Perguntas frequentes sobre monitoramento e integridade do Microsoft Entra

Confira Licenciamento do Microsoft Entra ID para atualizar sua edição do Microsoft Entra.

Se você já tiver dados de logs de atividades como parte de uma licença gratuita, eles serão exibidos de imediato. Se você não tiver nenhum dado, então leva até três dias para que os dados apareçam nos relatórios.

Se você alternou recentemente para uma versão Premium (incluindo uma versão de avaliação), poderá ver dados de até sete dias inicialmente. Quando os dados forem acumulados, será possível visualizar os dados dos últimos 30 dias.

A função com privilégios mínimos mais adequada para exibir logs de auditoria e de logon é a função de leitor de relatórios. Outras funções incluem o Leitor de Segurança e o Administrador de Segurança.

Os logs de entrada e auditoria estão disponíveis para serem encaminhados por meio do Azure Monitor. Atualmente, os eventos de auditoria relacionados ao B2C não estão incluídos. Para saber mais, confira Integrações de logs de atividades do Microsoft Entra e Visão geral do log de atividades da API do Graph.

Os logs de atividades do Microsoft 365 e do Microsoft Entra compartilham muitos recursos de diretório. Se você quiser uma visão completa dos logs de atividades do Microsoft 365, vá para o Centro de administração do Microsoft 365 para obter informações do log de atividades do Office 365. As APIs do Microsoft 365 são descritas no artigo APIs de Gerenciamento do Microsoft 365.

Vários fatores determinam o número de logs que podem ser baixados do Centro de administração do Microsoft Entra, como o tamanho da memória do navegador, a velocidade da rede e as cargas das APIs de relatórios do Microsoft Entra. Em geral, conjuntos de dados menores que 250.000 para logs de auditoria e 100.000 para logs de entrada e provisionamento funcionam bem com o recurso de download do navegador. Dependendo do número de campos que você incluiu, esse número pode variar. Se você enfrentar problemas ao fazer grandes downloads no navegador, use a API de relatório para baixar os dados ou envie os logs para um ponto de extremidade por meio de configurações de diagnóstico.

Os filtros ativos no centro de administração do Microsoft Entra quando você inicia o download determinam o conjunto específico de logs que podem ser baixados. Por exemplo, filtrar para um usuário específico no centro de administração do Microsoft Entra significa que o download extrai logs desse usuário específico. As colunas nos logs baixados não são alteradas. A saída contém todos os detalhes do log de auditoria ou de entrada, independentemente das colunas personalizadas no centro de administração do Microsoft Entra.

Dependendo de sua licença, Microsoft Entra ID armazena logs de atividades entre 7 e 30 dias. Para obter mais informações, confira Políticas de retenção de relatório do Microsoft Entra.

O recurso de Retenção de armazenamento de configurações de diagnóstico está sendo preterido. Para obter detalhes sobre essa alteração, consulte Migrar da retenção de armazenamento de configurações de diagnóstico para o gerenciamento do ciclo de vida do Armazenamento do Microsoft Azure.

Neste momento, não há uma atividade específica nos logs de auditoria para compras ou habilitação de licenças. Entretanto, você poderá correlacionar a atividade "Integrar o recurso ao PIM" da categoria "Gerenciamento de Recursos" à compra ou habilitação de uma licença. Essa atividade nem sempre pode estar disponível ou fornecer os detalhes exatos.

Essas alterações estão relacionadas à forma como a MFA e alguns eventos do GDPR são processados. Eventos como a exclusão de usuários ou a exportação de dados de usuários são capturados nos logs de auditoria, mas a descrição das atividades pode ser um pouco difícil de entender. Estamos trabalhando para melhorar os rótulos das atividades. Para consultar uma lista completa das atividades relacionadas ao GDPR, acesse Atividades de auditoria. Essas atividades estão associadas à categoria DirectoryManagement.

O recurso signInActivity é usado para encontrar usuários inativos que não se conectaram há algum tempo. Ele não é atualizado quase em tempo real. Se você precisar encontrar a última atividade de entrada do usuário mais rapidamente, você pode usar os logs de entrada do Microsoft Entra para ver a atividade de entrada quase em tempo real de todos os seus usuários.

O CSV inclui logs de entrada para o tipo de entradas que você selecionou. Os dados representados como matriz aninhada na API do Microsoft Graph para logs de entrada não são incluídos. Por exemplo, as políticas de Acesso Condicional e informações somente de relatório não estão incluídas. Se você precisar exportar todas as informações contidas em seus logs de conexão, use o recurso Exportar configurações de dados.

Também é importante observar que as colunas incluídas nos logs baixados não são alteradas, mesmo se você personalizou as colunas no centro de administração do Microsoft Entra.

