Registos de arquivo e reportagens sobre Azure AD gestão de direitos no Azure Monitor

Azure AD armazena eventos de auditoria por até 30 dias no registo de auditoria. No entanto, pode manter os dados de auditoria por mais tempo do que o período de retenção predefinido, delineado em Quanto tempo Azure AD armazenar dados de reporte?, encaminhando-os para uma conta Azure Armazenamento ou utilizando o Azure Monitor. Em seguida, pode utilizar livros de trabalho e consultas personalizadas e relatórios sobre estes dados.

Configure Azure AD para usar o Monitor Azure

Antes de utilizar os livros do Azure Monitor, tem de configurar Azure AD para enviar uma cópia dos seus registos de auditoria ao Azure Monitor.

Arquivar registos de auditoria Azure AD requer que você tenha Azure Monitor numa subscrição do Azure. Pode ler mais sobre os pré-requisitos e os custos estimados da utilização do Azure Monitor em registos de atividade Azure AD em Azure Monitor.

Papel pré-requisito: Administrador Global

  1. Inscreva-se no portal do Azure como um utilizador que é um Administração Global. Certifique-se de que tem acesso ao grupo de recursos que contém o espaço de trabalho do Azure Monitor.

  2. Selecione Azure Ative Directory, em seguida, clique em Definições de Diagnóstico em Monitorização no menu de navegação à esquerda. Verifique se já há uma definição para enviar os registos de auditoria para o espaço de trabalho.

  3. Se já não houver uma definição, clique na definição de diagnóstico de adicionar. Utilize as instruções em Integração Azure AD registos com registos do Monitor Azure para enviar o registo de auditoria Azure AD para o espaço de trabalho do Monitor Azure.

    Diagnostics settings pane

  4. Depois de o registo ser enviado para o Azure Monitor, selecione os espaços de trabalho do Log Analytics e selecione o espaço de trabalho que contém os registos de auditoria Azure AD.

  5. Selecione Utilização e custos estimados e clique em Retenção de Dados. Altere o slider para o número de dias que pretende manter os dados para satisfazer os seus requisitos de auditoria.

    Log Analytics workspaces pane

  6. Mais tarde, para ver a gama de datas realizadas no seu espaço de trabalho, pode utilizar o manual de datas de registo arquivado :

    1. Selecione Azure Ative Directory, em seguida, clique em Livros de Trabalho.

    2. Expandir a secção Azure Ative Directory Resolução de Problemas e clique no Intervalo de Data de Registo Arquivado.

Ver eventos para um pacote de acesso

Para visualizar eventos para um pacote de acesso, você deve ter acesso ao espaço de trabalho do monitor Azure subjacente (ver Gerir o acesso a dados de registo e espaços de trabalho em Azure Monitor para obter informações) e numa das seguintes funções:

  • Administrador global
  • Administrador de segurança
  • Leitor de segurança
  • Leitor de relatórios
  • Administrador de aplicação

Utilize o seguinte procedimento para visualizar eventos:

  1. No portal do Azure, selecione Azure Ative Directory e, em seguida, clique em Livros de Trabalho. Se tiver apenas uma subscrição, passe para o passo 3.

  2. Se tiver várias subscrições, selecione a subscrição que contém o espaço de trabalho.

  3. Selecione o livro denominado Access Package Activity.

  4. Nesse livro, selecione um intervalo de tempo (alterar para Todos se não tiver certeza), e selecione um ID do pacote de acesso da lista de todos os pacotes de acesso que tiveram atividade durante esse intervalo de tempo. Serão apresentados os eventos relacionados com o pacote de acesso que ocorreu durante o intervalo de tempo selecionado.

    View access package events

    Cada linha inclui o tempo, o iD do pacote de acesso, o nome da operação, o ID do objeto, UPN, e o nome de exibição do utilizador que iniciou a operação. Detalhes adicionais estão incluídos no JSON.

  5. Se quiser ver se houve alterações nas atribuições de funções de candidatura para uma aplicação que não se deveu a atribuição de pacotes de acesso, como por exemplo por um administrador global que atribui diretamente um utilizador a uma função de candidatura, então pode selecionar o livro denominado atividade de atribuição de funções de aplicação.

    View app role assignments

Crie consultas personalizadas do Azure Monitor utilizando o portal do Azure

Você pode criar suas próprias consultas sobre Azure AD eventos de auditoria, incluindo eventos de gestão de direitos.

  1. Em Azure Ative Directory do portal do Azure, clique em Registars sob a secção de Monitorização no menu de navegação à esquerda para criar uma nova página de consulta.

