Analisar e investigar logs de entrada para solucionar problemas de acesso

  • 10 minutos

A arquitetura de relatórios no Microsoft Entra ID consiste nos seguintes componentes:

  • Atividade

    • Entradas – informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.
    • Logs de auditoria – fornecem informações de atividade do sistema sobre gerenciamento de usuários e de grupos, aplicativos gerenciados e atividades de diretório.
    • Logs de provisionamento – permitem que os clientes monitorem a atividade pelo serviço de provisionamento, como a criação de um grupo no ServiceNow ou um usuário importado do Workday.

  • Segurança

    • Entradas suspeitas – uma entrada suspeita é um indicador para uma tentativa de entrada por alguém que não é o proprietário legítimo de uma conta de usuário.
    • Usuários sinalizados como suspeitos – um usuário suspeito é um indicador de uma conta de usuário que pode ter sido comprometida.

Quem pode acessar os dados?

  • Usuários com estas funções: Administrador de segurança, Leitor de segurança, Leitor global e Leitor de relatório
  • Administradores globais
  • Qualquer usuário (não administradores) pode acessar suas próprias entradas

Qual licença do Microsoft Entra é necessária para acessar a atividade de entradas?

O relatório de atividade de entrada está disponível em todas as edições do Microsoft Entra ID e também pode ser acessado por meio da API do Microsoft Graph.

Relatório de entradas

O relatório de entradas de usuário fornece respostas para as seguintes perguntas:

  • O que é o padrão de entrada de um usuário?
  • Quantos usuários entraram em uma semana?
  • Qual é o status dessas entradas?

No menu do portal do Azure, selecione Microsoft Entra ID ou pesquise e selecione Microsoft Entra ID em qualquer página.

Screenshot of the Select Microsoft Entra ID screen, so you can modify the settings.

Em Monitoramento, selecione Entradas para abrir o relatório de Entradas.

Screenshot of the Sign-ins selected from the Monitoring menu. Track what report you want to review.

Leva até duas horas para que os registros de entradas sejam mostrados no portal.

Importante

O relatório de entradas exibe apenas os logins interativos — aqueles nos quais um usuário faz login manualmente usando seu nome de usuário e senha. Os logins não interativos, como a autenticação de serviço a serviço, não são exibidos no relatório de logins.

Um log de entradas tem um modo de exibição de lista padrão que mostra:

  • Data de entrada

  • Usuário relacionado

  • Aplicativo no qual o usuário entrou

  • Status de entrada

  • Status da detecção de riscos

  • Status do requisito de autenticação multifator (MFA)

    Screenshot shows the Office 365 SharePoint Online Sign-ins. Check for activity that might be concerning.

Você pode personalizar o modo de exibição de lista selecionando Colunas na barra de ferramentas.

Screenshot of the Columns option in the Sign-ins page. Add and remove the content items you need.

A caixa de diálogo Colunas fornece acesso aos atributos selecionáveis. Um relatório de entrada não pode conter campos que tenham mais de um valor para uma determinada solicitação de entrada como coluna. Por exemplo, a regra é verdadeira para detalhes de autenticação, dados de Acesso Condicional e local de rede.

Screenshot of the Columns dialog box where you can select attributes. The attributes give you troubleshooting information.

Selecione um item na exibição de lista para obter informações mais detalhadas.

Screenshot shows a detailed information view. Get the details from the report on sign-ins.

Agora os clientes podem solucionar problemas de políticas de Acesso condicional por meio de todos os relatórios de entrada. Quando um administrador seleciona a guia Acesso condicional para um registro de entrada, os clientes podem rever o status de Acesso condicional e analisar os detalhes das políticas aplicadas à entrada e o resultado de cada política. Para obter mais informações, confira as Perguntas frequentes sobre informações de autoridade de certificação em todas as entradas.

Filtrar atividades de entrada

Em primeiro lugar, restrinja os dados relatados a um nível que funcione para você. Em segundo lugar, filtre os dados de entrada usando o campo de data como o filtro padrão. O Microsoft Entra ID fornece uma ampla gama de outros filtros que você pode definir:

Screenshot of the Add filters option. Use the filters to sort through large amounts of data.

ID da solicitação – a ID da solicitação desejada.

Usuário – o nome ou o UPN do usuário desejado.

Aplicativo – o nome do aplicativo de destino.

Status – o status de entrada desejado:

  • Sucesso
  • Falha
  • Interrompido

Endereço IP – o endereço IP do dispositivo usado para se conectar ao seu locatário.

Local – o local a partir do qual a conexão foi iniciada:

  • City
  • Estado/Província
  • País/Região

Recurso – o nome do serviço usado para a entrada.

ID do recurso – a ID do serviço usado para a entrada.

Aplicativo cliente – o tipo do aplicativo cliente usado para se conectar ao seu locatário:

Screenshot of the Client app filter. See specific details about your client information.

Nome Autenticação moderna Descrição
SMTP autenticado Usado por clientes POP e IMAP para enviar mensagens de email.
Descoberta automática Usada pelos clientes do Outlook e do EAS para localizar e se conectar às caixas de correio no Exchange Online.
Exchange ActiveSync Mostra todas as tentativas de entrada nas quais o protocolo EAS foi testado.
Navegador Yes Mostra todas as tentativas de entrada de usuários usando navegadores da Web.
Exchange ActiveSync Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online.
PowerShell do Exchange Online Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o Exchange Online PowerShell, será necessário usar o módulo do PowerShell do Exchange Online para se conectar.
Serviços Web do Exchange Uma interface de programação usada pelo Outlook, pelo Outlook para Mac e por aplicativos de terceiros.
IMAP4 Um cliente de email herdado usando o IMAP para recuperar o email.
MAPI via HTTP Usado pelo Outlook 2010 e versões posteriores.
Aplicativos móveis e clientes de desktop Yes Mostra todas as tentativas de entrada de usuários usando aplicativos móveis e clientes desktop.
Catálogo de endereços offline Uma cópia das coleções de listas de endereços que são baixadas e usadas pelo Outlook.
Outlook em Qualquer Lugar (RPC via HTTP) Usado pelo Outlook 2016 e versões anteriores.
Serviço do Outlook Usado pelo aplicativo Email e Calendário para Windows 10.
POP3 Um cliente de email herdado usando o POP3 para recuperar o email.
Serviços Web de relatório Usados para recuperar dados de relatório no Exchange Online.
Outros clientes Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou é desconhecido.

