Configurar o Azure Monitor em locatários externos (versão prévia)

Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)

O Azure Monitor é uma solução abrangente para coletar, analisar e responder à dados de monitoramento dos ambientes de nuvem e locais. As configurações de diagnóstico no recurso monitorado especificam quais dados enviar e para onde enviá-los. Para o Microsoft Entra, as opções de destino incluem Armazenamento do Azure, Log Analytics e Hubs de Eventos do Azure.

Ao transferir logs do locatário externo para um repositório ou soluções de monitoramento diferentes, lembre-se que os logs do locatário externo contêm dados pessoais. Ao processar esses dados, lembre-se de usar as medidas de segurança apropriadas nos dados pessoais. Isso inclui proteção contra processamento não autorizado ou ilegal, usando medidas técnicas ou organizacionais apropriadas.

Visão geral da implantação

O locatário externo usa o monitoramento do Microsoft Entra. Ao contrário dos locatários do Microsoft Entra, um locatário externo não pode ter uma assinatura associada a ele. Portanto, precisamos realizar etapas extras para habilitar a integração entre o locatário externo e o Log Analytics, que é para onde enviaremos os logs. Para habilitar as configurações de diagnóstico no locatário da força de trabalho em seu locatário externo, use o Azure Lighthouse para delegar um recurso, o que permite que seu locatário externo (o Provedor de Serviços) gerencie um recurso de locatário da força de trabalho (o Cliente).

Dica

O Azure Lighthouse normalmente é usado para gerenciar recursos para vários clientes. No entanto, também pode ser usado para simplificar a administração entre locatários dentro de uma empresa que tem vários locatários próprios do Microsoft Entra. Em nosso caso, estamos usando-o para delegar o gerenciamento de um único grupo de recursos.

Seguindo as etapas neste artigo, você criará um novo grupo de recursos chamado ExtIDMonitor em seu locatário da força de trabalho e obterá acesso ao mesmo grupo de recursos que contém o espaço de trabalho do Log Analytics em seu locatário externo. Você também poderá transferir os logs do locatário externo para o seu espaço de trabalho do Log Analytics.

Durante esta implantação, você autorizará um usuário ou grupo em seu diretório do locatário externo a fim de configurar a instância do espaço de trabalho do Log Analytics no locatário que contém sua assinatura do Azure. Para criar a autorização, implante um modelo do Azure Resource Manager na assinatura que contém o workspace do Log Analytics.

O diagrama a seguir ilustra os componentes que você irá configurar em seus locatários da força de trabalho e externos.

Durante essa implantação, você configurará seu locatário externo no qual os logs são gerados. Você também configurará o locatário externo em que o workspace do Log Analytics será hospedado. As contas do locatário externo usadas (como a conta do administrador) devem receber a função de Administrador Global no locatário externo. A conta que você usará para executar a implantação no locatário externo deve ser atribuída a função de Proprietário na assinatura do Microsoft Entra. Também é importante verificar se você está conectado ao diretório correto ao concluir cada etapa, conforme descrito.

Em resumo, você usará o Azure Lighthouse para permitir que um usuário ou grupo em seu locatário externo gerencie um grupo de recursos em uma assinatura associada a um locatário diferente (o locatário da força de trabalho). Depois que essa autorização for concluída, a assinatura e o workspace do Log Analytics poderão ser selecionados como um destino nas Configurações de diagnóstico no locatário externo.

Pré-requisitos

• Uma assinatura do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
• Uma conta Microsoft Entra com a função Proprietário na assinatura Microsoft Entra.
• Uma conta no locatário externo à qual foi atribuída a função de Administrador Global.

Visão geral de configuração

Para seguir as etapas de configuração neste artigo, recomendamos abrir duas janelas ou guias separadas do navegador: uma para o locatário da força de trabalho e outra para o locatário externo. Essa configuração ajudará você a alternar entre os dois locatários conforme necessário.

