Saiba mais sobre os detalhes da atividade de registo de início de sessão

O Microsoft Entra registra todas as entradas em um locatário do Azure para fins de conformidade. Como administrador de TI, você precisa saber o que significam os valores nos logs de entrada para poder interpretar os valores de log corretamente.

• Saiba mais sobre os logs de login.
• Personalizar e filtrar os registos de início de sessão

Este artigo explica os valores na guia Informações básicas do log de entrada.

Informação básica

A guia Informações básicas contém a maioria dos detalhes que também são exibidos na tabela. Pode iniciar o Diagnóstico de Início de Sessão a partir do separador Informações básicas. Para obter mais informações, consulte Como usar o diagnóstico de entrada.

Códigos de erro de início de sessão

Se um login falhar, você poderá obter mais informações sobre o motivo na guia Informações básicas do item de log relacionado. O código de erro e o motivo da falha associado aparecem nos detalhes. Para obter mais informações, consulte Como solucionar erros de entrada..

Localização e Dispositivo

As guias Informações de localização e dispositivo exibem informações gerais sobre a localização e o endereço IP do usuário. A guia Informações do dispositivo fornece detalhes sobre o navegador e o sistema operacional usados para entrar. Esta guia também fornece detalhes sobre se o dispositivo é compatível, gerenciado ou se o Microsoft Entra ingressou híbrido.

Detalhes de autenticação

A guia Detalhes de Autenticação nos detalhes de um log de entrada fornece as seguintes informações para cada tentativa de autenticação:

• Uma lista de políticas de autenticação aplicadas, como Acesso Condicional ou Padrões de Segurança.
• A sequência de métodos de autenticação usados para entrar.
• Se a tentativa de autenticação foi bem-sucedida e o motivo.

Estas informações permitem-lhe resolver problemas em cada passo do início de sessão de um utilizador. Use estes detalhes para rastrear:

• O volume de entradas protegido pelo MFA.
• Taxas de uso e sucesso para cada método de autenticação.
• Uso de métodos de autenticação sem senha, como Login por Telefone sem Senha, FIDO2 e Windows Hello for Business.
• Com que frequência os requisitos de autenticação são atendidos pelas declarações de token, como quando os usuários não são solicitados interativamente a inserir uma senha ou inserir uma OTP por SMS.

Ao analisar os detalhes da autenticação, tome nota dos seguintes detalhes:

• O código de verificação OATH é registrado como o método de autenticação para tokens de hardware e software OATH (como o aplicativo Microsoft Authenticator).
• A guia Detalhes de autenticação pode inicialmente mostrar dados incompletos ou imprecisos até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
  • Uma declaração satisfeita por na mensagem de token é exibida incorretamente quando os eventos de entrada são inicialmente registrados.
  • A linha Autenticação primária não é inicialmente registrada.
• Se você não tiver certeza de um detalhe nos logs, reúna a ID da solicitação e a ID de correlação para usar para análise ou solução de problemas adicionais.
• Se as políticas de Acesso Condicional para autenticação ou tempo de vida da sessão forem aplicadas, elas serão listadas acima das tentativas de entrada. Se você não vir nenhum deles, essas políticas não serão aplicadas no momento. Para obter mais informações, consulte Controles de sessão de acesso condicional.

Identificadores únicos

No Microsoft Entra ID, um acesso a recursos tem três componentes relevantes:

• Quem?: A identidade (Utilizador) que inicia sessão.
• Como: O cliente (Aplicativo) usado para o acesso.
• O quê?: O destino (Recurso) acessado pela identidade.

Cada componente tem um identificador exclusivo (ID) associado.:

• Requisito de autenticação: mostra o nível mais alto de autenticação necessário em todas as etapas de entrada para que o login seja bem-sucedido.

  • Graph API suporta $filter (eqstartsWith e apenas operadores).

• Avaliação de acesso condicional: mostra se a avaliação de acesso contínuo (CAE) foi aplicada ao evento de entrada.

  • Existem vários pedidos de início de sessão para cada autenticação, que podem aparecer nos separadores interativos ou não interativos.
  • O CAE só é exibido como verdadeiro para uma das solicitações e pode aparecer na guia interativa ou na guia não interativa.
  • Para obter mais informações, consulte Monitorar e solucionar problemas de entradas com avaliação de acesso contínuo no Microsoft Entra ID.

• ID de correlação: A ID de correlação agrupa entradas da mesma sessão de entrada. O valor é baseado em parâmetros passados por um cliente, portanto, o Microsoft Entra ID não pode garantir sua precisão.