O Microsoft Entra ID pode redigir parte de um endereço IP nos logs de entrada para proteger a privacidade do usuário quando um usuário pode não pertencer ao locatário que exibe os logs. Essa ação ocorre em dois casos:

• Durante as entradas entre locatários, como quando um técnico do CSP entra em um locatário que o CSP gerencia.
• Quando nosso serviço não foi capaz de determinar a identidade do usuário com confiança suficiente para ter certeza de que o usuário pertence ao locatário que está exibindo os logs.

O Microsoft Entra ID edita informações de identificação pessoal (PII) geradas por dispositivos que não pertencem ao seu locatário para garantir que os dados do cliente. As informações de identificação pessoal (PII) não se espalham além dos limites do locatário sem o consentimento do usuário e do proprietário dos dados.

Há vários motivos pelos quais as entradas de conexão podem ser duplicadas em seus logs.

• Se um risco for identificado em uma entrada, outro evento quase idêntico será publicado imediatamente depois com o risco incluído.
• Se os eventos de MFA relacionados a uma entrada forem recebidos, todos os eventos relacionados serão agregados à entrada original.
• Se a publicação de parceiros para um evento de entrada falhar, como a publicação no Kusto, um lote inteiro de eventos será repetido e publicado novamente, o que pode resultar em duplicatas.
• Eventos de entrada que envolvem várias políticas de Acesso Condicional podem ser divididos em vários eventos, o que pode resultar em pelo menos dois eventos por evento de entrada.

As entradas não interativas podem disparar um grande volume de eventos a cada hora, de modo que são agrupados nos logs.

Em muitos casos, as entradas não interativas têm as mesmas características, exceto pela data e a hora da entrada. Se a agregação por tempo for definida como 24 horas, os logs aparecem mostrando as entradas ao mesmo tempo. Cada uma dessas linhas agrupadas pode ser expandida para exibir o carimbo de data/hora exato.

Há vários motivos pelos quais as entradas de conexão podem exibir IDs de usuário, IDs de objeto ou GUIDs no campo de nome de usuário.

• Na autenticação sem senha, as IDs de usuário aparecem como o nome de usuário. Para confirmar esse cenário, examine os detalhes do evento de entrada em questão. O campo authenticationDetail exibe sem senha.
• O usuário foi autenticado, mas ainda não entrou. Para confirmar, há um código de erro 50058 que se correlaciona com uma interrupção.
• Se o campo nome de usuário mostrar 000000-00000-0000-0000-0000 ou algo semelhante, poderá haver restrições de locatário em vigor, impedindo que o usuário entre no locatário selecionado.
• As tentativas de entrada de autenticação multifator são agregadas com várias entradas de dados, o que pode levar mais tempo para serem exibidas corretamente. Os dados podem levar até duas horas para serem totalmente agregados, mas raramente demoram esse tempo.

Não. De modo geral, os erros 90025 são resolvidos por uma nova tentativa automática sem que o usuário perceba o erro. Este erro pode ocorrer quando um sub-serviço interno do Microsoft Entra atinge sua permissão de reentrada e não indica que seu locatário está sendo limitado. Esses erros costumam ser resolvidos internamente pelo Microsoft Entra ID. Se o usuário não conseguir entrar devido a esse erro, tentar novamente manualmente deverá resolver o problema.

Se o ID da Entidade de Serviço tiver o valor “0000000-0000-0000-0000-000000000000", não há nenhuma Entidade de Serviço para o aplicativo do cliente nessa instância de autenticação. O Microsoft Entra não emite mais tokens de acesso sem uma Entidade de Serviço cliente, exceto alguns aplicativos da Microsoft e não Microsoft.

Se a ID da entidade de serviço de recurso tiver o valor "0000000-0000-0000-0000-000000000000", não há entidade de serviço para o aplicativo de recurso nessa instância de autenticação.

Este comportamento é atualmente permitido apenas para um número limitado de aplicativos de recursos.

Você pode consultar as instâncias de autenticação sem um cliente ou recurso de Entidade de Serviço no seu locatário.

• Para encontrar instâncias de logs de entrada para seu locatário onde falta uma Entidade de Serviço do cliente, use a seguinte consulta:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Para encontrar instâncias de logs de entrada para seu locatário onde falte uma Entidade de Serviço de recurso, use a seguinte consulta:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Você também pode encontrar esses logs de entrada no centro de administração do Microsoft Entra.

• Entre no Centro de administração do Microsoft Entra.
• Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
• Selecione Entradas da Entidade de Serviço.
• Selecione um período apropriado no campo Data (últimas 24 horas, 7 dias, etc.).
• Adicione um filtro e selecione a ID da Entidade de Serviço e forneça o valor '00000000-0000-0000-0000-000000000000' para obter instâncias de autenticação sem a Entidade de Serviço do cliente.

Se você quiser controlar como funciona a autenticação em seu locatário para aplicativos específicos de cliente ou recursos, siga as instruções no artigo Restringir aplicativo do Microsoft Entra a um conjunto de usuários.