Etapa 1: configuração do locatário da força de trabalho – criar grupo de recursos e espaço de trabalho de logs

Criar um grupo de recursos

Primeiro crie ou escolha um grupo de recursos que contenha o espaço de trabalho de destino do Log Analytics que receberá os dados do locatário externo. Você irá especificar o nome do grupo de recursos ao implantar o modelo do Azure Resource Manager.

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.
3. Crie um grupo de recursos ou escolha um existente. Este exemplo usa um grupo de recursos chamado ExtIDMonitor.

Criar um workspace do Log Analytics

Um espaço de trabalho do Log Analytics é um ambiente exclusivo para os dados de log do Azure Monitor. Você usará esse workspace do Log Analytics para coletar dados do locatário externo e, em seguida, visualizá-los com consultas.

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.
3. Criar um espaço de trabalho do Log Analytics. Este exemplo usa um workspace do Log Analytics chamado ExtIDLogAnalytics em um grupo de recursos chamado ExtIDMonitor.

Adicione microsoft.insights como provedor de recursos

Nesta etapa, você seleciona seu locatário externo como um provedor de serviços. Também serão definidas as autorizações necessárias para atribuir as funções internas apropriadas aos grupos em seu locatário do Microsoft Entra. Para ver todos os provedores de recursos e o status do registro para a sua assinatura:

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.
3. No menu do portal do Azure, procure Assinaturas.
4. Selecione a assinatura que você deseja exibir.
5. No menu à esquerda, em Configurações, selecione Provedores de recursos.
6. Selecione o provedor de recursos microsoft.insights e selecione Registrar.

Etapa 2: configuração de locatário externo – obtenha a ID do locatário externo e crie um grupo para monitoramento de ID externa

Obter sua ID de locatário externo

Primeiro, obtenha a ID de locatário do seu locatário externo. Você precisará dessa ID para configurar o locatário externo para enviar logs para o espaço de trabalho do Log Analytics no locatário da força de trabalho.

1. Entre no Centro de administração do Microsoft Entra.
2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu e alterne para o seu locatário externo do menu Diretórios + assinaturas.
3. Selecione Visão geral do locatário e selecione Visão geral.
4. Registre o ID do locatário.

Criar um grupo para monitoramento de ID externo

Agora, crie um usuário ou grupo ao qual você queira conceder permissão para o grupo de recursos criado anteriormente no diretório com sua assinatura.

A fim de facilitar o gerenciamento, recomenda-se usar grupos de usuários do Microsoft Entra para cada função, pois eles permitem adicionar ou remover usuários individuais, em vez de atribuir as permissões diretamente aos usuários. Neste tutorial, saiba como adicionar um grupo de segurança.

1. Entre no Centro de administração do Microsoft Entra.
2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu e alterne para o seu locatário externo do menu Diretórios + assinaturas.
3. Selecione Grupos e, em seguida, selecione um grupo. Se você não tiver um grupo, crie um novo grupo de Segurança e adicione membros a ele. Para obter mais informações, siga o procedimento em Criar um grupo básico e adicionar membros com o locatário da força de trabalho.
4. Selecione Visão geral e registre o ID de objeto do grupo.

Etapa 3: configuração do locatário da força de trabalho – configure o Azure Lighthouse

Criar um modelo do Azure Resource Manager

Para criar a autorização e a delegação personalizadas no Azure Lighthouse, usamos um modelo do Azure Resource Manager. Esse modelo concede ao locatário externo o acesso ao grupo de recursos do Microsoft Entra criado anteriormente, por exemplo, ExtIDMonitor. Implante o modelo do exemplo do GitHub com o botão Implantar no Azure, que abre o portal do Azure e permite configurar e implantar o modelo diretamente. Para estas etapas, verifique se você está conectado ao locatário da força de trabalho do Microsoft Entra (não ao do locatário externo).

1. Entre no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.

3. Use o botão Implantar no Azure para abrir o portal do Azure e implantar o modelo diretamente nele. Para obter mais informações, consulte Criar um modelo do Azure Resource Manager.