  2. O seu espaço de trabalho deve ser mostrado na parte superior esquerda da página de consulta. Se tiver vários espaços de trabalho do Azure Monitor e o espaço de trabalho que está a utilizar para armazenar Azure AD eventos de auditoria não forem mostrados, clique em Select Scope. Em seguida, selecione a subscrição correta e o espaço de trabalho.

  3. Em seguida, na área de texto de consulta, elimine a cadeia "procurar *" e substitua-a pela seguinte consulta:

    AuditLogs | where Category == "EntitlementManagement"
    
  4. Em seguida, clique em Executar.

    Click Run to start query

A tabela mostrará os eventos de registo de auditoria para gestão de direitos a partir da última hora por defeito. Pode alterar a definição "Intervalo de tempo" para visualizar eventos mais antigos. No entanto, a alteração desta definição só mostrará eventos que ocorreram após Azure AD foi configurado para enviar eventos para o Azure Monitor.

Se quiser conhecer os mais antigos e mais recentes eventos de auditoria realizados no Azure Monitor, utilize a seguinte consulta:

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Para obter mais informações sobre as colunas armazenadas para eventos de auditoria no Azure Monitor, consulte Interpret the Azure AD audit logs schema in Azure Monitor.

Crie consultas personalizadas do Azure Monitor utilizando Azure PowerShell

Pode aceder aos registos através do PowerShell depois de configurar Azure AD para enviar registos para o Azure Monitor. Em seguida, envie consultas de scripts ou da linha de comando PowerShell, sem precisar de ser um Administração Global no inquilino.

Certifique-se de que o utilizador ou o principal de serviço tem a correta atribuição de funções

Certifique-se de que você, o utilizador ou o principal de serviço que autenticará para Azure AD, estão na função Azure apropriada no espaço de trabalho Log Analytics. As opções de função são o Log Analytics Reader ou o Log Analytics Contributor. Se já está numa dessas funções, então salte para o Retrieve Log Analytics ID com uma subscrição do Azure.

Para definir a atribuição de funções e criar uma consulta, faça os seguintes passos:

  1. No portal do Azure, localize o espaço de trabalho do Log Analytics.

  2. Selecione Controlo de Acesso (IAM).

  3. Em seguida, clique em Adicionar para adicionar uma atribuição de função.

    Add a role assignment

Instalar Azure PowerShell módulo

Uma vez que tenha a atribuição de função adequada, lance o PowerShell e instale o módulo Azure PowerShell (se ainda não tiver), digitando:

install-module -Name az -allowClobber -Scope CurrentUser

Agora está pronto para autenticar para Azure AD e recuperar a identificação do espaço de trabalho Log Analytics que está a consultar.

Recuperar O ID do Registo de Analíticos com uma subscrição do Azure

Se tiver apenas uma subscrição Azure e um único espaço de trabalho log Analytics, escreva o seguinte para autenticar para Azure AD, ligue-se a essa subscrição e recupere esse espaço de trabalho:

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Recuperar Registo Analytics ID com várias subscrições Azure

O Get-AzOperationalInsightsWorkspace opera numa subscrição de cada vez. Por isso, se tiver várias subscrições do Azure, deverá certificar-se de que se conecta ao que tem o espaço de trabalho do Log Analytics com os registos Azure AD.

Os cmdlets seguintes exibem uma lista de subscrições e encontram o ID da subscrição que tem o espaço de trabalho Log Analytics:

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

Pode reautorá-la e associar a sua sessão PowerShell a essa subscrição utilizando um comando como Connect-AzAccount –Subscription $subs[0].id. Para saber mais sobre como autenticar a Azure da PowerShell, incluindo não-interactivamente, consulte Iniciar súm em Azure PowerShell.

Se tiver vários espaços de trabalho do Log Analytics nessa subscrição, então o cmdlet Get-AzOperationalInsightsWorkspace devolve a lista de espaços de trabalho. Então pode encontrar o que tem os registos Azure AD. O CustomerId campo devolvido por este cmdlet é o mesmo que o valor do "Workspace ID" exibido no portal do Azure na visão geral do espaço de trabalho Log Analytics.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

Envie a consulta para o espaço de trabalho Log Analytics

Finalmente, uma vez identificado um espaço de trabalho, pode utilizar Invoke-AzOperationalInsightsQuery para enviar uma consulta Kusto para esse espaço de trabalho. Estas consultas são escritas em linguagem de consulta Kusto.

Por exemplo, pode recuperar o intervalo de datas dos registos de eventos de auditoria a partir do espaço de trabalho Log Analytics, com cmdlets PowerShell para enviar uma consulta como:

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

Também pode recuperar eventos de gestão de direitos usando uma consulta como:

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft 

Passos seguintes