Saiba mais sobre os detalhes da atividade de registo de início de sessão

O Microsoft Entra registra todas as entradas em um locatário do Azure para fins de conformidade. Como administrador de TI, precisas de saber o que significam os valores nos registos de entrada para poderes interpretar corretamente esses valores.

• Saiba mais sobre os registos de início de sessão
• Personalizar e filtrar os registos de início de sessão

Este artigo explica os valores encontrados nos registos de entrada. Esses valores fornecem informações valiosas para solucionar erros de entrada.

Componentes da atividade de início de sessão

No Microsoft Entra ID, uma atividade de entrada é feita de três componentes principais:

• Quem?: A identidade (Utilizador) que inicia sessão.
• Como: O cliente (Aplicativo) usado para o acesso.
• O quê: O destino (Recurso) acessado pela identidade.

Concentre-se nesses três componentes ao investigar um login para restringir sua pesquisa para não olhar para todos os detalhes. Dentro de cada um desses três componentes, existem identificadores relacionados que podem fornecer mais informações. Cada início de sessão também contém identificadores exclusivos que correlacionam a tentativa de início de sessão às atividades associadas.

Quem

Os seguintes detalhes estão associados ao usuário:

• Utilizador
• Username
• ID de Utilizador
• Identificador de início de sessão
• Tipo de utilizador

Como

A forma como o utilizador inicia sessão pode ser identificada através da observação dos seguintes detalhes:

• Requisito de autenticação
• Aplicação cliente
• Tipo de credencial do cliente
• Avaliação contínua de acesso

O quê

Você pode identificar o recurso que o usuário está tentando acessar usando os seguintes detalhes:

• Aplicação
• ID da aplicação
• Recurso
• ID do Recurso
• ID do inquilino do recurso
• ID principal de serviço de recursos

Identificadores únicos

Os logs de entrada também contêm vários identificadores exclusivos que fornecem mais informações sobre a tentativa de entrada.

• ID de correlação: A ID de correlação agrupa entradas da mesma sessão de entrada. O valor é baseado em parâmetros passados por um cliente, portanto, o Microsoft Entra ID não pode garantir sua precisão.
• ID da solicitação: um identificador que corresponde a um token emitido. Se estiveres à procura de sessões com um token específico, primeiro precisas extrair o ID de pedido do token.
• Identificador de token exclusivo: um identificador exclusivo para o token passado durante o login. Esse identificador é usado para correlacionar o login com a solicitação de token.

Detalhes da atividade de início de sessão

Cada tentativa de entrada contém detalhes associados a esses três componentes principais. Os detalhes são organizados em várias guias, com base no tipo de login.

Informações básicas

A guia Informações básicas contém a maior parte dos detalhes associados a uma tentativa de entrada. Anote os identificadores exclusivos, pois eles podem ser necessários para solucionar problemas de entrada. Você pode seguir o padrão quem, como, que usando os detalhes na guia Informações básicas.

Também pode iniciar o Diagnóstico de Início de Sessão a partir da aba Informações básicas. Para obter mais informações, consulte Como usar o Diagnóstico de Início de Sessão.

Códigos de erro de início de sessão

Se um login falhar, você poderá obter mais informações sobre o motivo na guia Informações básicas do item de log relacionado. O código de erro e o motivo da falha associado aparecem nos detalhes. Para obter mais informações, consulte Como solucionar erros de entrada.

Localização e Dispositivo

As guias de Localização e Informações do Dispositivo exibem informações gerais sobre a localização e o endereço IP do usuário. A guia Informações do dispositivo fornece detalhes sobre o navegador e o sistema operacional usados para entrar. Esta guia também fornece detalhes sobre se o dispositivo é compatível, gerido, ou aderiu ao Microsoft Entra híbrido.

Detalhes de autenticação

O separador Detalhes de Autenticação nos detalhes de um registo de entrada fornece as seguintes informações para cada tentativa de autenticação:

• Uma lista de políticas de autenticação aplicadas, como Acesso Condicional ou Padrões de Segurança.
• A sequência de métodos de autenticação usados para entrar.
• Se a tentativa de autenticação foi bem-sucedida e o motivo.