   

4. Na página Implantação personalizada, forneça as seguintes informações:

   Campo	Definição
   Assinatura	Selecione o diretório que contém a assinatura do Azure em que o grupo de recursos ExtIDMonitor foi criado.
   Region	Escolha a região em que o recurso será implantado.
   O nome da oferta MSP	Um nome que descreve essa definição. Por exemplo, ExtIDMonitor. É o nome que será exibido no Azure Lighthouse. O Nome da Oferta MSP deve ser exclusivo em seu locatário de força de trabalho. Para monitorar vários locatários externos, use nomes diferentes.
   Descrição da oferta MSP	Uma breve descrição da oferta. Por exemplo, Habilitar o Azure Monitor no locatário externo.
   ID gerenciada por locatário	O ID do locatário externo (também conhecido como ID do diretório).
   Autorizações	Especifique uma matriz JSON de objetos que incluam o principalId do locatário da força de trabalho, o principalIdDisplayName e o roleDefinitionId do Azure. O principalId é o ID de objeto do grupo ou usuário que terá acesso aos recursos nesta assinatura do Azure. Para este guia, especifique o ID de objeto do grupo registrado anteriormente no locatário externo. Para o roleDefinitionId, use o valor de função interna da função de Colaborador, b24988ac-6180-42a0-ab88-20f7382dd24c.
   Nome do Rg	O nome do grupo de recursos criado anteriormente no locatário da força de trabalho. Por exemplo, ExtIDMonitor.

   O exemplo a seguir demonstra uma matriz de autorizações com um grupo de segurança.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

Depois de implantar o modelo, pode levar alguns minutos (normalmente não mais do que cinco) até que a projeção de recursos seja concluída. Você pode verificar a implantação em seu locatário da força de trabalho e obter os detalhes da projeção de recursos. Para saber mais, consulte Exibir e gerenciar provedores de serviços.

Etapa 4: configuração de locatário externo – selecione sua assinatura

Depois de implantar o modelo e aguardar alguns minutos até a conclusão da projeção de recursos, siga estas etapas para associar sua assinatura ao seu locatário externo.

Observação

Na página Configurações do portal | Diretórios + assinaturas, verifique se os locatários externo e da força de trabalho estão selecionados em Diretórios atuais + delegados.

Selecionar sua assinatura

1. Saia do portal do Azure e entre novamente com sua conta administrativa do locatário externo. Essa conta deve ser membro do grupo de segurança especificado anteriormente. Sair e voltar permite que suas credenciais de sessão sejam atualizadas na próxima etapa.
2. Selecione o ícone Configurações na barra de ferramentas do portal.
3. Na página Configurações do portal | Diretórios + assinaturas, na lista Nome do diretório, localize o diretório do locatário da força de trabalho que contém a assinatura do Azure e o grupo de recursos ExtIDMonitor que você criou e selecione Alternar.
4. Verifique se você selecionou o diretório correto e se a assinatura do Azure está listada e selecionada no Filtro da assinatura padrão.

Definir as configurações de diagnóstico

As configurações de diagnóstico definem para onde os logs e as métricas de um recurso devem ser enviados. Os possíveis destinos são:

• Conta de Armazenamento do Azure
• Soluções de hubs de eventos
• Espaço de Trabalho do Log Analytics

Neste exemplo, o espaço de trabalho do Log Analytics é usado para a criação de um painel. Siga as etapas para definir as configurações de monitoramento para os logs de atividades do locatário externo:

1. Entre no Centro de administração do Microsoft Entra.

2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu e alterne para o seu locatário externo do menu Diretórios + assinaturas. Essa conta deve ser membro do grupo de segurança especificado anteriormente.

3. Navegue até Configurações de diagnóstico indo para Identidade>Monitoramento e integridade.

4. Se houver configurações já definidas para o recurso, você verá uma lista com elas. Selecione Adicionar configuração de diagnóstico para definir uma nova configuração ou Editar configurações para editar uma existente. Cada configuração pode ter apenas um destino de cada tipo.

