Editar

Compartilhar via


Perguntas frequentes sobre monitoramento e integridade do Microsoft Entra

Este artigo inclui respostas para perguntas frequentes sobre monitoramento e integridade do Microsoft Entra. Para obter mais informações, confira Visão geral de monitoramento e integridade do Microsoft Entra.

Introdução

Como fazer para obter uma licença Premium?

Confira Licenciamento do Microsoft Entra ID para atualizar sua edição do Microsoft Entra.

Depois de adquirir uma licença Premium, quanto tempo leva para que os dados de logs de atividades sejam exibidos?

Se você já tiver dados de logs de atividades como parte de uma licença gratuita, eles serão exibidos de imediato. Se você não tiver nenhum dado, então leva até três dias para que os dados apareçam nos relatórios.

Posso ver os dados do mês passado depois de obter uma licença P1 ou P2 do Microsoft Entra ID?

Se você alternou recentemente para uma versão Premium (incluindo uma versão de avaliação), poderá ver dados de até sete dias inicialmente. Quando os dados forem acumulados, será possível visualizar os dados dos últimos 30 dias.

Logs de atividades

Qual função é necessária para ver os logs de atividade no centro de administração do Microsoft Entra?

A função com privilégios mínimos mais adequada para exibir logs de auditoria e de logon é a função de leitor de relatórios. Outras funções incluem o Leitor de Segurança e o Administrador de Segurança.

Quais logs posso integrar com o Azure Monitor?

Os logs de entrada e auditoria estão disponíveis para serem encaminhados por meio do Azure Monitor. Atualmente, os eventos de auditoria relacionados ao B2C não estão incluídos. Para saber mais, confira Integrações de logs de atividades do Microsoft Entra e Visão geral do log de atividades da API do Graph.

Posso obter informações do log de atividades do Microsoft 365 por meio do centro de administração do Microsoft Entra ou do portal do Azure?

Os logs de atividades do Microsoft 365 e do Microsoft Entra compartilham muitos recursos de diretório. Se você quiser uma visão completa dos logs de atividades do Microsoft 365, vá para o Centro de administração do Microsoft 365 para obter informações do log de atividades do Office 365. As APIs do Microsoft 365 são descritas no artigo APIs de Gerenciamento do Microsoft 365.

Quantos registros posso baixar no centro de administração do Microsoft Entra?

Vários fatores determinam o número de logs que podem ser baixados do Centro de administração do Microsoft Entra, como o tamanho da memória do navegador, a velocidade da rede e as cargas das APIs de relatórios do Microsoft Entra. Em geral, conjuntos de dados menores que 250.000 para logs de auditoria e 100.000 para logs de entrada e provisionamento funcionam bem com o recurso de download do navegador. Dependendo do número de campos que você incluiu, esse número pode variar. Se você enfrentar problemas ao fazer grandes downloads no navegador, use a API de relatório para baixar os dados ou envie os logs para um ponto de extremidade por meio de configurações de diagnóstico.

Os filtros ativos no centro de administração do Microsoft Entra quando você inicia o download determinam o conjunto específico de logs que podem ser baixados. Por exemplo, filtrar para um usuário específico no centro de administração do Microsoft Entra significa que o download extrai logs desse usuário específico. As colunas nos logs baixados não são alteradas. A saída contém todos os detalhes do log de auditoria ou de entrada, independentemente das colunas personalizadas no centro de administração do Microsoft Entra.

Por quanto tempo o Microsoft Entra armazena os logs de atividades do repositório de ID? Qual é a retenção de dados?

Dependendo de sua licença, Microsoft Entra ID armazena logs de atividades entre 7 e 30 dias. Para obter mais informações, confira Políticas de retenção de relatório do Microsoft Entra.

O que acontecerá se um administrador alterar o período de retenção de uma configuração de diagnóstico?

O recurso de Retenção de armazenamento de configurações de diagnóstico está sendo preterido. Para obter detalhes sobre essa alteração, consulte Migrar da retenção de armazenamento de configurações de diagnóstico para o gerenciamento do ciclo de vida do Armazenamento do Microsoft Azure.

