Registos de inícios de sessão no Azure Active Directory

Como administrador de TI, quer saber como está o ambiente de TI. A informação sobre a saúde do seu sistema permite-lhe avaliar se e como precisa responder a potenciais problemas.

Para apoiá-lo com este objetivo, o portal Azure Ative Directory dá-lhe acesso a três registos de atividades:

  • Insuposições – Informações sobre insinusagens e como os seus recursos são utilizados pelos seus utilizadores.
  • Auditoria – Informação sobre alterações aplicadas ao seu inquilino, como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do seu inquilino.
  • Provisionamento – Atividades realizadas pelo serviço de prestação de serviços, como a criação de um grupo no ServiceNow ou um utilizador importado do Workday.

Este artigo dá-lhe uma visão geral do relatório de inscrições.

O que se pode fazer com isto?

Pode utilizar o registo de inícios de sessão para encontrar respostas a perguntas como:

  • O que é o padrão de início de sessão de um utilizador?

  • Quantos utilizadores iniciaram sessão ao longo de uma semana?

  • Qual é o estado destes inícios de sessão?

Quem pode acessá-lo?

Pode sempre aceder ao seu histórico de inícios de sedu máximos utilizando este link: https://mysignins.microsoft.com

Para aceder ao registo de login, tem de ser:

  • Um administrador global

  • Um utilizador numa das seguintes funções:

    • Administrador de segurança

    • Leitor de segurança

    • Leitor global

    • Leitor de relatórios

Que licença de AD Azure precisa?

O relatório de atividades de inscrição está disponível em todas as edições do Azure AD. Se tiver uma licença Azure Ative Directory P1 ou P2, também pode aceder ao relatório de atividades de inscrição através da API do Gráfico microsoft.

Onde pode encontrá-lo no portal Azure?

O portal Azure fornece-lhe várias opções para aceder ao registo. Por exemplo, no menu Azure Ative Directory, pode abrir o registo na secção De Monitorização .

Open sign-in logs

Além disso, pode chegar diretamente aos registos de entrada utilizando este link: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Qual é a vista padrão?

Um registo de inícios de sessão tem uma vista de listas predefinidas que mostra:

  • A data de início de sessão
  • O utilizador relacionado
  • A aplicação que o utilizador assinou
  • O estado de início de sessão
  • O estado da deteção de risco
  • O estado do requisito de autenticação multifator (MFA)

Screenshot shows the Office 365 SharePoint Online Sign-ins.

Pode personalizar a vista de lista ao clicar em Colunas na barra de ferramentas.

Screenshot shows the Columns option in the Sign-ins page.

O diálogo Colunas dá-lhe acesso aos atributos selecionáveis. Num relatório de inscrição, não se pode ter campos que tenham mais do que um valor para um dado pedido de inscrição como coluna. Isto é, por exemplo, verdade para detalhes de autenticação, dados de acesso condicional e localização da rede.

Screenshot shows the Columns dialog box where you can select attributes.

Código de erro de inscrição

Se uma sessão de sessão tiver falhado, poderá obter mais informações sobre o motivo na secção de informações Básicas do item de registo relacionado.

sign-in error code

Embora o item de registo lhe forneça uma razão de falha, existem casos em que poderá obter mais informações utilizando a ferramenta de procuração de erros de início de sessão. Por exemplo, se disponível, esta ferramenta fornece-lhe medidas de reparação.

Error code lookup tool

Filtrar atividades de início de sessão

Pode filtrar os dados num registo para reduzi-lo a um nível que funcione para si:

Screenshot shows the Add filters option.

ID do pedido - A identificação do pedido que lhe interessa.

Utilizador - O nome ou o nome principal do utilizador (UPN) do utilizador de que gosta.

Aplicação - O nome do pedido-alvo.

Estado - O estado de inscrição que lhe interessa:

  • Com êxito

  • Falha

  • Interrompido

Endereço IP - O endereço IP do dispositivo utilizado para ligar ao seu inquilino.

A Localização - A localização da ligação foi iniciada a partir de:

  • City

  • Estado / Província

  • País/Região

Recurso - O nome do serviço utilizado para a inscrição.

ID de recurso - A identificação do serviço utilizado para a inscrição.

