Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: 
Inquilinos externos (saiba mais)
O Azure Monitor fornece uma solução abrangente para coletar, analisar e responder a dados de monitoramento de seus ambientes locais e na nuvem. As configurações de diagnóstico no recurso monitorado especificam quais dados enviar e para onde enviá-los. Para o Microsoft Entra, você pode enviar dados para o Armazenamento do Azure, o Log Analytics ou os Hubs de Eventos do Azure.
Ao transferir logs de locatários externos para outras soluções de monitoramento ou locais de armazenamento, lembre-se de que esses logs podem conter dados pessoais. Ao processar dados pessoais, use medidas de segurança apropriadas para protegê-los. Estas medidas devem impedir o tratamento não autorizado ou ilícito através da utilização de salvaguardas técnicas e organizativas adequadas.
Este artigo descreve como configurar o Azure Monitor em um locatário externo para que você possa coletar e analisar dados em seu locatário. Ele também explica como definir configurações de diagnóstico para enviar logs e métricas para um espaço de trabalho do Log Analytics em seu locatário da força de trabalho.
Descrição geral da implementação
Os locatários externos usam o monitoramento do Microsoft Entra. Ao contrário dos inquilinos da força de trabalho, um inquilino externo não pode ter uma subscrição associada. Para habilitar o monitoramento em um locatário externo, entre no locatário da força de trabalho para autenticar a assinatura durante a configuração.
Você também pode usar o Azure Lighthouse para habilitar configurações de diagnóstico para um locatário da força de trabalho (o Cliente) dentro de seu locatário externo (o Provedor de Serviços).
Nessa configuração, você usa um assistente. Pode iniciar o assistente a partir de um destes pontos de entrada: a página Definições de diagnóstico ou a página Armazenamento de segurança . Este artigo abrange ambas as abordagens.
Pré-requisitos
- Uma subscrição do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
- Uma conta do Microsoft Entra com a função Proprietário na assinatura do Microsoft Entra.
- Uma conta no locatário externo à qual foi atribuída a função de Administrador de Segurança ou Administrador de Aplicativos .
Importante
Esta funcionalidade suporta apenas a nova função de Proprietário do Azure Role-Based Access Control (RBAC), não as funções clássicas de administrador. Para obter instruções sobre como converter funções de administrador clássico para o Azure RBAC, consulte Administradores de assinatura clássica do Azure. Depois de concluir a conversão, atualize a página para aplicar as alterações.
Inicie o assistente para configurar o Azure Lighthouse
Para configurar o Azure Lighthouse em um locatário externo, inicie o assistente na página Configurações de diagnóstico ou na página Repositório de segurança . Escolha uma das seguintes abas com pontos de entrada para começar.
- Entre no centro de administração do Microsoft Entra.
- Se tiver acesso a vários inquilinos, utilize o ícone
Definições no menu superior e mude para o inquilino externo a partir do menu Diretórios + subscrições. - Navegue até Entra ID no seu locatário externo e selecione Monitorização e integridade>Definições de Diagnóstico.
- Selecione Iniciar configuração para iniciar o assistente.
Configurar a configuração do Azure Lighthouse no assistente
As próximas etapas guiam o utilizador pelo assistente de configuração para configurar o Azure Lighthouse no seu inquilino externo.
Etapa 1: Iniciar sessão no ambiente de workforce
Para configurar o Azure Lighthouse, entre com uma conta que tenha acesso à assinatura proprietária do locatário de configuração externo.
Passo 2: Preencha os detalhes do projeto
Nesta etapa, forneça os detalhes do seu projeto. Ao criar um grupo de recursos e um espaço de trabalho do Log Analytics ao mesmo tempo, você pode selecionar apenas um local. Esse local é limitado às regiões disponíveis para o grupo de recursos e o espaço de trabalho do Log Analytics. Para acessar a lista completa de locais, crie o grupo de recursos e o espaço de trabalho do Log Analytics separadamente com antecedência.
- Selecione uma Assinatura na lista suspensa.
- Use um Grupo de Recursos existente ou crie um novo.
- Forneça um nome para o novo espaço de trabalho do Log Analytics. Esse nome deve ser exclusivo por grupo de recursos.
- Selecione uma região disponível.
- Selecione Avançar.
