Tutorial: Controlar e monitorar aplicativos
O administrador de TI da Fabrikam adicionou e configurou um aplicativo da galeria de aplicativos Microsoft Entra. Também assegurou que o acesso pudesse ser gerenciado e que o aplicativo estivesse seguro, usando as informações do Tutorial: Gerenciar acesso e segurança do aplicativo. Agora, é necessário reconhecer os recursos disponíveis para controlar e monitorar o aplicativo.
Usando as informações neste tutorial, um administrador do aplicativo saberá como:
- Criar uma análise de acesso
- Acessar os logs de auditoria
- Acessar as entradas
- Enviar logs ao Azure Monitor
Pré-requisitos
- Uma conta do Azure com uma assinatura ativa. Se você ainda não tiver uma, Crie uma conta gratuita.
- Uma das seguintes funções: Governança de identidade, Administrador de função com privilégios, Administrador de aplicativos de nuvem ou Administrador de aplicativos.
- Um aplicativo corporativo que foi configurado em seu locatário do Microsoft Entra.
Criar uma análise de acesso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
O administrador deseja assegurar que os usuários ou os convidados tenham acesso apropriado. E decide pedir aos usuários do aplicativo que participem de uma revisão de acesso e reconfirmem ou atestem a necessidade de acesso. Quando a revisão de acesso for concluída, será possível fazer as alterações e remover o acesso dos usuários que não mais precisarão dele. Para obter mais informações, consulte Gerenciar o acesso de usuários e de usuários convidados com revisões de acesso.
Para criar uma revisão de acesso:
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Governança de Identidade>Revisão de acesso.
- Selecione Nova revisão de acesso para criar uma revisão de acesso.
- Em Selecionar o que revisar, selecione Aplicativos.
- Selecione + Selecionar aplicativos, selecione o aplicativo e, em seguida, escolha Selecionar.
- Agora você pode selecionar um escopo para a revisão. Suas opções são:
- Somente usuários convidados - Essa opção limita a revisão de acesso apenas aos usuários convidados do Microsoft Entra B2B em seu diretório.
- Todos os Usuários: essa opção tem como escopo a revisão de acesso para todos os objetos de usuário associados ao recurso. Selecione Todos os usuários.
- Selecione Próximo: Revisões.
- Na seção Especificar revisores, na caixa Selecionar revisores, selecione Usuários ou grupos selecionado,, selecione + Selecionar revisores e, em seguida, selecione a conta de usuário atribuída ao aplicativo.
- Na seção Especificar recorrência da revisão, especifique as seguintes seleções:
- Duração (em dias) – aceite o valor padrão de 3.
- Revisar a recorrência – selecione Uma vez.
- Data de início – aceite a data de hoje como a data de início.
- Selecione Próximo: Configurações.
- Em Configurações após a conclusão, você poderá especificar o que acontece após a conclusão da revisão. Selecione Aplicar resultados automaticamente ao recurso.
- Selecione Avançar: Examinar + Criar.
- Nomeie a revisão de acesso. Opcionalmente, forneça uma descrição à revisão. O nome e a descrição são mostrados aos revisores.
- Examine as informações e selecione Criar.
Inicie a revisão de acesso
A revisão de acesso começa em alguns minutos e aparece em sua lista com um indicador de status.
Por padrão, o ID do Microsoft Entra envia um email aos revisores logo após o início da revisão. Se você optar pelo não envio do email pelo ID do Microsoft Entra, certifique-se de informar aos revisores que eles devem concluir uma análise de acesso pendente. Você pode mostrar a eles as instruções de como examinar o acesso para os grupos ou aplicativos. Se sua revisão for para que os hóspedes avaliem seu próprio acesso, mostre as instruções sobre como revisar o acesso deles a grupos ou aplicativos.
Se você tiver atribuído convidados como revisores e eles não tiverem aceitado seu convite para o locatário, não receberão um email das revisões de acesso. Eles devem primeiro aceitar o convite antes que possam começar a revisar.
