Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O monitoramento e a integridade do Microsoft Entra fornecem vários tipos de logs de entradas para ajudar você a monitorar a integridade do seu locatário. Os logons interativos do usuário são a exibição padrão no centro de administração do Microsoft Entra.
O que é um login interativo do usuário?
As entradas interativas são executadas por um usuário. Eles fornecem um fator de autenticação para o Microsoft Entra ID. Esse fator de autenticação também pode interagir com um aplicativo auxiliar, como o aplicativo Microsoft Authenticator. Os usuários podem fornecer senhas, respostas a desafios de MFA, fatores biométricos ou códigos QR ao Microsoft Entra ID ou a um aplicativo auxiliar. Esse log também inclui entradas federadas de provedores de identidade que são federados ao Microsoft Entra ID.
Detalhes do log
Os exemplos a seguir mostram o tipo de informação capturada nos logs interativos de entrada do usuário:
- Um usuário fornece nome de usuário e senha na tela de entrada do Microsoft Entra.
- Um usuário passa por uma verificação via SMS de um MFA.
- Um usuário faz um gesto biométrico para desbloquear seu computador Windows com o Windows Hello para Empresas.
- Um usuário é federado ao Microsoft Entra ID com uma declaração SAML AD FS.
Além dos campos padrão, os logs de entrada interativos também mostram:
- O local de login
- Se o acesso condicional foi aplicado
- Detalhes de acesso entre locatários, como IDs do locatário principal e do locatário de recursos
Observação
As entradas nos logs de entrada são geradas pelo sistema e não podem ser alteradas ou excluídas.
Considerações especiais
Acesso de parceiro a recursos de locatário downstream
Os logs de entrada interativos agora incluem detalhes sobre quando um parceiro acessa os recursos de um locatário downstream. Observando as colunas Tipo de acesso entre locatários, ID do locatário da Página Inicial e ID do locatário do Recurso, que agora estão visíveis por padrão, você poderá ver quando um parceiro faz logon em um recurso de locatário downstream.
- Filtre o Provedor de Serviços na coluna Tipo de acesso entre locatários para isolar eventos relacionados a logons de parceiros.
- Compare os detalhes nas colunas ID do locatário da Página Inicial e ID do locatário do recurso para identificar os logons provenientes do locatário do seu parceiro para o locatário downstream.
Entradas não interativas nos logs de entrada interativos
Anteriormente, alguns acessos não interativos eram incluídos no registro de acessos interativos de usuários para proporcionar melhor visibilidade. Essa visibilidade aumentada era necessária antes que os logs de entrada de usuário não interativos fossem introduzidos em novembro de 2020. Autenticações não interativas envolvendo chaves FIDO2 eram anteriormente classificadas como interativas, apesar de serem tecnicamente não interativas. A partir de 11 de abril de 2025, todos os novos logins que obtêm um token de atualização com chaves FIDO2 agora estão registrados nos registros de login não interativos.
Entradas de passagem
O Microsoft Entra ID emite tokens para autenticação e autorização. Em algumas situações, um usuário que está conectado ao locatário da Contoso pode tentar acessar recursos no locatário da Fabrikam, aos quais não tem acesso. Um token que não requer autorização, chamado token de passagem, é emitido para o inquilino da Fabrikam. O token de passagem não permite que o usuário acesse nenhum recurso.
Anteriormente, ao examinar os logs dessa situação, os logs de entrada do locatário inicial (nesse cenário, a Contoso) não mostraram uma tentativa de entrada porque o token não estava concedendo acesso a um recurso com declarações. O token de entrada só foi usado para exibir a mensagem de falha apropriada.
Agora, as tentativas de entrada de passagem aparecem nos logs de entrada do locatário inicial e nos logs de entrada de restrição de locatários relevantes. Essa atualização fornece mais visibilidade sobre as tentativas de login dos seus usuários e insights mais profundos sobre suas políticas de restrição de ambiente.
A propriedade crossTenantAccessType agora mostra passthrough para diferenciar as entradas de passagem e está disponível no centro de administração do Microsoft Entra e no Microsoft Graph.
Entradas da entidade de serviço somente do aplicativo
Os logs de entrada da entidade de serviço não incluem atividades de entrada primárias, somente de aplicativos. Esse tipo de atividade acontece quando aplicativos originais obtêm tokens para um trabalho interno da Microsoft em que não há orientação ou contexto de um usuário. Excluímos esses logs para que você não pague por logs relacionados a tokens internos da Microsoft no seu locatário.
Você pode identificar eventos do Microsoft Graph que não se correlacionam com uma entrada de entidade de serviço se você estiver roteando MicrosoftGraphActivityLogs com SignInLogs n o mesmo workspace do Log Analytics. Essa integração permite que você faça referência cruzada entre o token emitido para a chamada à API do Microsoft Graph e a atividade de entrada. O UniqueTokenIdentifier dos logs de entrada e os SignInActivityId nos logs de atividades do Microsoft Graph ão constam dos logs de entrada da entidade de serviço.
Acesso Condicional
Os logins que mostram Não aplicado para Acesso Condicional podem ser difíceis de interpretar. Se o login for interrompido, ele aparecerá nos logs, mas mostrará Não aplicado para o Acesso Condicional. Outro cenário comum é entrar no Windows Hello para Empresas. Esse login não tem Acesso Condicional aplicado porque o usuário está entrando no dispositivo, não em recursos de nuvem protegidos pelo Acesso Condicional.
Campo TimeGenerated
Se você estiver integrando seus logs de entrada aos logs do Azure Monitor e ao Log Analytics, poderá observar que o campo TimeGenerated nos logs não corresponde à hora em que a entrada ocorreu. Essa discrepância ocorre devido à maneira como os logs são ingeridos no Azure Monitor. O campo TimeGenerated refere-se ao horário em que a entrada foi recebida e registrada pelo Log Analytics, não ao horário em que o acesso ocorreu. O campo CreatedDateTime nos logs mostra a hora em que a entrada ocorreu.
Da mesma forma, eventos de entrada arriscados também exibem TimeGenerated como a hora em que o evento arriscado foi detectado, não quando a entrada ocorreu. Para localizar o tempo de entrada real, você pode usar o CorrelationId para localizar o evento de entrada nos logs e localizar a hora de entrada.