Logs de auditoria

Como posso descobrir se um usuário comprou uma licença ou ativou uma licença de avaliação para meu locatário? Não vejo essa atividade nos registros de auditoria.

Neste momento, não há uma atividade específica nos logs de auditoria para compras ou habilitação de licenças. Entretanto, você poderá correlacionar a atividade "Integrar o recurso ao PIM" da categoria "Gerenciamento de Recursos" à compra ou habilitação de uma licença. Essa atividade nem sempre pode estar disponível ou fornecer os detalhes exatos.

Logs de entrada

Usei o recurso signInActivity para procurar o último horário de entrada de um usuário, mas ele não foi atualizado após algumas horas. Quando será atualizado com o horário de entrada mais recente?

O recurso signInActivity é usado para encontrar usuários inativos que não se conectaram há algum tempo. Ele não é atualizado quase em tempo real. Se você precisar encontrar a última atividade de entrada do usuário mais rapidamente, você pode usar os logs de entrada do Microsoft Entra para ver a atividade de entrada quase em tempo real de todos os seus usuários.

Quais dados estão incluídos no arquivo CSV que posso baixar dos logs de conexão do Microsoft Entra?

O CSV inclui logs de entrada para o tipo de entradas que você selecionou. Os dados representados como matriz aninhada na API do Microsoft Graph para logs de entrada não são incluídos. Por exemplo, as políticas de Acesso Condicional e informações somente de relatório não estão incluídas. Se você precisar exportar todas as informações contidas em seus logs de conexão, use o recurso Exportar configurações de dados.

Também é importante observar que as colunas incluídas nos logs baixados não são alteradas, mesmo se você personalizou as colunas no centro de administração do Microsoft Entra.

Vejo .XXX em parte do endereço IP de um usuário em meus logs de conexão. Por que isso está acontecendo?

O Microsoft Entra ID pode redigir parte de um endereço IP nos logs de entrada para proteger a privacidade do usuário quando um usuário pode não pertencer ao locatário que exibe os logs. Essa ação ocorre em dois casos:

  • Durante as entradas entre locatários, como quando um técnico do CSP entra em um locatário que o CSP gerencia.
  • Quando nosso serviço não foi capaz de determinar a identidade do usuário com confiança suficiente para ter certeza de que o usuário pertence ao locatário que está exibindo os logs.

Vejo "PII removidas" nos detalhes do dispositivo de um usuário em meus logs de entrada. Por que isso está acontecendo?

O Microsoft Entra ID edita informações de identificação pessoal (PII) geradas por dispositivos que não pertencem ao seu locatário para garantir que os dados do cliente. As informações de identificação pessoal (PII) não se espalham além dos limites do locatário sem o consentimento do usuário e do proprietário dos dados.

Vejo entradas de entrada duplicadas/vários eventos de entrada por requestID. Por que isso está acontecendo?

Há vários motivos pelos quais as entradas de conexão podem ser duplicadas em seus logs.

  • Se um risco for identificado em uma entrada, outro evento quase idêntico será publicado imediatamente depois com o risco incluído.
  • Se os eventos de MFA relacionados a uma entrada forem recebidos, todos os eventos relacionados serão agregados à entrada original.
  • Se a publicação de parceiros para um evento de entrada falhar, como a publicação no Kusto, um lote inteiro de eventos será repetido e publicado novamente, o que pode resultar em duplicatas.
  • Eventos de entrada que envolvem várias políticas de Acesso Condicional podem ser divididos em vários eventos, o que pode resultar em pelo menos dois eventos por evento de entrada.

Estou investigando um evento de entrada usando o Log Analytics, mas a hora TimeGenerated não corresponde à hora real da entrada. Por que isso está acontecendo?

