividades descarregados

Sintomas

Transferi os registos de atividades (auditorias ou inícios de sessão) e não vejo todos os registos para o período de tempo que escolhi. Porquê?

A screenshot mostra o botão descarregar no relatório de atividade.

Causa

Quando descarrega registos de atividades no portal do Azure, limitamos a escala a 2500000 registos, classificados pela mais recente primeira.

Resolução

Pode tirar partido das APIs de Relatórios do Azure AD para obter até um milhão de registos num determinado período.

Faltam dados de auditoria para ações recentes no portal do Azure

Sintomas

Efetuei algumas ações no portal do Azure e esperava ver os registos de auditoria dessas ações no painel Activity logs > Audit Logs, mas não consegui encontrá-los.

A imagem mostra o relatório da atividade.

Causa

As ações não aparecem de imediato nos registos de atividade. A tabela abaixo enumera os nossos números de latência para registos de atividades.

Relatório Latência (P95) Latência (P99)
Auditoria de diretórios 2 mins 5 mins
Atividade de início de sessão 2 mins 5 mins

Resolução

Aguarde entre 15 minutos a duas horas e veja se as ações aparecem no registo. Se não vir os registos após duas horas, envie um pedido de suporte e nós analisamos o problema.

Registos em falta para logins recentes do utilizador no registo de atividades de Azure AD de início de sessão

Sintomas

Iniciei sessão recentemente no portal do Azure e esperava ver os registos de início de sessão dessas ações no painel Activity logs > Sign-ins, mas não consigo encontrá-los.

A screenshot mostra inscrições para o Diretório Ativo Azure.

Causa

As ações não aparecem de imediato nos registos de atividade. A tabela abaixo enumera os nossos números de latência para registos de atividades.

Relatório Latência (P95) Latência (P99)
Auditoria de diretórios 2 mins 5 mins
Atividade de início de sessão 2 mins 5 mins

Resolução

Aguarde entre 15 minutos a duas horas e veja se as ações aparecem no registo. Se não vir os registos após duas horas, envie um pedido de suporte e nós analisamos o problema.

Não consigo ver mais de 30 dias de dados de relatório no portal do Azure

Sintomas

Não consigo ver mais de 30 dias de dados de início de sessão e auditoria no portal do Azure. Porquê?

A screenshot mostra o menu Date.

Causa

Dependendo da sua licença, as Ações do Azure Active Directory armazena relatórios de atividades para as durações seguintes:

Relatório Azure AD Gratuito Azure AD Premium P1 Azure AD Premium P2
Auditoria de Diretórios 7 dias 30 dias 30 dias
Atividade de Início de Sessão Não disponível. Pode aceder aos seus próprios inícios de sessão por 7 dias a partir do painel de perfil de utilizador individual 30 dias 30 dias

Para obter mais informações, veja Políticas de retenção de relatórios do Azure Active Directory.

Resolução

Tem duas opções para manter os dados durante mais de 30 dias. Pode utilizar as APIs de Relatórios do Azure AD para recuperar os dados por meio programático e armazená-los numa base de dados. Em alternativa, pode integrar registos de auditoria num sistema SIEM de terceiros, como o Splunk ou o SumoLogic.

Passos seguintes