• Tipo de acesso entre locatários: descreve o tipo de acesso entre locatários usado pelo ator para acessar o recurso. Os valores possíveis são:

  • none - Um evento de entrada que não cruzou os limites de um locatário do Microsoft Entra.
  • b2bCollaboration- Um login entre locatários realizado por um usuário convidado usando a Colaboração B2B.
  • b2bDirectConnect - Um login de locatário cruzado realizado por um B2B.
  • microsoftSupport- Um início de sessão entre inquilinos realizado por um agente de suporte da Microsoft num inquilino de cliente Microsoft.
  • serviceProvider - Um login entre locatários realizado por um Provedor de Serviços de Nuvem (CSP) ou administrador semelhante em nome do cliente desse CSP em um locatário
  • unknownFutureValue - Um valor sentinela usado pelo MS Graph para ajudar os clientes a lidar com alterações nas listas de enum. Para obter mais informações, consulte Práticas recomendadas para trabalhar com o Microsoft Graph.
  • Se o início de sessão não ultrapassar os limites de um inquilino, o valor é none.

• ID da solicitação: um identificador que corresponde a um token emitido. Se você estiver procurando por entradas com um token específico, primeiro precisará extrair o ID da solicitação do token.

• Entrar: String que o usuário fornece ao ID do Microsoft Entra para se identificar ao tentar entrar. Geralmente é um nome principal de usuário (UPN), mas pode ser outro identificador, como um número de telefone.

• Tipos de evento de entrada: indica a categoria do logon que o evento representa.

  • A categoria de entrada do usuário pode ser interactiveUser ou nonInteractiveUser e corresponde ao valor da propriedade isInteractive no recurso de entrada.
  • A categoria de identidade gerenciada é managedIdentity.
  • A categoria principal de serviço é servicePrincipal.
  • O portal do Azure não mostra esse valor, mas o evento de entrada é colocado na guia que corresponde ao seu tipo de evento de entrada. Os valores possíveis são:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • A API do Microsoft Graph, suporta: $filter (eq somente operador).

• Inquilino: O registo de início de sessão controla dois identificadores de inquilino:

  • Inquilino doméstico – O inquilino que possui a identidade do usuário. O Microsoft Entra ID rastreia a ID e o nome.
  • Locatário de recurso – O locatário que possui o recurso (de destino).
  • Esses identificadores são relevantes em cenários entre locatários.
  • Por exemplo, para descobrir como os usuários fora do seu locatário estão acessando seus recursos, selecione todas as entradas em que o locatário doméstico não corresponde ao locatário do recurso.

• Tipo de usuário: Tipo de usuário.

  • Exemplos incluem member, , guestou external.

Considerações para logs de entrada

Os cenários a seguir são importantes a serem considerados ao revisar os logs de entrada.

• Endereço IP e localização: Não existe uma ligação definitiva entre um endereço IP e o local onde o computador com esse endereço está fisicamente localizado. Provedores móveis e VPNs emitem endereços IP de pools centrais que muitas vezes estão longe de onde o dispositivo cliente é realmente usado. Atualmente, converter endereços IP numa localização física é um melhor esforço com base em rastreios, dados de registo, pesquisas inversas e outras informações.

• Acesso Condicional:

  • Não aplicado: nenhuma política aplicada ao usuário e ao aplicativo durante o login.
  • Sucesso: Uma ou mais políticas de Acesso Condicional aplicadas ou avaliadas para o usuário e o aplicativo (mas não necessariamente as outras condições) durante o login. Embora uma política de Acesso Condicional possa não se aplicar, se tiver sido avaliada, o status de Acesso Condicional mostrará Êxito.
  • Falha: O início de sessão satisfez a condição de utilizador e aplicação de pelo menos uma política de Acesso Condicional e os controlos de concessão não estão satisfeitos ou estão definidos para bloquear o acesso.

• Nome do locatário residencial: devido a compromissos de privacidade, o Microsoft Entra ID não preenche o campo de nome do locatário doméstico durante cenários entre locatários.

• Autenticação multifator: quando um usuário entra com MFA, vários eventos de MFA separados estão realmente ocorrendo. Por exemplo, se um usuário inserir o código de validação errado ou não responder a tempo, eventos MFA adicionais serão enviados para refletir o status mais recente da tentativa de entrada. Esses eventos de entrada aparecem como um item de linha nos logs de entrada do Microsoft Entra. Esse mesmo evento de entrada no Azure Monitor, no entanto, aparece como vários itens de linha. Estes eventos têm todos o mesmo correlationId.

Próximos passos

• Saiba mais sobre como exportar logs de entrada do Microsoft Entra
• Explore o diagnóstico de início de sessão no Microsoft Entra ID