O campo TimeGenerated no Log Analytics é o momento em que a entrada foi recebida e publicada pelo Log Analytics. Lembre-se de que, para que seus logs apareçam no Log Analytics, você precisa definir as configurações de diagnóstico para enviar os logs para o workspace do Log Analytics. Esse processo é demorado, portanto, o campo TimeGenerated pode não corresponder à hora real da entrada.

Para confirmar se a data e a hora correspondem à entrada, procure o campo CreatedDateTime um pouco abaixo nos resultados do Log Analytics. Os campos AuthenticationDetails também podem ser expandidos para mostrar a hora exata da entrada. A hora no Log Analytics é exibida em UTC, mas a hora nos logs de entrada no centro de administração do Microsoft Entra é exibido no horário local, portanto, talvez seja necessário ajustar.

Por que minhas entradas não interativas parecem ter o mesmo carimbo de data/hora?

As entradas não interativas podem disparar um grande volume de eventos a cada hora, de modo que são agrupados nos logs.

Em muitos casos, as entradas não interativas têm as mesmas características, exceto pela data e a hora da entrada. Se a agregação por tempo for definida como 24 horas, os logs aparecem mostrando as entradas ao mesmo tempo. Cada uma dessas linhas agrupadas pode ser expandida para exibir o carimbo de data/hora exato.

Estou vendo IDs de Usuário/IDs de Objeto/GUIDs no campo nome de usuário do meu log de entrada. Por que isso está acontecendo?

Há vários motivos pelos quais as entradas de conexão podem exibir IDs de usuário, IDs de objeto ou GUIDs no campo de nome de usuário.

  • Na autenticação sem senha, as IDs de usuário aparecem como o nome de usuário. Para confirmar esse cenário, examine os detalhes do evento de entrada em questão. O campo authenticationDetail exibe sem senha.
  • O usuário foi autenticado, mas ainda não entrou. Para confirmar, há um código de erro 50058 que se correlaciona com uma interrupção.
  • Se o campo nome de usuário mostrar 000000-00000-0000-0000-0000 ou algo semelhante, poderá haver restrições de locatário em vigor, impedindo que o usuário entre no locatário selecionado.
  • As tentativas de entrada de autenticação multifator são agregadas com várias entradas de dados, o que pode levar mais tempo para serem exibidas corretamente. Os dados podem levar até duas horas para serem totalmente agregados, mas raramente demoram esse tempo.

Estou vendo um erro 90025 nos logs de entrada. Isso significa que meu usuário não conseguiu entrar? Meu locatário alcançou o limite de uma limitação?

Não. De modo geral, os erros 90025 são resolvidos por uma nova tentativa automática sem que o usuário perceba o erro. Este erro pode ocorrer quando um sub-serviço interno do Microsoft Entra atinge sua permissão de reentrada e não indica que seu locatário está sendo limitado. Esses erros costumam ser resolvidos internamente pelo Microsoft Entra ID. Se o usuário não conseguir entrar devido a esse erro, tentar novamente manualmente deverá resolver o problema.

Nos logs de entrada da Entidade de Serviço, o que significa se eu vir “00000000-0000-0000-0000-000000000000” ou “ ” para a ID da Entidade de Serviço ou ID da Entidade de Serviço de Recurso em meus logs de entrada?

Se o ID da Entidade de Serviço tiver o valor “0000000-0000-0000-0000-000000000000", não há nenhuma Entidade de Serviço para o aplicativo do cliente nessa instância de autenticação. O Microsoft Entra não emite mais tokens de acesso sem uma Entidade de Serviço cliente, exceto alguns aplicativos da Microsoft e não Microsoft.

Se a ID da entidade de serviço de recurso tiver o valor "0000000-0000-0000-0000-000000000000", não há entidade de serviço para o aplicativo de recurso nessa instância de autenticação.

Este comportamento é atualmente permitido apenas para um número limitado de aplicativos de recursos.

Você pode consultar as instâncias de autenticação sem um cliente ou recurso de Entidade de Serviço no seu locatário.

