O que são logs de entrada do Microsoft Entra?

O Microsoft Entra registra todas as entradas em um locatário do Azure, o que inclui seus aplicativos e recursos internos. Como administrador de TI, você precisa saber o que significam os valores nos logs de entrada para poder interpretar os valores de log corretamente.

A revisão de erros e padrões de entrada fornece informações valiosas sobre como seus usuários acessam aplicativos e serviços. Os logs de entrada fornecidos pelo Microsoft Entra ID são um tipo poderoso de log de atividades que você pode analisar. Este artigo explica como aceder e utilizar os registos de início de sessão.

A vista de pré-visualização dos registos de início de sessão inclui entradas de utilizador interativas e não interativas, bem como entradas de entidade de serviço e de identidade gerida. Você ainda pode exibir os logs de entrada clássicos, que incluem apenas entradas interativas.

Dois outros logs de atividades também estão disponíveis para ajudar a monitorar a integridade do seu locatário:

• Auditoria – Informações sobre alterações aplicadas ao seu locatário, como gerenciamento de usuários e grupos ou atualizações aplicadas aos recursos do locatário.
• Provisionamento – Atividades realizadas por um serviço de provisionamento , como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

O que pode fazer com os registos de início de sessão?

Pode utilizar os registos de início de sessão para responder a perguntas como:

• Quantos utilizadores iniciaram sessão numa determinada aplicação esta semana?
• Quantas tentativas de início de sessão falhadas ocorreram nas últimas 24 horas?
• Os utilizadores iniciam sessão a partir de browsers ou sistemas operativos específicos?
• Quais dos meus recursos do Azure estão sendo acessados por identidades gerenciadas e entidades de serviço?

Também pode descrever a atividade associada a um pedido de início de sessão identificando os seguintes detalhes:

• Quem – A identidade (Utilizador) que realiza o início de sessão.
• Como – O cliente (Aplicativo) usado para o login.
• O que – O destino (Recurso) acessado pela identidade.

Quais são os tipos de logs de login?

Há quatro tipos de logs na visualização de logs de entrada:

• Login de usuário interativo
• Entradas de usuário não interativas
• Entradas na entidade de serviço
• Entradas de identidade gerenciadas

Os logs de entrada clássicos incluem apenas entradas de usuário interativas.

Nota

As entradas nos logs de entrada são geradas pelo sistema e não podem ser alteradas ou excluídas.

Login de usuário interativo

Os logins interativos são realizados por um usuário. Eles fornecem um fator de autenticação para o Microsoft Entra ID. Esse fator de autenticação também pode interagir com um aplicativo auxiliar, como o aplicativo Microsoft Authenticator. Os usuários podem fornecer senhas, respostas a desafios de MFA, fatores biométricos ou códigos QR para o Microsoft Entra ID ou para um aplicativo auxiliar. Esse log também inclui entradas federadas de provedores de identidade que são federados para o Microsoft Entra ID.

Tamanho do relatório: pequeno
Exemplos:

• Um usuário fornece nome de usuário e senha na tela de entrada do Microsoft Entra.
• Um usuário passa por um desafio SMS MFA.
• Um usuário fornece um gesto biométrico para desbloquear seu PC Windows com o Windows Hello for Business.
• Um usuário é federado para Microsoft Entra ID com uma asserção AD FS SAML.

Além dos campos padrão, o log de entrada interativo também mostra:

• A localização de início de sessão
• Se o Acesso Condicional foi aplicado

Limitações conhecidas

Entradas não interativas nos logs de entrada interativos

Anteriormente, algumas entradas não interativas de clientes do Microsoft Exchange eram incluídas no log de entrada interativo do usuário para melhor visibilidade. Essa maior visibilidade era necessária antes que os logs de login de usuário não interativos fossem introduzidos em novembro de 2020. No entanto, é importante notar que alguns logins não interativos, como aqueles que usam chaves FIDO2, ainda podem ser marcados como interativos devido à maneira como o sistema foi configurado antes que os logs não interativos separados fossem introduzidos. Esses logins podem exibir detalhes interativos, como tipo de credencial de cliente e informações do navegador, mesmo que sejam tecnicamente não interativos.

Entradas de passagem

O Microsoft Entra ID emite tokens para autenticação e autorização. Em algumas situações, um usuário conectado ao locatário da Contoso pode tentar acessar recursos no locatário da Fabrikam, onde não tem acesso. Um token sem autorização, chamado token de passagem, é emitido para o locatário da Fabrikam. O token de passagem não permite que o usuário acesse nenhum recurso.

