Os logs de entrada são uma ferramenta comumente usada para solucionar problemas de acesso do usuário e investigar atividades de entrada arriscadas. Os logs de auditoria coletam todos os eventos registrados na ID do Microsoft Entra e podem ser usados para investigar alterações em seu ambiente. Há mais de 30 colunas que você pode escolher para personalizar sua exibição dos logs de entrada no centro de administração do Microsoft Entra. Os logs de auditoria e os logs de provisionamento também podem ser personalizados e filtrados de acordo com suas necessidades.
Este artigo mostra como personalizar as colunas e, em seguida, filtrar os logs para encontrar as informações de que você precisa com mais eficiência.
As funções e licenças necessárias variam de acordo com o relatório. São necessárias permissões separadas para aceder a dados de monitorização e estado de funcionamento no Microsoft Graph. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.
*A visualização dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados requer uma das funções de Log de Atributos. Você também precisa da função apropriada para exibir os logs de auditoria padrão.
**O nível de acesso e os recursos do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de identidade.
Com as informações nos logs de auditoria do Microsoft Entra, você pode acessar todos os registros de atividades do sistema para fins de conformidade. Os logs de auditoria podem ser acessados na seção Monitoramento e integridade do Microsoft Entra ID, onde você pode classificar e filtrar cada categoria e atividade. Também pode aceder aos registos de auditoria na área do centro de administração do serviço que está a investigar.
Por exemplo, se estiver a analisar alterações nos grupos do Microsoft Entra, pode aceder aos registos de Auditoria a partir dos Grupos de ID>do Microsoft Entra. Quando você acessa os logs de auditoria do serviço, o filtro é ajustado automaticamente de acordo com o serviço.
Personalizar o layout dos logs de auditoria
Você pode personalizar as colunas nos logs de auditoria para exibir apenas as informações necessárias. As colunas Serviço, Categoria e Atividade estão relacionadas entre si, portanto, essas colunas devem estar sempre visíveis.
Filtrar os logs de auditoria
Quando você filtra os logs por Serviço, os detalhes de Categoria e Atividade mudam automaticamente. Em alguns casos, pode haver apenas uma Categoria ou Atividade. Para obter uma tabela detalhada de todas as combinações potenciais desses detalhes, consulte Atividades de auditoria.
Serviço: o padrão é todos os serviços disponíveis, mas você pode filtrar a lista para um ou mais selecionando uma opção na lista suspensa.
Categoria: o padrão é para todas as categorias, mas pode ser filtrado para exibir a categoria de atividade, como alterar uma política ou ativar uma função qualificada do Microsoft Entra.
Atividade: com base na seleção de categoria e tipo de recurso de atividade que você faz. Pode selecionar uma atividade específica que queira ver ou selecionar todas.
Você pode obter a lista de todas as atividades de auditoria usando a API do Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: Permite que você analise o resultado com base em se a atividade foi um sucesso ou fracasso.
Destino: Permite pesquisar o alvo ou destinatário de uma atividade. Pesquise pelas primeiras letras de um nome ou nome principal do usuário (UPN). O nome do destino e o UPN diferenciam maiúsculas de minúsculas.
Iniciado por: Permite pesquisar por quem iniciou a atividade usando as primeiras letras do seu nome ou UPN. O nome e o UPN diferenciam maiúsculas de minúsculas.
Intervalo de datas: Permite definir um período de tempo para os dados retornados. Você pode pesquisar os últimos 7 dias, 24 horas ou um intervalo personalizado. Quando selecionar um período de tempo personalizado, pode configurar uma hora de início e uma hora de fim.
Na página de logs de entrada, você pode alternar entre quatro tipos de log de entrada. Para obter mais informações sobre os quatro tipos de logs, consulte O que são logs de entrada do Microsoft Entra?.
Entradas interativas do usuário: entradas em que um usuário fornece um fator de autenticação, como uma senha, uma resposta por meio de um aplicativo MFA, um fator biométrico ou um código QR.
Entradas de usuário não interativas: entradas realizadas por um cliente em nome de um usuário. Estes inícios de sessão não exigem qualquer interação ou fator de autenticação por parte do utilizador. Por exemplo, a autenticação e a autorização com tokens de acesso e de atualização que não exigem que um utilizador introduza credenciais.