  • Para encontrar instâncias de logs de entrada para seu locatário onde falta uma Entidade de Serviço do cliente, use a seguinte consulta:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    
  • Para encontrar instâncias de logs de entrada para seu locatário onde falte uma Entidade de Serviço de recurso, use a seguinte consulta:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    

Você também pode encontrar esses logs de entrada no centro de administração do Microsoft Entra.

  • Entre no Centro de administração do Microsoft Entra.
  • Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
  • Selecione Entradas da Entidade de Serviço.
  • Selecione um período apropriado no campo Data (últimas 24 horas, 7 dias, etc.).
  • Adicione um filtro e selecione a ID da Entidade de Serviço e forneça o valor '00000000-0000-0000-0000-000000000000' para obter instâncias de autenticação sem a Entidade de Serviço do cliente.

Como posso restringir a entrada (autenticação) para vários aplicativos que eu vejo nos logs de entrada da Entidade de Serviço?

Se você quiser controlar como funciona a autenticação em seu locatário para aplicativos específicos de cliente ou recursos, siga as instruções no artigo Restringir aplicativo do Microsoft Entra a um conjunto de usuários.

Por que as entradas tecnicamente não interativas aparecem nos meus logs de entradas interativas?

Algumas entradas não interativas foram disponibilizadas antes de os logs de entradas não interativas ficarem disponíveis em versão prévia pública. Essas entradas não interativas eram incluídas nos logs de entradas interativas e permaneciam neles após a disponibilização dos logs não interativos. As entradas que usam as chaves FIDO2 são um exemplo de entradas não interativas que aparecem nos logs de entradas interativas. No momento, esses logs não interativos sempre são incluídos no log de entradas interativas.

Qual API de geração de relatórios devo usar para as detecções de riscos da Identity Protection, como vazamento de credenciais ou logons feitos de endereços IP anônimos?

Você pode usar a API de detecções de risco de Proteção de Identidade para acessar detecções de segurança por meio do Microsoft Graph. Esta API inclui filtragem avançada e seleção de campos e padroniza as detecções de risco em um único tipo a fim de facilitar a integração com SIEMs e outras ferramentas de coleta de dados.

Acesso Condicional

Quais detalhes do Acesso Condicional posso ver nos logs de entrada?

Você pode solucionar problemas de políticas de Acesso Condicional por todos os logs de entrada. Revise o status do Acesso Condicional e examine os detalhes das políticas aplicadas à entrada e o resultado de cada política.

Introdução:

  • Entre no Centro de administração do Microsoft Entra.
  • Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
  • Selecione o login que você deseja solucionar.
  • Selecione a guia Acesso Condicional para exibir todas as políticas que afetaram a entrada e o resultado para cada política.

Quais são todos os valores possíveis para o status de acesso condicional?

O status de acesso condicional pode ter os seguintes valores:

  • Não aplicado: não havia política de acesso condicional com o usuário e o aplicativo no escopo.
  • Sucesso: havia uma política de acesso condicional com o usuário e o aplicativo no escopo e as políticas de acesso condicional foram atendidas com êxito.
  • Falha: a entrada satisfez a condição de usuário e aplicativo de pelo menos uma política de acesso condicional, e os controles de concessão não foram atendidos ou definidos para bloquear o acesso.

Quais são todos os valores possíveis para o resultado da política de acesso condicional?

Uma política de acesso condicional pode ter os seguintes resultados:

  • Sucesso: A política foi atendida com êxito.
  • Falha: a política não foi atendida.
  • Não aplicado: as condições da política podem não ter sido atendidas.
  • Não habilitado: a política pode estar desabilitada.

O nome da política no log de entrada não corresponde ao nome da política no Acesso Condicional. Por quê?

O nome da política no log de entrada é baseado no nome da política de Acesso Condicional no momento da entrada. O nome pode ser inconsistente com o nome da política no Acesso Condicional se você atualizou o nome da política após a entrada.

Minha entrada foi bloqueada devido a uma política de Acesso Condicional, mas o log de entrada mostra que a entrada foi bem-sucedida. Por quê?

