Exibir detalhes de acesso condicional aplicados nos logs de atividades do Microsoft Entra

Com políticas de Acesso condicional, você pode controlar como os usuários obtêm acesso aos recursos do Azure e do Microsoft Entra. Como administrador de locatários, você precisa determinar o efeito que suas políticas de acesso condicional têm nas entradas para seu locatário, para que possa agir se necessário. Talvez você também precise visualizar logs de auditoria para alterações recentes nas políticas de acesso condicional.

Esse artigo explica como visualizar políticas de acesso condicional aplicadas nos logs de atividades do Microsoft Entra.

Pré-requisitos

Para ver as políticas de acesso condicional aplicadas nos logs, os administradores devem ter permissões para visualizar ambos os logs e as políticas. A função interna menos privilegiada que concede ambas as permissões é Leitor de Segurança. Como melhor prática, o seu administrador global deve adicionar a função Leitor de Segurança às contas de administrador relacionadas.

As seguintes funções internas concedem permissões para ler políticas de Acesso Condicional:

• Leitor de segurança
• Administrador de Segurança
• Administrador de Acesso Condicional

As seguintes funções integradas concedem permissão para exibir logs de atividades:

• Leitor de relatórios
• Leitor de segurança
• Administrador de Segurança

Permissões

Se você usar um aplicativo cliente ou o módulo Microsoft Graph PowerShell para extrair logs do Microsoft Graph, seu aplicativo precisará de permissões para receber o recurso appliedConditionalAccessPolicy do Microsoft Graph. Como melhor prática, atribua Policy.Read.ConditionalAccess, porque é a permissão com menos privilégios.

As seguintes permissões autorizam um aplicativo cliente a acessar os logs de atividades e quaisquer políticas de acesso condicional aplicadas nos logs por meio do Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Para usar o módulo PowerShell do Microsoft Graph, você também precisa das seguintes permissões de privilégio mínimo com o acesso necessário:

• Para conceder as permissões necessárias, use: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Para exibir os logs de entrada, use: Get-MgAuditLogSignIn
• Para visualizar os logs de auditoria: Get-MgAuditLogDirectoryAudit

Para obter mais informações, veja Get-MgAuditLogSignIne Get-MgAuditLogDirectoryAudit.

Acesso condicional e cenários de início de sessão

Como administrador do Microsoft Entra, você pode usar os logs de entrada para:

• Solucionar problemas de entrada.
• Verificar o desempenho da funcionalidade.
• Avaliar a segurança de um locatário.

Alguns cenários exigem que você entenda como suas políticas de acesso condicional foram aplicadas a um evento de entrada. Exemplos comuns incluem:

• Administradores de assistência técnica que precisam examinar as políticas de acesso condicional aplicadas para entender se uma política é a causa raiz de um tíquete que um usuário abriu.
• Administradores de locatários que precisam verificar se as políticas de acesso condicional têm o efeito pretendido sobre os usuários de um locatário.

Você pode acessar os logs de início de sessão usando o centro de administração do Microsoft Entra, o portal do Azure, o Microsoft Graph e o PowerShell.

Como exibir as políticas de Acesso Condicional

Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Os detalhes da atividade dos logs de entrada contêm várias guias. Na guia Acesso Condicional, você verá uma lista de políticas de Acesso Condicional aplicadas a esse evento de entrada.

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
3. Selecione um item de login na tabela para ver o painel de detalhes do login.
4. Selecione a guia Acesso condicional.

Se você não vir as políticas de Acesso Condicional, confirme se está usando uma função que fornece acesso aos logs de entrada e às políticas de Acesso Condicional.

API do Microsoft Graph

Siga essas instruções para visualizar as políticas de acesso condicional e os detalhes do log usando a API do Microsoft Graph no Graph Explorer.

1. Entre no Explorador do Graph.

2. Escolha GET como o método HTTP na lista suspensa.

3. Escolha a versão da API para v1.0.

4. Para obter tentativas de login em que o acesso condicional falhou durante um período de tempo específico, adicione a seguinte consulta e selecione Executar consulta.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Para exibir uma política de Acesso Condicional específica, adicione a ID da política.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Para obter mais informações, examine os seguintes recursos:

• Tipo de recurso conditionalAccessPolicy
• Tipo de recurso signIn

PowerShell do Microsoft Graph

Siga estas etapas para listar as funções do Microsoft Entra utilizando o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use Install-Module para instalar o PowerShell do Microsoft Graph. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Use Get-MgIdentityConditionalAccessPolicy para obter todas as políticas de Acesso Condicional.

   Get-MgIdentityConditionalAccessPolicy
   

4. Para formatar os resultados como uma lista, use o seguinte comando:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

O comando a seguir pode ser usado para exportar logs de login para um arquivo CSV, formatado para destacar detalhes relacionados ao Acesso Condicional.

1. Defina o caminho do arquivo CSV de saída.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Recupere os logs, filtrados de uma data especificada e exporte-os para o arquivo CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Cenários de acesso condicional e log de auditoria

Os logs de auditoria do Microsoft Entra contêm informações sobre alterações nas políticas de acesso condicional. Você pode usar os logs de auditoria para descobrir quando uma política foi criada, atualizada ou excluída.

Para ver quando uma política de acesso condicional existente foi atualizada:

1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
2. Navegue até Identidade>Monitoramento e integridade>Logs de auditoria.
3. Defina o filtro Serviço como Acesso Condicional.
4. Defina o filtro Categoria como Política.
5. Defina o filtro Atividade como Atualizar política de acesso condicional.

Talvez seja necessário ajustar a data para ver as alterações que você está procurando. A coluna Destino mostra o nome da política de acesso condicional que foi atualizada.

Para comparar a política atual com a política anterior, selecione a entrada do log de auditoria e, em seguida, selecione a guia Propriedades modificadas.

Conteúdo relacionado

• Solucionar problemas de início de sessão com o Acesso Condicional
• Examine as perguntas frequentes sobre os logs de entrada do Acesso Condicional
• Saiba mais sobre os logs de entrada