Algumas entradas não interativas foram disponibilizadas antes de os logs de entradas não interativas ficarem disponíveis em versão prévia pública. Essas entradas não interativas eram incluídas nos logs de entradas interativas e permaneciam neles após a disponibilização dos logs não interativos. As entradas que usam as chaves FIDO2 são um exemplo de entradas não interativas que aparecem nos logs de entradas interativas. No momento, esses logs não interativos sempre são incluídos no log de entradas interativas.

Você pode usar a API de detecções de risco de Proteção de Identidade para acessar detecções de segurança por meio do Microsoft Graph. Esta API inclui filtragem avançada e seleção de campos e padroniza as detecções de risco em um único tipo a fim de facilitar a integração com SIEMs e outras ferramentas de coleta de dados.

Você pode solucionar problemas de políticas de Acesso Condicional por todos os logs de entrada. Revise o status do Acesso Condicional e examine os detalhes das políticas aplicadas à entrada e o resultado de cada política.

Introdução:

• Entre no Centro de administração do Microsoft Entra.
• Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
• Selecione o login que você deseja solucionar.
• Selecione a guia Acesso Condicional para exibir todas as políticas que afetaram a entrada e o resultado para cada política.

O status de acesso condicional pode ter os seguintes valores:

• Não aplicado: não havia política de acesso condicional com o usuário e o aplicativo no escopo.
• Sucesso: havia uma política de acesso condicional com o usuário e o aplicativo no escopo e as políticas de acesso condicional foram atendidas com êxito.
• Falha: a entrada satisfez a condição de usuário e aplicativo de pelo menos uma política de acesso condicional, e os controles de concessão não foram atendidos ou definidos para bloquear o acesso.

Uma política de acesso condicional pode ter os seguintes resultados:

• Sucesso: A política foi atendida com êxito.
• Falha: a política não foi atendida.
• Não aplicado: as condições da política podem não ter sido atendidas.
• Não habilitado: a política pode estar desabilitada.

O nome da política no log de entrada é baseado no nome da política de Acesso Condicional no momento da entrada. O nome pode ser inconsistente com o nome da política no Acesso Condicional se você atualizou o nome da política após a entrada.

Atualmente, é possível que o registro de entrada não mostre resultados precisos nos cenários do Exchange ActiveSync quando o Acesso Condicional é aplicado. Pode haver casos em que o resultado da entrada no relatório mostra uma entrada bem-sucedida, mas a entrada realmente falhou devido a uma política.

As políticas de Acesso Condicional não se aplicam à Entrada do Windows ou ao Windows Hello para Empresas. As políticas de Acesso Condicional protegem as tentativas de entrada nos recursos de nuvem, não o processo de entrada do Windows.

Consulte a Referência de API para saber como é possível usar as APIs para acessar logs de atividades. Esse ponto de extremidade tem dois relatórios (Auditoria e Entradas) que fornecem todos os dados que você obteve no ponto de extremidade de API antigo. Esse novo ponto de extremidade também tem um relatório de entradas com a licença do Microsoft Entra ID P1 ou P2 que você pode usar para obter informações de uso de aplicativo uso de dispositivo e conexão do usuário.

Você pode usar a API de detecções de risco de Proteção de Identidade para acessar detecções de segurança por meio do Microsoft Graph. Esse novo formato oferece maior flexibilidade em como você pode consultar dados. O formato fornece filtragem avançada, seleção de campo e padroniza detecções de risco em um tipo para integração mais fácil ao SIEMs e outras ferramentas de coleta de dados. Uma vez que os dados estão em um formato diferente, você não pode substituir uma nova consulta para suas consultas antigas. No entanto, a nova API usa o Microsoft Graph, que é o padrão da Microsoft para essas APIs, como Microsoft 365 ou Microsoft Entra ID. Para que o trabalho necessário possa estender seus investimentos atuais no Microsoft Graph ou ajudar você a começar a fazer a transição para essa nova plataforma padrão.

Talvez seja necessário entrar no Microsoft Graph separadamente no centro de administração do Microsoft Entra. Selecione o ícone de perfil no canto superior direito e entre no diretório direito. Você pode estar tentando executar uma consulta para a qual não tem permissões. Selecione Modificar Permissões e clique no botão Consentir. Siga os prompts de entrada.

Sempre que um token é usado para chamar um ponto de extremidade do Microsoft Graph, os MicrosoftGraphActivityLogs é atualizado com essa chamada. Algumas dessas chamadas são chamadas internas, somente de aplicativo, que não são publicadas nos logs de entrada da Entidade de Serviço. Quando os MicrosoftGraphActivityLogs mostram um uniqueTokenIdentifier que você não consegue localizar nos logs de entrada, o identificador de token está fazendo referência a um token interno, somente de aplicativo.

Se o serviço detectar a atividade relacionada a essa recomendação para algo marcado como "concluído", ele será alterado automaticamente de volta para "ativo".