Compartilhar via

Usar logs de auditoria para solucionar problemas de alterações na política de Acesso Condicional

O log de auditoria do Microsoft Entra é uma fonte valiosa de informações ao solucionar problemas sobre o por que e como as alterações na política de Acesso Condicional aconteceram no seu ambiente.

Os dados do log de auditoria são mantidos por 30 dias por padrão, o que pode não ser suficiente para todas as organizações. As organizações podem armazenar dados por mais tempo alterando as configurações de diagnóstico na ID do Microsoft Entra para:

  • Enviar dados para um workspace do Log Analytics
  • Arquivar dados em uma conta de armazenamento
  • Transmitir dados para os Hubs de Eventos
  • Enviar dados para uma solução de parceiro

Localize essas opções em Entra ID>Monitoramento e Saúde>Configurações de Diagnóstico>Editar configuração. Se você não tiver uma configuração de diagnóstico, consulte Criar configurações de diagnóstico para enviar logs de plataforma e métricas para destinos diferentes para obter instruções para criar um.

Usar o log de auditoria

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Navegue até Entra ID>Monitorar & integridade>Logs de auditoria.

  3. Selecione o intervalo de datas a ser consultado.

  4. No filtro Serviço , selecione Acesso Condicional e selecione o botão Aplicar .

    Por padrão, os logs de auditoria exibem todas as atividades. Use o filtro Atividade para restringir as atividades. Para obter uma lista completa das atividades de log de auditoria para acesso condicional, confira as Atividades de log de auditoria.

  5. Selecione uma linha para exibir os detalhes. A guia Propriedades Modificadas lista os valores JSON modificados para a atividade de auditoria selecionada.

Captura de tela de uma entrada de log de auditoria mostrando valores JSON antigos e novos para uma política de Acesso Condicional.

Usar Log Analytics

O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas sob medida. Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

Captura de tela de uma consulta do Log Analytics para atualizações das políticas de Acesso Condicional, mostrando o local de valor novo e antigo.

Depois de habilitá-lo, localize o Log Analytics noMonitoramento deID> de Entra &Log Analytics de integridade>. A tabela mais relevante para os administradores de Acesso Condicional é AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Encontre alterações em TargetResources>modifiedProperties.

Lendo os valores

Os valores antigos e novos do log de auditoria e do Log Analytics estão no formato JSON. Compare os dois valores para identificar alterações à política.

Exemplo da política antiga:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Exemplo da política atualizada:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

No exemplo anterior, a política atualizada não inclui termos de uso nos controles de concessão.

Conteúdo relacionado

  • Last updated on