Estas informações permitem-lhe solucionar problemas em cada etapa do início de sessão de um utilizador. Use estes detalhes para rastrear:

• O volume de entradas protegido pelo MFA.
• Taxas de uso e sucesso para cada método de autenticação.
• Utilização de métodos de autenticação sem palavra-passe, tais como Passwordless Phone Sign-in e FIDO2.
• Com que frequência os requisitos de autenticação são atendidos pelas declarações de token, como quando os usuários não são solicitados interativamente a inserir uma senha ou inserir uma OTP por SMS.

Acesso Condicional

Se as políticas de Acesso Condicional estiverem em uso em seu locatário, você poderá ver se essas políticas foram aplicadas à tentativa de entrada. Todas as políticas que podem ser aplicadas ao início de sessão são listadas. O resultado final da política é exibido para que você possa ver rapidamente se ela afetou a tentativa de entrada.

• Êxito: A política de Acesso Condicional foi aplicada com êxito à tentativa de início de sessão.
• Falha: A política de Acesso Condicional foi aplicada à tentativa de início de sessão, mas a tentativa de início de sessão falhou.
• Não aplicado: O início de sessão não correspondeu aos critérios para a aplicação da política.
  • Existem cenários específicos que, devido à sua natureza, devem ser isentos da avaliação de Acesso Condicional para evitar uma dependência circular (cenário de ovo e galinha) que não seria possível completar. Estes são considerados "cenários de bootstrap" e podem incluir entradas associadas ao registo de dispositivos, conformidade de dispositivos ou conectores do Servidor de Políticas de Rede.
  • Os inícios de sessão do Windows Hello para Empresas são apresentados como "Não Aplicados" porque as políticas de Acesso Condicional protegem as tentativas de início de sessão nos recursos da nuvem, não o processo de início de sessão do Windows.
• Desativado: a política foi desativada no momento da tentativa de entrada.

Apenas relatório

As políticas de Acesso Condicional podem alterar a experiência de início de sessão dos seus utilizadores e potencialmente interromper os seus processos. Recomendamos configurar políticas de Acesso Condicional no modo de somente relatório por um período de tempo para garantir que sua política esteja configurada corretamente. Com o modo Somente Relatório, pode-se configurar uma regra e avaliar o seu efeito potencial antes de ativá-la.

Este separador dos registos de entrada mostra os resultados das tentativas de entrada abrangidas pela política. Para obter mais informações, consulte o artigo O que é o modo de relatório único de Acesso Condicional?

Detalhes e considerações de início de sessão

Os cenários a seguir são importantes a serem considerados ao revisar os logs de entrada.

• Endereço IP e localização: Não existe uma ligação definitiva entre um endereço IP e o local onde o computador com esse endereço está fisicamente localizado. Provedores móveis e VPNs emitem endereços IP de pools centrais que geralmente estão longe de onde o dispositivo cliente é usado. Atualmente, converter endereços IP numa localização física é um melhor esforço com base em rastreios, dados de registo, pesquisas inversas e outras informações.

• Data e hora: A data e a hora de uma tentativa de início de sessão são ajustadas ao fuso horário da pessoa que está com sessão iniciada no centro de administração do Microsoft Entra, não do utilizador que tentou iniciar sessão.

• Acesso Condicional:

  • Not applied: Nenhuma política aplicada ao usuário e ao aplicativo durante o login. O Windows Hello para Empresas aparece como "Não Aplicado" porque as políticas de Acesso Condicional protegem as tentativas de início de sessão nos recursos da nuvem, não o processo de início de sessão do Windows. Outros logins podem ser interrompidos para que uma política não seja aplicada.
  • Success: Uma ou mais políticas de Acesso Condicional aplicadas ou avaliadas para o usuário e o aplicativo (mas não necessariamente as outras condições) durante o login. Embora uma política de Acesso Condicional possa não se aplicar, se tiver sido avaliada, o status de Acesso Condicional mostrará Êxito.
  • Failure: O início de sessão satisfez a condição de utilizador e aplicação de pelo menos uma política de Acesso Condicional, e os controlos de concessão ou não estão satisfeitos, ou estão definidos para bloquear o acesso.
  • O Acesso Condicional não se aplica ao início de sessão do Windows, como o Windows Hello para Empresas. O Acesso Condicional protege as tentativas de início de sessão em recursos na nuvem, não o processo de início de sessão do dispositivo.

• Avaliação contínua de acesso: mostra se a avaliação contínua de acesso (CAE) foi aplicada ao evento de entrada.