Etapa 3: Selecionar o acesso do usuário
Escolha os usuários ou grupos em seu locatário externo que podem acessar o espaço de trabalho do Log Analytics. Os usuários selecionados precisam de pelo menos a função de Administrador de Segurança para configurar as configurações de diagnóstico.
Confirme a sua seleção com o botão Selecionar . Depois de selecionar os usuários ou grupos, atribua uma função a eles. Você pode escolher entre as seguintes funções:
- Colaborador: Pode ler dados de monitoramento e configuração.
- Colaborador do Log Analytics: pode ler e gravar dados de monitoramento e configuração.
- Colaborador de monitoramento: pode ler todos os dados de monitoramento e editar as configurações de monitoramento.
- Colaborador de Política de Monitoramento: Pode gerenciar recursos relacionados à segurança, incluindo a visualização e o gerenciamento de alertas e relatórios de segurança.
Depois de selecionar os usuários ou grupos e atribuir uma função, selecione Avançar para continuar.
Opcional: adicione tags ao seu espaço de trabalho do Log Analytics
Você pode adicionar tags ao seu espaço de trabalho do Log Analytics. As tags são pares nome/valor que ajudam a categorizar recursos e exibir o faturamento consolidado aplicando a mesma tag a vários recursos e grupos de recursos. Para obter mais informações, consulte Utilizar etiquetas para organizar os seus recursos do Azure.
Etapa 4: revisar e criar seu espaço de trabalho do Log Analytics
Reveja a sua configuração. Se precisar fazer alterações, use o botão Voltar para retornar às etapas anteriores. Se tudo estiver correto, selecione Criar para configurar o espaço de trabalho do Log Analytics e atribuir aos usuários ou grupos selecionados a função especificada. Configurar o espaço de trabalho do Log Analytics e atribuir funções pode levar alguns minutos, portanto, não feche a janela do navegador.
Quando a configuração estiver concluída, você verá uma mensagem de confirmação. Selecione Concluído e defina as configurações de diagnóstico para começar a enviar logs e métricas para seu espaço de trabalho do Log Analytics.
Configurar definições de diagnóstico
As configurações de diagnóstico permitem coletar logs de recursos e enviar métricas da plataforma e o registro de atividades para destinos diferentes. Você pode criar até cinco configurações de diagnóstico diferentes para enviar vários logs e métricas para destinos diferentes. Siga estas etapas para definir as configurações de diagnóstico em seu locatário externo.
- Selecione Adicionar configurações em Adicionar configurações de diagnóstico.
- Se selecionar Rever antes de adicionar definições, poderá ver o Grupo de Subscrição e Recursos no lado direito. Esses campos são somente leitura. Se quiser fazer alterações, remova as informações existentes do provedor de serviços e inicie o "assistente" novamente. Se estiver satisfeito com a seleção, selecione Concluído para continuar para a próxima etapa. Esta etapa é opcional.
Nota
Se você selecionar Revisar antes de adicionar configurações, o grupo Assinatura e Recursos aparecerá no lado direito. Esses campos são somente leitura. Para fazer alterações, remova as informações existentes do provedor de serviços e reinicie o assistente.
Mantenha a janela aberta enquanto a verificação de subscrição em segundo plano é executada. Se fechar ou atualizar a janela antes de a verificação terminar, poderá ter de reiniciar o assistente a partir de Iniciar configuração.
- Selecione Adicionar configuração de diagnóstico para adicionar uma nova configuração ou Editar configuração para editar uma configuração existente. Você pode precisar de várias configurações de diagnóstico para um recurso se quiser enviar dados para vários destinos do mesmo tipo.
- Dê à sua configuração um nome descritivo.
- Logs e métricas a serem roteados: para logs, escolha um grupo de categorias ou marque as caixas de seleção individuais para cada categoria de dados que você deseja enviar para os destinos especificados posteriormente. A lista de categorias varia para cada serviço do Azure. Selecione AllMetrics se quiser coletar métricas da plataforma.
- Detalhes do destino: marque a caixa de seleção para cada destino que deve ser incluído nas configurações de diagnóstico e, em seguida, forneça os detalhes para cada um. Se você selecionar o espaço de trabalho do Log Analytics como destino, talvez seja necessário especificar o modo de coleta. Consulte Modo de coleta para obter detalhes.