App cliente - O tipo de aplicação do cliente usada para ligar ao seu inquilino:

Client app filter

Nota

Devido a compromissos de privacidade, a Azure AD não preenche este campo ao arrendatário no caso de um cenário de inquilino transversal.

Name Autenticação moderna Description
SMTP autenticado Usado por clientes POP e IMAP para enviar mensagens de correio e-mail.
Autodiscover Utilizado pelos clientes Outlook e EAS para encontrar e ligar às caixas de correio em Exchange Online.
Exchange ActiveSync Este filtro mostra todas as tentativas de inscrição em que o protocolo EAS foi tentado.
Browser Blue checkmark. Mostra todas as tentativas de inscrição de utilizadores que usam navegadores web
Exchange ActiveSync Mostra todas as tentativas de login de utilizadores com aplicações de clientes usando o Exchange ActiveSync para se conectar ao Exchange Online
Intercâmbio PowerShell Usado para ligar a Exchange Online com powerShell remoto. Se bloquear a autenticação básica para Exchange Online PowerShell, tem de utilizar o módulo Exchange Online PowerShell para se ligar. Para obter instruções, consulte Connect to Exchange Online PowerShell utilizando a autenticação de vários fatores.
Serviços Web Exchange Uma interface de programação que é usada pelo Outlook, Outlook for Mac e aplicações de terceiros.
IMAP4 Um cliente de correio antigo que usa o IMAP para recuperar o e-mail.
MAPI sobre HTTP Usado pelo Outlook 2010 e mais tarde.
Aplicativos móveis e clientes de desktop Blue checkmark. Mostra todas as tentativas de login dos utilizadores que usam aplicações móveis e clientes de desktop.
Livro de endereços offline Uma cópia das coleções de listas de endereços que são descarregadas e usadas pelo Outlook.
Outlook Anywhere (RPC over HTTP) Usado pelo Outlook 2016 e mais cedo.
Serviço Outlook Utilizado pelo aplicativo Mail and Calendar para o Windows 10.
POP3 Um cliente de correio antigo usando POP3 para recuperar e-mail.
Serviços Web de Reporte Usado para recuperar dados de relatório em Exchange Online.
Outros clientes Mostra todas as tentativas de login de utilizadores onde a aplicação do cliente não está incluída ou desconhecida.

Sistema operativo - O sistema operativo em funcionamento do dispositivo utilizou a inscrição no seu inquilino.

Browser do dispositivo - Se a ligação foi iniciada a partir de um browser, este campo permite-lhe filtrar pelo nome do navegador.

ID de correlação - A identificação de correlação da atividade.

Acesso condicional - O estado das regras de acesso condicional aplicadas

  • Não aplicada: Nenhuma política aplicada ao utilizador e à aplicação durante a entrada.

  • Sucesso: Uma ou mais políticas de acesso condicional aplicadas ao utilizador e à aplicação (mas não necessariamente às outras condições) durante a entrada.

  • Falha: A inscrição satisfez o utilizador e a condição de aplicação de pelo menos uma política de acesso condicional e os controlos de concessão não estão satisfeitos ou definidos para bloquear o acesso.

Atalhos de dados de inscrição

O Azure AD e o portal Azure fornecem-lhe pontos de entrada adicionais para os dados de inscrição:

  • A visão geral da proteção de identidade
  • Utilizadores
  • Grupos
  • Aplicações Empresariais

Utilizadores assinam dados de ins na proteção de segurança de identidade

O gráfico de inscrição do utilizador na página geral de proteção de identidade mostra agregações semanais de insusimentos. O padrão para o período de tempo é de 30 dias.

Screenshot shows a graph of Sign-ins over a month.

Quando clica num dia no gráfico de início de sessão, obtém uma descrição geral das atividades de início de sessão para este dia.

Cada linha na lista de atividades de início de sessão mostra:

  • Quem iniciou sessão?
  • Que aplicação foi o destino do início de sessão?
  • Qual o estado do início de sessão?
  • Qual o estado MFA do início de sessão?

