Compartilhar via

Tutorial: Controlar e monitorar aplicativos

O administrador de TI da Fabrikam adicionou e configurou um aplicativo da galeria de aplicativos do Microsoft Entra. Eles também garantiram que o acesso pode ser gerenciado e que o aplicativo é seguro usando as informações no Tutorial: Gerenciar o acesso e a segurança do aplicativo. Agora, é necessário reconhecer os recursos disponíveis para controlar e monitorar o aplicativo.

Usando as informações neste tutorial, um administrador do aplicativo saberá como:

  • Criar uma análise de acesso
  • Acessar os logs de auditoria
  • Acessar as entradas
  • Enviar logs ao Azure Monitor

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você ainda não tiver uma, crie uma conta gratuitamente.
  • Uma das seguintes funções: Governança de identidade, Administrador de função com privilégios, Administrador de aplicativos de nuvem ou Administrador de aplicativos.
  • Um aplicativo corporativo que foi configurado em seu locatário do Microsoft Entra.

Criar uma análise de acesso

O administrador deseja assegurar que os usuários ou os convidados tenham acesso apropriado. E decide pedir aos usuários do aplicativo que participem de uma revisão de acesso e reconfirmem ou atestem a necessidade de acesso. Quando a revisão de acesso for concluída, será possível fazer as alterações e remover o acesso dos usuários que não mais precisarão dele. Para obter mais informações, consulte Gerenciar o acesso de usuários e usuários convidados com revisões de acesso.

Para criar uma revisão de acesso:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Governança de ID>Revisões de Acesso.
  3. Selecione Nova revisão de acesso para criar uma nova revisão de acesso.
  4. Em Selecionar o que examinar, selecione Aplicativos.
  5. Selecione + Selecione aplicativos, selecione o aplicativo e, em seguida, escolha Selecionar.
  6. Agora você pode selecionar um escopo para a revisão. Suas opções são:
    • Somente usuários convidados – essa opção limita a revisão de acesso somente aos usuários convidados do Microsoft Entra B2B em seu diretório.
    • Todos os usuários – essa opção define o escopo da revisão de acesso a todos os objetos de usuário associados ao recurso. Selecione Todos os usuários.
  7. Selecione Avançar: Revisões.
  8. Na seção Especificar revisores , na caixa Selecionar revisores, selecione usuários selecionados ou grupos, selecione + Selecionar revisores e selecione a conta de usuário atribuída ao aplicativo.
  9. Na seção Especificar recorrência da revisão , especifique as seguintes seleções:
    • Duração (em dias) – aceite o valor padrão de 3.
    • Revise a recorrência – selecione Uma vez.
    • Data de início – Aceite a data de hoje como a data de início.
  10. Selecione Avançar: Configurações.
  11. Na seção Configurações de conclusão , você pode especificar o que acontece após a conclusão da revisão. Selecione Aplicar resultados automaticamente ao recurso.
  12. Selecione Avançar: Examinar + Criar.
  13. Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.
  14. Examine as informações e selecione Criar.

Inicie a revisão de acesso

A revisão de acesso começa em alguns minutos e aparece em sua lista com um indicador de status.

Por padrão, o ID do Microsoft Entra envia um email aos revisores logo após o início da revisão. Se você optar pelo não envio do email pelo ID do Microsoft Entra, certifique-se de informar aos revisores que eles devem concluir uma análise de acesso pendente. Você pode mostrar a eles as instruções de como examinar o acesso para os grupos ou aplicativos. Se sua revisão for para que os hóspedes avaliem seu próprio acesso, mostre as instruções sobre como revisar o acesso deles a grupos ou aplicativos.

Se você tiver atribuído convidados como revisores e eles não tiverem aceitado seu convite para o locatário, não receberão um email das revisões de acesso. Eles devem primeiro aceitar o convite antes que possam começar a revisar.

Ver o status de uma revisão de acesso

Você pode acompanhar o progresso das revisões de acesso conforme elas são concluídas.

  1. Vá para Governança de Identidade>Revisões de Acesso.
  2. Na lista, selecione a revisão de acesso que você criou.
  3. Na página Visão geral , verifique o progresso da revisão de acesso.

A página Resultados fornece informações sobre cada usuário em análise na instância, incluindo a opção para Parar, Redefinir e Baixar resultados. Para saber mais, confira o artigo Complete uma revisão de acesso de grupos e aplicativos nas revisões de acesso do Microsoft Entra.

Acessar os logs de auditoria

Os logs de auditoria do Microsoft Entra capturam uma ampla variedade de atividades em seu locatário. Esses logs fornecem informações valiosas sobre as atividades que você precisa monitorar. Para obter mais informações, consulte logs de auditoria no Microsoft Entra ID.

Para acessar os logs de auditoria, vá para Entra ID>Monitoramento e saúde>Logs de auditoria.

Os logs de auditoria capturam atividades que se enquadram nas categorias a seguir. Esta lista não é completa. Para obter uma lista completa das categorias e atividades do log de auditoria, consulte as atividades de log de auditoria.

  • Atividade de redefinição de senha
  • Atividade de registro de redefinição de senha
  • Atividade dos grupos de autoatendimento
  • Alterações de nome do grupo do Office365
  • Atividade de provisionamento de conta
  • Status de substituição de senha
  • Erros de provisionamento de conta

Acessar os logs de entrada

Os logs de entrada do Microsoft Entra capturam entradas interativas, não interativas, de identidade gerenciada e de principal de serviço. Para obter mais informações, consulte Logs de entrada no Microsoft Entra ID.

Para acessar os logs de entrada, vá a Entra ID>Monitoramento e saúde>Logs de entrada.

Você também pode ver informações de login do aplicativo na área de Aplicativos Empresariais. Os logs de entrada abrem os mesmos logs de monitoramento e integridade>, mas o filtro já está definido para o aplicativo selecionado. O relatório Uso & Insights também resume a atividade de login para o aplicativo.

Enviar logs ao Azure Monitor

Os logs de atividades do Microsoft Entra armazenam apenas informações por sete dias para a ID do Microsoft Entra Gratuita e 30 dias para o Microsoft Entra ID P1/P2. Dependendo de suas necessidades, você pode exigir armazenamento extra para fazer backup dos dados dos logs de atividades.

Usando logs do Azure Monitor, você pode reter os dados por mais tempo e habilitar ferramentas de análise avançadas, como visualização e alertas. Para obter mais informações sobre como integrar logs com logs do Azure Monitor, consulte Integrar logs do Microsoft Entra ao Azure Monitor.

Para enviar logs para o Azure Monitor, você precisa de um workspace do Log Analytics. Depois que isso for criado, você definirá as configurações de diagnóstico a serem integradas ao Log Analytics. Há considerações de custo associadas à integração de logs com o Azure Monitor e o Log Analytics, portanto, examine esta seção dos logs de atividades do Microsoft Entra no Azure Monitor antes de continuar.

Após ter um espaço de trabalho do Log Analytics configurado:

  1. Selecione configurações de diagnóstico e, em seguida, selecione Adicionar configuração de diagnóstico. Você também pode selecionar a páginaExportar Configurações dos Logs de Auditoria ou Assinaturas para obter a página de configuração de configurações de diagnóstico.
  2. Escolha os logs que você deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e conclua os campos.
  3. Selecione Salvar.

Após cerca de 15 minutos, verifique se que os eventos são transmitidos para seu espaço de trabalho do Log Analytics.

Próximas etapas

Prossiga para o próximo artigo para saber como...

Gerenciar consentimento para aplicativos e avaliar solicitações de consentimento