Entradas da entidade de serviço: entradas de aplicativos e entidades de serviço que não envolvem nenhum usuário. Nesses logins, o aplicativo ou serviço fornece uma credencial em seu próprio nome para autenticar ou acessar recursos.
Identidades gerenciadas para entradas de recursos do Azure: entradas por recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, veja O que são identidades geridas para os recursos do Azure?.
Personalizar o layout dos logs de entrada
Você pode personalizar as colunas para o log de entrada interativo do usuário usando mais de 30 opções de coluna. Para visualizar o registo de início de sessão de forma mais eficaz, passe alguns momentos a personalizar a vista de acordo com as suas necessidades.
- Selecione Colunas no menu na parte superior do log.
- Selecione as colunas que deseja visualizar e selecione o botão Salvar na parte inferior da janela.
Filtrar os registos de início de sessão
Filtrar os logs de entrada é uma maneira útil de localizar rapidamente logs que correspondem a um cenário específico. Por exemplo, você pode filtrar a lista para exibir somente entradas que ocorreram em um local geográfico específico, de um sistema operacional específico ou de um tipo específico de credencial.
Algumas opções de filtro solicitam que você selecione mais opções. Siga as instruções para fazer a seleção necessária para o filtro. Você pode adicionar vários filtros.
Selecione o botão Adicionar filtros , escolha uma opção de filtro e selecione Aplicar.
Insira um detalhe específico, como um ID de solicitação, ou selecione outra opção de filtro.
Você pode filtrar em vários detalhes. A tabela a seguir descreve alguns filtros comumente usados. Nem todas as opções de filtro são descritas.
| Filtro |
Description |
| ID do Pedido |
Identificador exclusivo para uma solicitação de entrada |
| ID de Correlação |
Identificador exclusivo para todos os pedidos de início de sessão que fazem parte de uma tentativa de início de sessão único |
| User |
O nome principal do usuário (UPN) do usuário |
| Aplicação |
A aplicação visada pelo pedido de início de sessão |
| Status |
As opções são Sucesso, Falha e Interrupção |
| Recurso |
O nome do serviço utilizado para o início de sessão |
| Endereço IP |
O endereço IP do cliente utilizado para o início de sessão |
| Acesso Condicional |
As opções são Não aplicadas, Êxito e Falha |
Agora que sua tabela de logs de entrada está formatada para suas necessidades, você pode analisar os dados com mais eficiência. Uma análise mais aprofundada e a retenção de dados de início de sessão podem ser realizadas exportando os registos para outras ferramentas.
Personalizar as colunas e ajustar o filtro ajuda a examinar logs com características semelhantes. Para ver os detalhes de um início de sessão, selecione uma linha na tabela para abrir o painel Detalhes da atividade. Há várias abas no painel para explorar. Para obter mais informações, consulte Detalhes da atividade do log de entrada.
Filtro de aplicativo cliente
Ao rever a origem de um início de sessão, poderá ter de utilizar o filtro da aplicação Cliente. O aplicativo cliente tem duas subcategorias: Clientes de autenticação moderna e Clientes de autenticação herdados. Os clientes de autenticação moderna têm mais duas subcategorias: Navegador e aplicativos móveis e clientes de desktop. Há várias subcategorias para clientes de autenticação herdada, que são definidas na tabela de detalhes do cliente de autenticação herdada.
Os inícios de sessão no browser incluem todas as tentativas de início de sessão a partir de browsers. Quando visualiza os detalhes de um início de sessão a partir de um browser, o separador Informações básicas mostra Aplicação cliente: Browser.
Na guia Informações do dispositivo , Navegador mostra os detalhes do navegador da Web. O tipo e a versão do navegador estão listados, mas, em alguns casos, o nome do navegador e a versão não estão disponíveis. Você pode ver algo como Rich Client 4.0.0.0.
Detalhes do cliente de autenticação herdado
A tabela a seguir fornece os detalhes para cada uma das opções do cliente de autenticação herdado.