Ao analisar os logs para essa situação, os logs de entrada para o locatário doméstico (neste cenário, Contoso) não mostram uma tentativa de entrada porque o token não foi avaliado em relação às políticas do locatário doméstico. O token de entrada foi usado apenas para exibir a mensagem de falha apropriada. Não verá uma tentativa de início de sessão nos registos do inquilino da casa.

Entradas de entidade de serviço de primeira parte e somente aplicativo

Os logs de entrada da entidade de serviço não incluem atividade de entrada somente de aplicativo. Esse tipo de atividade acontece quando aplicativos primários obtêm tokens para um trabalho interno da Microsoft em que não há orientação ou contexto de um usuário. Excluímos esses logs para que você não pague por logs relacionados a tokens internos da Microsoft em seu locatário.

Você pode identificar eventos do Microsoft Graph que não se correlacionam a uma entrada da entidade de serviço se estiver roteando MicrosoftGraphActivityLogs com SignInLogs o mesmo espaço de trabalho do Log Analytics. Essa integração permite cruzar a referência do token emitido para a chamada da API do Microsoft Graph com a atividade de entrada. Os UniqueTokenIdentifier logs de entrada para entrada e os SignInActivityId logs de atividade do Microsoft Graph estariam ausentes dos logs de entrada da entidade de serviço.

Entradas de usuário não interativas

Os logins não interativos são feitos em nome de um usuário. Essas entradas delegadas foram executadas por um aplicativo cliente ou componentes do sistema operacional em nome de um usuário e não exigem que o usuário forneça um fator de autenticação. Em vez disso, o Microsoft Entra ID reconhece quando o token do usuário precisa ser atualizado e faz isso nos bastidores, sem interromper a sessão do usuário. Em geral, o usuário percebe esses logins como acontecendo em segundo plano.

Tamanho do relatório: Grandes
exemplos:

• Um aplicativo cliente usa um token de atualização OAuth 2.0 para obter um token de acesso.
• Um cliente usa um código de autorização OAuth 2.0 para obter um token de acesso e um token de atualização.
• Um usuário executa o logon único (SSO) para um aplicativo Web ou do Windows em um PC ingressado no Microsoft Entra (sem fornecer um fator de autenticação ou interagir com um prompt do Microsoft Entra).
• Um usuário entra em um segundo aplicativo do Microsoft Office enquanto tem uma sessão em um dispositivo móvel usando FOCI (Família de IDs de Cliente).

Além dos campos padrão, o log de entrada não interativo também mostra:

• ID do Recurso
• Número de entradas agrupadas

Não é possível personalizar os campos mostrados neste relatório.

Para facilitar a digestão dos dados, os eventos de entrada não interativos são agrupados. Os clientes geralmente criam muitos logins não interativos em nome do mesmo usuário em um curto período de tempo. Os sign-ins não interativos compartilham as mesmas características, exceto no momento em que o login foi tentado. Por exemplo, um cliente pode obter um token de acesso uma vez por hora em nome de um usuário. Se o estado do usuário ou cliente não mudar, o endereço IP, o recurso e todas as outras informações serão os mesmos para cada solicitação de token de acesso. O único estado que muda é a data e a hora do início de sessão.

Quando o Microsoft Entra registra várias entradas idênticas além de hora e data, essas entradas são da mesma entidade e são agregadas em uma única linha. Uma linha com vários logins idênticos (exceto para data e hora emitidas) tem um valor maior que um na coluna # sign-ins . Esses logins agregados também podem parecer ter os mesmos carimbos de data/hora. O filtro de agregação de tempo pode ser definido como 1 hora, 6 horas ou 24 horas. Você pode expandir a linha para ver todos os diferentes logins e seus diferentes carimbos de data/hora.

As entradas são agregadas nos usuários não interativos quando os seguintes dados correspondem:

• Aplicação
• User
• Endereço IP
• Estado
• ID do Recurso

Nota

O endereço IP de entradas não interativas executadas por clientes confidenciais não corresponde ao IP de origem real de onde a solicitação de token de atualização está vindo. Em vez disso, ele mostra o IP original usado para a emissão do token original.