Sistema operacional – o sistema operacional em execução no dispositivo usado para fazer logon no seu locatário.

Navegador do dispositivo – se a conexão tiver sido iniciada em um navegador, esse campo permitirá que você filtre por nome do navegador.

ID de correlação – a ID de correlação da atividade.

Acesso condicional – o status das regras de Acesso Condicional aplicadas.

  • Não aplicado: nenhuma política aplicada ao usuário e ao aplicativo durante a entrada.
  • Sucesso: uma ou mais políticas de Acesso Condicional aplicadas ao usuário e ao aplicativo (mas não necessariamente às outras condições) durante a entrada.
  • Falha: a entrada satisfez a condição de usuário e aplicativo de pelo menos uma política de acesso condicional, e os controles de concessão não foram atendidos ou definidos para bloquear o acesso.

Baixar atividades de entrada

Selecione a opção Baixar para criar um arquivo CSV ou JSON dos 250.000 registros mais recentes. Comece com Baixar entradas caso deseje trabalhar com os dados fora do portal do Azure.

Screenshot of the Download button. Use this dialog to get a CSV or JSON file of your sign-in data.

Importante

O número de registros que você pode baixar é limitado pelas políticas de retenção de relatórios do Microsoft Entra ID.

Atalhos dos dados de entradas

O Microsoft Entra ID e o portal do Azure fornecem pontos de entrada adicionais para os dados de entrada:

  • Proteção de Identidade, encontrada no Microsoft Entra ID – Segurança – Proteção de Identidade
  • Usuários
  • Grupos
  • Aplicativos empresariais

Dados de credenciais de usuários na Proteção de Identidade

O grafo de credenciais de usuário na página de visão geral da Proteção de Identidade mostra agregações semanais de credenciais. O padrão para o período é de 30 dias.

Screenshot of a graph of Sign-ins over a month. Visual representation can help you see potential issues.

Ao selecionar um dia no grafo de entradas, você obtém uma visão geral das atividades de entrada do dia.

Cada linha na lista de atividades de entrada mostra:

  • Quem entrou?
  • Qual aplicativo era o destino da entrada?
  • Qual é o status da entrada?
  • Qual é o status de MFA da entrada?

Quando o administrador seleciona um item, você obtém mais detalhes sobre a operação de entrada:

  • ID do Usuário

  • Usuário

  • Nome de Usuário

  • ID do aplicativo

  • Aplicativo

  • Cliente

  • Local

  • Endereço IP

  • Data

  • MFA obrigatório

  • Status de entrada

    Observação

    Os endereços IP são emitidos de uma forma que não há nenhuma conexão definitiva entre um endereço IP e em que o computador com esse endereço está localizado fisicamente. O mapeamento de endereços IP é dificultado pelo fato de que os provedores móveis e VPNs emitem endereços IP de pools centrais que geralmente estão muito longe de onde o dispositivo cliente realmente é usado. Atualmente nos relatórios do Microsoft Entra, converter um endereço IP em um local físico é um esforço melhor com base em rastreamentos, dados do Registro, pesquisas inversas e outras informações.

Na página Usuários, você obtém uma visão geral completa de todas as entradas do usuário selecionando Entradas na seção Atividade.

Screenshot of the Activity section where you can select Sign-ins. Pick the activity you need to review.

Uso de aplicativos gerenciados

Com uma exibição centrada no aplicativo de seus dados de entrada, você pode responder a perguntas como:

  • Quem está usando meus aplicativos?
  • Quais são os três principais aplicativos na minha organização?
  • Como meu aplicativo mais recente está se saindo?

O ponto de entrada desses dados são os três principais aplicativos em sua organização. Os dados estão contidos no relatório dos últimos 30 dias na seção Visão geral em Aplicativos empresariais.

Screenshot of the dialog where you can select Overview. You can then pick usage data and other graphs.

Os grafos de uso de aplicativo geram agregações semanais de entradas dos três principais aplicativos em um determinado período de tempo. O padrão para o período é de 30 dias.

Screenshot of the App usage for a one month period. Select a time period to review the data.

Se desejar, você pode definir o foco em um aplicativo específico.

Screenshot of the Reporting screen. Use this to select the details you want to report on and review.

Quando você seleciona um dia no grafo de uso do aplicativo, pode obter uma lista detalhada das atividades de entrada.

A opção Entradas oferece uma visão geral completa de todos os eventos de entrada para seus aplicativos.

Logs de atividades do Microsoft 365

Você pode exibir os logs de atividades do Microsoft 365 no Centro de administração do Microsoft 365. A atividade do Microsoft 365 e os logs de atividades do Microsoft Entra compartilham um número significativo de recursos de diretório. Apenas o Centro de administração do Microsoft 365 fornece uma exibição completa dos logs de atividade do Microsoft 365.

Você também pode acessar os logs de atividade do Microsoft 365 de modo programático usando as APIs de Gerenciamento do Office 365.