   

5. Dê um nome à configuração se ela ainda não tiver um.

6. Selecione AuditLogs e SignInLogs.

7. Selecione Enviar para o Workspace do Log Analytics e:

   1. Em Assinatura, selecione sua assinatura.
   2. Em Espaço de trabalho do Log Analytics, selecione o nome do workspace que você criou anteriormente, como ExtIDLogAnalytics.

8. Selecione Salvar.

Observação

Pode levar até 15 minutos depois da emissão de um evento para que ele apareça em um espaço de trabalho do Log Analytics. Enquanto você espera, pode ser útil executar algumas ações para gerar logs. Por exemplo, você pode seguir o Guia de introdução para criar algumas configurações e inscrever um usuário.

Etapa 5: configuração do locatário da força de trabalho – visualize seus dados

Agora você pode configurar o espaço de trabalho do Log Analytics para ver seus dados e configurar alertas. Você pode fazer essas configurações no espaço de trabalho e no locatário externo.

Criar uma consulta

As consultas de log ajudam você a usar tudo o que os dados coletados nos logs do Azure Monitor têm a oferecer. Uma linguagem de consulta eficiente permite unir dados de várias tabelas, agregar grandes conjuntos de dados e executar operações complexas com o mínimo de códigos. Praticamente qualquer pergunta pode ser respondida e qualquer análise realizada, desde que os dados de suporte tenham sido coletados e você entenda como criar a consulta certa. Para obter mais informações, veja Introdução às consultas de log no Azure Monitor.

1. Entre no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.

3. Na janela Workspace do Log Analytics, selecione Logs

4. No editor de consultas, cole a seguinte consulta Linguagem de consulta Kusto. Ela mostra o uso de políticas por operação nos últimos x dias. A duração padrão é definida para 90 dias (90d). Observe que a consulta foca apenas nas operações em que um token/código é emitido pela política.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Selecione Executar. Os resultados da consulta são exibidos na parte inferior da tela.

6. Para salvar sua consulta para uso posterior, selecione Salvar.

7. Insira os seguintes detalhes:

   • Nome - insira o nome de sua consulta.
   • Salvar como - Selecione query.
   • Categoria - Selecione Log.

8. Selecione Salvar.

Você também pode alterar sua consulta para ver os dados usando o operador render.

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Alterar o período de retenção de dados

Os logs do Azure Monitor foram projetados para o dimensionamento e o suporte à coleta, à indexação e ao armazenamento de grandes quantidades de dados por dia de qualquer fonte em sua empresa ou implantada no Azure. Por padrão, os logs são mantidos por 30 dias, mas a duração da retenção pode ser aumentada para até dois anos. Saiba como Gerenciar o uso e os custos com logs do Azure Monitor. Depois de selecionar o tipo de preço, é possível Alterar o período de retenção de dados.

Desativar a coleta de dados de monitoramento

Para interromper a coleta de logs no seu workspace do Log Analytics, exclua as configurações de diagnóstico que você criou. Você continuará a incorrer em cobranças pela retenção dos dados de log que já foram coletados no seu espaço de trabalho. Se não precisar mais dos dados de monitoramento coletados, você poderá excluir o espaço de trabalho do Log Analytics e o grupo de recursos criados para o Azure Monitor. A exclusão do espaço de trabalho do Log Analytics exclui todos os dados no espaço de trabalho e evita que você incorra em cobranças adicionais de retenção de dados.

Excluir o grupo de recursos e o workspace do Log Analytics

1. Entre no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário da força de trabalho no menu Diretórios + assinaturas.
3. Escolha o grupo de recursos que contém o workspace do Log Analytics. Este exemplo utiliza um grupo de recursos chamado ExtIDMonitor e um espaço de trabalho do Log Analytics chamado ExtIDLogAnalytics.
4. Excluir o workspace Logs Analytics.
5. Selecione o botão Excluir para excluir o grupo de recursos.

Conteúdo relacionado

• Usar logs de auditoria e revisões de acesso