Entradas na entidade de serviço

Ao contrário dos inícios de sessão de utilizador interativos e não interativos, os inícios de sessão da entidade de serviço não envolvem um utilizador. Em vez disso, eles são entradas por qualquer conta de não usuário, como aplicativos ou entidades de serviço (exceto o login de identidade gerenciada, que está incluído apenas no log de entrada de identidade gerenciada). Nessas entradas, o aplicativo ou serviço fornece sua própria credencial, como um certificado ou segredo de aplicativo para autenticar ou acessar recursos.

Tamanho do relatório: Grandes
exemplos:

• Uma entidade de serviço usa um certificado para autenticar e acessar o Microsoft Graph.
• Um aplicativo usa um segredo de cliente para autenticar no fluxo de credenciais do cliente OAuth.

Não é possível personalizar os campos mostrados neste relatório.

Para facilitar a digestão dos dados nos logs de entrada da entidade de serviço, os eventos de entrada da entidade de serviço são agrupados. As entradas da mesma entidade nas mesmas condições são agregadas em uma única linha. Você pode expandir a linha para ver todos os diferentes logins e seus diferentes carimbos de data/hora. As entradas são agregadas no relatório da entidade de serviço quando os seguintes dados correspondem:

• Nome ou ID da entidade de serviço
• Estado
• Endereço IP
• Nome ou ID do recurso

Entradas de identidade gerenciadas

As identidades gerenciadas para entradas de recursos do Azure são entradas que foram executadas por recursos que têm seus segredos gerenciados pelo Azure para simplificar o gerenciamento de credenciais. Uma VM com credenciais gerenciadas usa o Microsoft Entra ID para obter um Token de Acesso.

Tamanho do relatório: Pequenos
exemplos:

Não é possível personalizar os campos mostrados neste relatório.

Para facilitar a digestão dos dados, as identidades gerenciadas para logs de entrada de recursos do Azure, eventos de entrada não interativos são agrupados. As entradas da mesma entidade são agregadas em uma única linha. Você pode expandir a linha para ver todos os diferentes logins e seus diferentes carimbos de data/hora. As entradas são agregadas no relatório de identidades gerenciadas quando todos os dados a seguir correspondem:

• Nome ou ID de identidade gerenciada
• Estado
• Nome ou ID do recurso

Selecione um item na vista de lista para apresentar todos os inícios de sessão agrupados num nó. Selecione um item agrupado para ver todos os detalhes do início de sessão.

Dados de início de sessão utilizados por outros serviços

Os dados de início de sessão são utilizados por vários serviços no Azure para monitorizar inícios de sessão arriscados, fornecer informações sobre a utilização da aplicação e muito mais.

Proteção de ID do Microsoft Entra

A visualização de dados de log de entrada relacionada a entradas arriscadas está disponível na visão geral da Proteção de ID do Microsoft Entra, que usa os seguintes dados:

• Utilizadores de risco
• Login de usuário arriscado
• Identidades de carga de trabalho arriscadas

Para obter mais informações sobre as ferramentas de Proteção de ID do Microsoft Entra, consulte a Visão geral da Proteção de ID do Microsoft Entra.

Uso e insights do Microsoft Entra

Para exibir dados de entrada específicos do aplicativo, navegue até Insights de uso de integridade do Monitoramento & de ID>>do Microsoft Entra.& Esses relatórios fornecem uma visão mais detalhada das entradas para a atividade do aplicativo Microsoft Entra e a atividade do aplicativo AD FS. Para obter mais informações, consulte Insights de uso & do Microsoft Entra.

Há vários relatórios disponíveis em Insights de uso&. Alguns destes relatórios estão em fase de pré-visualização.

• Atividade do aplicativo Microsoft Entra (visualização)
• Atividade do aplicativo AD FS
• Atividade de métodos de autenticação
• Atividade de início de sessão da entidade de serviço (pré-visualização)
• Atividade de credencial do aplicativo (visualização)

Logs de atividades do Microsoft 365

Pode visualizar os registos de atividade do Microsoft 365 a partir do centro de administração do Microsoft 365. A atividade do Microsoft 365 e os logs de atividade do Microsoft Entra compartilham um número significativo de recursos de diretório. Apenas o centro de administração do Microsoft 365 fornece uma vista completa dos registos de atividade do Microsoft 365.

Você pode acessar os logs de atividade do Microsoft 365 programaticamente usando as APIs de Gerenciamento do Office 365.

Próximos passos

• Informações básicas nos logs de entrada do Microsoft Entra

• Como baixar logs no Microsoft Entra ID

• Como acessar logs de atividade no Microsoft Entra ID