  • Existem vários pedidos de início de sessão para cada autenticação, que podem aparecer nos separadores interativos e não interativos.
  • O CAE só é exibido como verdadeiro para uma das solicitações e pode aparecer na guia interativa ou na guia não interativa.
  • Para obter mais informações, consulte Monitorar e solucionar problemas de entradas com avaliação de acesso contínuo no Microsoft Entra ID.

• Tipo de acesso entre locatários: descreve o tipo de acesso entre locatários usado pelo ator para acessar o recurso. Os valores possíveis são:

  • none - Um evento de entrada que não cruzou os limites de um locatário do Microsoft Entra.
  • b2bCollaboration- Um login entre locatários realizado por um usuário convidado usando a Colaboração B2B.
  • b2bDirectConnect - Um login cruzado entre locatários realizado por um B2B.
  • microsoftSupport- Uma entrada entre locatários efetuada por um agente de suporte da Microsoft num locatário externo da Microsoft.
  • serviceProvider - Um início de sessão entre locatários realizado por um Cloud Service Provider (CSP) ou administrador semelhante em nome de um cliente desse CSP num locatário.
  • unknownFutureValue - Um valor sentinela usado pelo MS Graph para ajudar os clientes a lidar com alterações nas listas de enum. Para obter mais informações, consulte Práticas recomendadas para trabalhar com o Microsoft Graph.

• Inquilino: o registo de início de sessão controla dois identificadores de inquilino que são relevantes em cenários de múltiplos inquilinos.

  • Inquilino principal – O inquilino que possui a identidade de utilizador. O Microsoft Entra ID rastreia a ID e o nome.
  • Locatário de recurso – O locatário que é proprietário do recurso-alvo.
  • Devido a compromissos de privacidade, o Microsoft Entra ID não preenche o nome do locatário doméstico durante cenários entre locatários.
  • Para descobrir como os usuários fora do seu locatário estão acessando seus recursos, selecione todas as entradas em que o locatário doméstico não corresponde ao locatário do recurso.

• Autenticação multifator: Quando um utilizador entra com MFA, vários eventos de MFA separados estão realmente a ocorrer. Por exemplo, se um usuário inserir o código de validação errado ou não responder a tempo, mais eventos MFA serão enviados para refletir o status mais recente da tentativa de entrada. Esses eventos de entrada aparecem como um item de linha nos logs de entrada do Microsoft Entra. Esse mesmo evento de entrada no Azure Monitor, no entanto, aparece como vários itens de linha. Estes eventos têm todos o mesmo correlationId.

• Requisito de autenticação: mostra o nível mais alto de autenticação necessário em todas as etapas de entrada para que o login seja bem-sucedido.

  • Graph API suporta $filter (eq e startsWith operadores apenas).

• Tipos de evento de entrada: Indica a categoria da entrada que o evento representa.

  • A categoria de início de sessão do utilizador pode ser interactiveUser ou nonInteractiveUser e corresponde ao valor da propriedade isInteractive no recurso de início de sessão.
  • A categoria de identidade gerenciada é managedIdentity.
  • A categoria principal de serviço é servicePrincipal.
  • A API do Microsoft Graph suporta: $filter (somente o operador eq).
  • O portal do Azure não mostra esse valor, mas o evento de entrada é colocado na guia que corresponde ao seu tipo de evento de entrada. Os valores possíveis são:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Tipo de usuário: Os exemplos incluem member, guest, ou external.

• Detalhes de autenticação:

  • O código de verificação OATH é registrado como o método de autenticação para tokens de hardware e software OATH (como o aplicativo Microsoft Authenticator).
  • O separador Detalhes da Autenticação pode inicialmente apresentar dados que possam estar incompletos ou imprecisos até que os dados de registo sejam totalmente agregados. Exemplos conhecidos incluem:
    • Uma declaração satisfeita do token é exibida incorretamente quando os eventos de início de sessão são inicialmente registados.
    • A linha de Autenticação Primária não é inicialmente registrada.
  • Se não tiver a certeza de um detalhe nos logs, reúna o ID da solicitação e o ID de correlação para os usar na análise adicional ou na resolução de problemas.
  • Se as políticas de Acesso Condicional para autenticação ou tempo de vida da sessão forem aplicadas, elas serão listadas acima das tentativas de entrada. Se você não vir nenhuma dessas opções, essas políticas não serão aplicadas no momento. Para obter mais informações, consulte Controles de sessão de acesso condicional.