| Nome |
Descrição |
| SMTP autenticado |
Usado por clientes POP e IMAP para enviar mensagens de e-mail. |
| Descoberta automática |
Usado por clientes Outlook e EAS para localizar e se conectar a caixas de correio no Exchange Online. |
| Exchange ActiveSync |
Este filtro mostra todas as tentativas de início de sessão em que o protocolo EAS foi tentado. |
| Exchange ActiveSync |
Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online |
| Exchange Online PowerShell |
Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o PowerShell do Exchange Online, precisará usar o módulo PowerShell do Exchange Online para se conectar. Para obter instruções, consulte Conectar-se ao PowerShell do Exchange Online usando a autenticação multifator. |
| Serviços Web Exchange |
Uma interface de programação usada pelo Outlook, Outlook para Mac e aplicativos de terceiros. |
| IMAP4 |
Um cliente de email herdado usando IMAP para recuperar e-mails. |
| MAPI sobre HTTP |
Usado pelo Outlook 2010 e posterior. |
| Catálogo de Endereços Offline |
Uma cópia das coleções de lista de endereços que são baixadas e usadas pelo Outlook. |
| Outlook em Qualquer Lugar (RPC sobre HTTP) |
Usado pelo Outlook 2016 e versões anteriores. |
| Serviço Outlook |
Utilizado pela aplicação Correio e Calendário para Windows 10. |
| POP3 |
Um cliente de email herdado usando POP3 para recuperar e-mails. |
| Serviços Web de relatórios |
Usado para recuperar dados de relatório no Exchange Online. |
| Outros clientes |
Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou desconhecido. |
Para visualizar o log de provisionamento de forma mais eficaz, passe alguns momentos personalizando a exibição de acordo com suas necessidades. Você pode especificar quais colunas incluir e filtrar os dados para restringir as coisas.
Personalizar o esquema
O log de provisionamento tem uma exibição padrão, mas você pode personalizar colunas.
- Selecione Colunas no menu na parte superior do log.
- Selecione as colunas que deseja visualizar e selecione o botão Salvar na parte inferior da janela.
Filtrar os resultados
Quando você filtra os dados de provisionamento, alguns valores de filtro são preenchidos dinamicamente com base no seu locatário. Por exemplo, se você não tiver nenhum evento "criar" em seu locatário, a opção = Criar filtro não estará disponível.
O filtro Identidade permite-lhe especificar o nome ou a identidade que lhe interessa. Essa identidade pode ser um usuário, grupo, função ou outro objeto.
Você pode pesquisar pelo nome ou ID do objeto. O ID varia de acordo com o cenário.
- Se você estiver provisionando um objeto da ID do Microsoft Entra para o Salesforce, a ID de origem será a ID do objeto do usuário na ID do Microsoft Entra. O ID de destino é o ID do usuário no Salesforce.
- Se você estiver provisionando do Workday para o ID do Microsoft Entra, o ID de origem será o ID do funcionário do trabalhador do Workday. O ID de destino é o ID do usuário no Microsoft Entra ID.
- Se você estiver provisionando usuários para sincronização entre locatários, a ID de origem será a ID do usuário no locatário de origem. O ID de destino é o ID do usuário no locatário de destino.
Nota
O nome do usuário pode nem sempre estar presente na coluna Identidade . Haverá sempre um documento de identificação.
O filtro Data permite-lhe definir um período de tempo para os dados devolvidos. Os valores possíveis são:
- Um mês
- Sete dias
- 30 dias
- 24 horas
- Intervalo de tempo personalizado (configurar uma data de início e uma data de término)
O filtro Status permite que você selecione:
- Todos
- Com êxito
- Falha
- Omitida
O filtro Ação permite filtrar estas ações:
- Criar
- Atualizar
- Delete
- Desativar
- Outro
Além dos filtros do modo de exibição padrão, você pode definir os seguintes filtros.
ID do trabalho: um ID de trabalho exclusivo é associado a cada aplicativo para o qual você habilitou o provisionamento.
ID do ciclo: o ID do ciclo identifica exclusivamente o ciclo de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para procurar o ciclo em que esse evento ocorreu.
ID de alteração: a ID de alteração é um identificador exclusivo para o evento de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para procurar o evento de provisionamento.
Sistema de origem: você pode especificar de onde a identidade está sendo provisionada. Por exemplo, quando você está provisionando um objeto do Microsoft Entra ID para ServiceNow, o sistema de origem é o Microsoft Entra ID.
Sistema de destino: você pode especificar para onde a identidade está sendo provisionada. Por exemplo, quando você está provisionando um objeto do Microsoft Entra ID para ServiceNow, o sistema de destino é ServiceNow.
Aplicativo: Você pode mostrar apenas registros de aplicativos com um nome de exibição ou ID de objeto que contenha uma cadeia de caracteres específica. Para sincronização entre locatários, use a ID do objeto da configuração e não a ID do aplicativo.