Ver o status de uma revisão de acesso
Você pode acompanhar o progresso das revisões de acesso conforme elas são concluídas.
- Vá para Identidade>Governança de Identidade>Revisão de acesso.
- Na lista, selecione a revisão de acesso que você criou.
- Na página Visão geral, verifique o progresso da revisão de acesso.
A página Resultados fornece mais informações sobre cada usuário sob revisão na instância, incluindo a capacidade de parar, redefinir e baixar resultados. Para saber mais, confira o artigo Concluir uma revisão de acesso de grupos e aplicativos nas revisões de acesso do Microsoft Entra.
Acessar os logs de auditoria
Os logs de auditoria do Microsoft Entra capturam uma ampla variedade de atividades em seu locatário. Esses logs fornecem informações valiosas sobre as atividades que você precisa monitorar. Para obter mais informações, consulte Logs de auditoria no Microsoft Entra ID.
Para acessar os logs de auditoria, vá para Identidade>Monitoramento e integridade>Logs de auditoria.
Os logs de auditoria capturam atividades que se enquadram nas categorias a seguir. Esta lista não é completa. Para uma lista completa de categorias e atividades do log de auditoria, confira Atividades do log de auditoria.
- Atividade de redefinição de senha
- Atividade de registro de redefinição de senha
- Atividade dos grupos de autoatendimento
- Alterações de nome do grupo do Office365
- Atividade de provisionamento de conta
- Status de substituição de senha
- Erros de provisionamento de conta
Acessar os logs de entrada
Logs de entrada do Microsoft Entra capturam entradas interativas, não interativas, identidades gerenciadas e entidades de serviço. Para obter mais informações, confira Logs de entrada no Microsoft Entra ID.
Para acessar os logs de entrada, vá para Identidade>Monitoramento e integridade>Logs de entrada.
Você também pode ver informações de login do aplicativo na área de Aplicativos Empresariais. Os logs de entrada abrem os mesmos logs de Monitoramento de integridade>Logs de entrada, mas o filtro já está configurado para o aplicativo selecionado. O relatório Uso e insights também resume a atividade de entrada para o aplicativo.
Enviar logs ao Azure Monitor
Os logs de atividades do Microsoft Entra armazenam apenas informações por sete dias para a ID do Microsoft Entra Gratuita e 30 dias para o Microsoft Entra ID P1/P2. Dependendo de suas necessidades, você pode exigir armazenamento extra para fazer backup dos dados dos logs de atividades.
Usando logs do Azure Monitor, você pode reter os dados por mais tempo e habilitar ferramentas de análise avançadas, como visualização e alertas. Para obter mais informações sobre a integração de logs com o Azure Monitor, consulte Integrar os logs do Microsoft Entra ao Azure Monitor.
Para enviar logs para o Azure Monitor, você precisa de um workspace do Log Analytics. Depois que isso for criado, você definirá as configurações de diagnóstico a serem integradas ao Log Analytics. Há considerações de custo associadas à integração de logs ao Azure Monitor e ao Log Analytics, portanto, examine esta seção de Logs de atividades do Microsoft Entra no Azure Monitor antes de prosseguir.
Após ter um espaço de trabalho do Log Analytics configurado:
- Selecione Configurações de diagnóstico e, em seguida, selecione Adicionar configuração de diagnóstico. Você também pode selecionar a páginaExportar Configurações dos Logs de Auditoria ou Assinaturas para obter a página de configuração de configurações de diagnóstico.
- Escolha os logs que deseja enviar, selecione a opção Enviar para o Log Analytics workspace e conclua os campos.
- Selecione Salvar.
Após cerca de 15 minutos, verifique se que os eventos são transmitidos para seu espaço de trabalho do Log Analytics.
Próximas etapas
Prossiga para o próximo artigo para saber como...