Ao clicar num item, obtém mais detalhes sobre a operação de início de sessão:

  • ID de Utilizador
  • Utilizador
  • Nome de utilizador
  • ID da aplicação
  • Aplicação
  • Cliente
  • Localização
  • Endereço IP
  • Data
  • MFA Necessário
  • Estado de início de sessão

Nota

Os endereços IP são emitidos de forma a que não exista uma ligação definitiva entre um endereço IP e onde o computador com esse endereço esteja fisicamente localizado. O mapeamento de endereços IP é complicado pelo facto de os fornecedores móveis e VPNs emitirem endereços IP a partir de piscinas centrais que muitas vezes estão muito longe de onde o dispositivo cliente é realmente usado. Atualmente, converter o endereço IP para uma localização física é um melhor esforço baseado em vestígios, dados de registo, pesquisas inversas e outras informações.

Na página Utilizadores, pode obter uma descrição geral completa de todos os inícios de sessão dos utilizadores ao clicar em Inícios de sessão na secção Atividade.

Screenshot shows the Activity section where you can select Sign-ins.

Detalhes de autenticação

O separador Detalhes de Autenticação localizado no relatório de inscrição fornece as seguintes informações, para cada tentativa de autenticação:

  • Uma lista de políticas de autenticação aplicadas (tais como Acesso Condicional, MFA por utilizador, Incumprimentos de Segurança)
  • Uma lista de políticas de vida útil da sessão aplicadas (tais como frequência de inscrição, lembre-se de MFA, Vida útil configurada token)
  • A sequência de métodos de autenticação usados para iniciar súm.
  • Se a tentativa de autenticação foi ou não bem sucedida
  • Detalhes sobre por que a tentativa de autenticação conseguiu ou falhou

Esta informação permite que os administradores resolvam cada passo na sessão de sessão de um utilizador e rastreiem:

  • Volume de entradas protegidas por autenticação de vários fatores
  • Motivo para a instrução de autenticação com base nas políticas de vida útil da sessão
  • Taxas de utilização e sucesso para cada método de autenticação
  • Utilização de métodos de autenticação sem palavras-passe (como o sign-in do telefone sem palavras-passe, o FIDO2 e o Windows Hello for Business)
  • A frequência com que os requisitos de autenticação são preenchidos por alegações simbólicas (quando os utilizadores não são interativamente solicitados a introduzir uma palavra-passe, introduza uma SMS OTP, e assim por diante)

Ao visualizar o relatório 'Iniciar s-ins', selecione o separador Detalhes de Autenticação :

Screenshot of the Authentication Details tab

Nota

O código de verificação do OATH é registado como o método de autenticação tanto para hardware e fichas de software OATH (como a aplicação Microsoft Authenticator).

Importante

O separador Detalhes da Autenticação pode inicialmente apresentar dados incompletos ou inexatos, até que as informações de registo são totalmente agregadas. Exemplos conhecidos incluem:

  • Uma satisfação por alegação na mensagem simbólica é exibida incorretamente quando os eventos de login são inicialmente registados.
  • A linha de autenticação primária não está inicialmente registada.

Utilização de aplicações geridas

Com uma vista centrada em aplicações dos seus dados de início de sessão, poderá responder a perguntas como:

  • Quem está a utilizar as minhas aplicações?
  • Quais são as três principais aplicações na sua organização?
  • Como está a minha nova aplicação?

O ponto de entrada nestes dados é o top 3 de aplicações na sua organização. Os dados estão contidos no relatório dos últimos 30 dias na secção Visão Geral ao abrigo das aplicações da Enterprise.

Screenshot shows where you can select Overview.

Os gráficos de utilização da aplicação têm agregações semanais de inscrições para as suas três principais aplicações num determinado período de tempo. A predefinição do período de tempo é 30 dias.

Screenshot shows the App usage for a one month period.

Se quiser, pode colocar o foco numa aplicação específica.

Reporting

Quando clica num dia no gráfico de utilização da aplicação, obtém uma lista detalhada das atividades de início de sessão.

A opção Inícios de sessão dá uma visão geral completa de todos os eventos de início de sessão nas suas aplicações.

Registos de atividades da Microsoft 365

Pode ver os registos de atividade do Microsoft 365 a partir do centro de administração Microsoft 365. Considere o ponto que, os registos de atividade da Microsoft 365 e da AD AZure partilham um número significativo de recursos do diretório. Apenas o centro de administração Microsoft 365 fornece uma visão completa dos registos de atividades da Microsoft 365.

Também pode aceder aos registos de atividades do Microsoft 365 programáticamente utilizando as APIs de Gestão do Office 365.

Passos seguintes