Atualmente, é possível que o registro de entrada não mostre resultados precisos nos cenários do Exchange ActiveSync quando o Acesso Condicional é aplicado. Pode haver casos em que o resultado da entrada no relatório mostra uma entrada bem-sucedida, mas a entrada realmente falhou devido a uma política.

Por que a Entrada do Windows ou o Windows Hello para Empresas aparece como "fora do escopo" ou "não aplicável" na guia Acesso Condicional nos detalhes do registro de entrada?

As políticas de Acesso Condicional não se aplicam à Entrada do Windows ou ao Windows Hello para Empresas. As políticas de Acesso Condicional protegem as tentativas de entrada nos recursos de nuvem, não o processo de entrada do Windows.

APIs do Microsoft Graph

Atualmente, uso as APIs de ponto de extremidade 'https://graph.windows.net/<tenant-name>/reports/' para efetuar o pull de auditoria do Microsoft Entra e relatórios integrados de uso dos aplicativos nos nossos sistemas de relatórios programaticamente. Para qual devo mudar?

Consulte a Referência de API para saber como é possível usar as APIs para acessar logs de atividades. Esse ponto de extremidade tem dois relatórios (Auditoria e Entradas) que fornecem todos os dados que você obteve no ponto de extremidade de API antigo. Esse novo ponto de extremidade também tem um relatório de entradas com a licença do Microsoft Entra ID P1 ou P2 que você pode usar para obter informações de uso de aplicativo uso de dispositivo e conexão do usuário.

Atualmente, uso as APIs de ponto de extremidade `https://graph.windows.net/<tenant-name>/reports/` para efetuar o pull dos relatórios de segurança do Microsoft Entra (tipos específicos de detecções, como credenciais vazadas ou entradas de endereços de IP anônimos) nos nossos sistemas de relatórios programaticamente. Para qual devo mudar?

Você pode usar a API de detecções de risco de Proteção de Identidade para acessar detecções de segurança por meio do Microsoft Graph. Esse novo formato oferece maior flexibilidade em como você pode consultar dados. O formato fornece filtragem avançada, seleção de campo e padroniza detecções de risco em um tipo para integração mais fácil ao SIEMs e outras ferramentas de coleta de dados. Uma vez que os dados estão em um formato diferente, você não pode substituir uma nova consulta para suas consultas antigas. No entanto, a nova API usa o Microsoft Graph, que é o padrão da Microsoft para essas APIs, como Microsoft 365 ou Microsoft Entra ID. Para que o trabalho necessário possa estender seus investimentos atuais no Microsoft Graph ou ajudar você a começar a fazer a transição para essa nova plataforma padrão.

Continuo recebendo erros de permissões ao executar consultas. Achei que tinha a função apropriada.

Talvez seja necessário entrar no Microsoft Graph separadamente no centro de administração do Microsoft Entra. Selecione o ícone de perfil no canto superior direito e entre no diretório direito. Você pode estar tentando executar uma consulta para a qual não tem permissões. Selecione Modificar Permissões e clique no botão Consentir. Siga os prompts de entrada.

Por que há eventos "MicrosoftGraphActivityLogs" que não se correlacionam com uma entrada da Entidade de Serviço?

Sempre que um token é usado para chamar um ponto de extremidade do Microsoft Graph, os MicrosoftGraphActivityLogs é atualizado com essa chamada. Algumas dessas chamadas são chamadas internas, somente de aplicativo, que não são publicadas nos logs de entrada da Entidade de Serviço. Quando os MicrosoftGraphActivityLogs mostram um uniqueTokenIdentifier que você não consegue localizar nos logs de entrada, o identificador de token está fazendo referência a um token interno, somente de aplicativo.

Recomendações

Por que uma recomendação que foi "concluída" foi alterada de volta para "ativa"?

Se o serviço detectar a atividade relacionada a essa recomendação para algo marcado como "concluído", ele será alterado automaticamente de volta para "ativo".