Visualize seus dados com consultas de log
Depois de definir as configurações de diagnóstico e os fluxos de dados para o espaço de trabalho do Log Analytics, use consultas de log para analisar e visualizar seus dados. As consultas de log são escritas em Kusto Query Language (KQL) e podem ajudá-lo a obter insights dos logs e métricas coletados. Você pode fazer essas configurações em sua força de trabalho e locatário externo.
Criar uma consulta
As consultas de log ajudam você a obter o máximo valor dos dados coletados nos Logs do Azure Monitor. Uma linguagem de consulta poderosa permite unir dados de várias tabelas, agregar grandes conjuntos de dados e executar operações complexas com código mínimo. Você pode responder a praticamente qualquer pergunta e realizar análises, desde que colete os dados de suporte e entenda como construir a consulta certa. Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas .
- Na janela do espaço de trabalho do Log Analytics , selecione Logs
- No editor de consultas, cole a seguinte consulta Kusto Query Language . Esta consulta mostra o uso da política por operação nos últimos x dias. A duração padrão é definida como 90 dias (90d). Observe que a consulta é focada apenas na operação em que um token ou código é emitido pela política.
AuditLogs
| where TimeGenerated > ago(90d)
| where OperationName contains "issue"
| extend UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy, OperationName
| order by SignInCount desc nulls last
- Selecione Executar. Os resultados da consulta são exibidos na parte inferior da tela.
- Para guardar a consulta para utilização posterior, selecione Guardar.
- Preencha os seguintes dados:
- Nome - Introduza o nome da sua consulta.
-
Salvar como - Selecione
query. -
Categoria - Selecione
Log.
- Selecione Salvar.
Você também pode alterar sua consulta para visualizar os dados usando o operador de renderização .
AuditLogs
| where TimeGenerated > ago(90d)
| where OperationName contains "issue"
| extend UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc nulls last
| render piechart
Change the data retention period (Alterar o período de retenção de dados)
Os Logs do Azure Monitor são dimensionados para dar suporte à coleta, indexação e armazenamento de grandes quantidades de dados todos os dias de qualquer fonte em sua empresa ou implantados no Azure. Por padrão, os logs são retidos por 30 dias, mas você pode aumentar a duração da retenção para até dois anos. Para obter mais informações, consulte Gerenciar uso e custos com o Azure Monitor Logs. Depois de selecionar o nível de preço, você pode alterar o período de retenção de dados.
Desativar a coleta de dados de monitoramento
Para parar de coletar logs no espaço de trabalho do Log Analytics, exclua as configurações de diagnóstico criadas. Você continua a incorrer em encargos por reter os dados de log que já recolheu no seu espaço de trabalho. Se já não precisar dos dados de monitorização recolhidos, pode eliminar a área de trabalho do Log Analytics e o grupo de recursos que criou para o Azure Monitor. A exclusão do espaço de trabalho do Log Analytics exclui todos os dados no espaço de trabalho e impede que você incorra em outras cobranças de retenção de dados.
Usando o Microsoft Sentinel com ID Externa
Depois dos registos de ID Externa de um locatário externo serem enviados para um espaço de trabalho do Log Analytics num locatário de empresa, pode ingeri-los no Microsoft Sentinel para monitorização, regras de incidentes, alertas e relatórios. Você deve configurar o Sentinel a partir do locatário da força de trabalho, pois a configuração direta do locatário externo não é suportada. Para utilizar o Sentinel:
Envie logs para um espaço de trabalho do Log Analytics em um locatário da força de trabalho por meio das configurações de diagnóstico do Azure Monitor. Não há suporte para configuração direta do inquilino externo.
No portal do Azure, adicione o Microsoft Sentinel ao espaço de trabalho do Log Analytics. Para obter mais informações, consulte Onboard to Microsoft Sentinel.
No Portal do Defender, abra o Microsoft Sentinel Content Hub e instale o pacote de conteúdo do Entra ID.
Funcionalidades suportadas
Analytics & Alertas: Configurar regras de incidentes usando modelos pré-construídos; Os alertas acionados aparecem corretamente.
Livros de trabalho: Visualize e analise os logs coletados usando livros de trabalho pré-construídos.
Para obter mais informações, consulte a documentação do Microsoft Sentinel.
Essas etapas permitem o monitoramento centralizado, o gerenciamento de incidentes e a visualização de logs de ID externo ao usar uma configuração de inquilino de força de trabalho suportada.