Configurar o Azure Monitor em locatários externos (visualização)

Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)

O Azure Monitor é uma solução abrangente para coletar, analisar e responder a dados de monitoramento de seus ambientes locais e na nuvem. As configurações de diagnóstico no recurso monitorado especificam quais dados enviar e para onde enviá-los. Para o Microsoft Entra, as opções de destino incluem o Armazenamento do Azure, o Log Analytics e os Hubs de Eventos do Azure.

Quando você planeja transferir logs de locatários externos para diferentes soluções de monitoramento ou repositório, considere que os logs de locatários externos contêm dados pessoais. Ao processar esses dados, certifique-se de que utiliza medidas de segurança adequadas sobre os dados pessoais. Inclui a proteção contra o tratamento não autorizado ou ilícito, através de medidas técnicas ou organizativas adequadas.

Descrição geral da implementação

O locatário externo usa o monitoramento do Microsoft Entra. Ao contrário dos locatários do Microsoft Entra, um locatário externo não pode ter uma assinatura associada a ele. Portanto, precisamos tomar medidas extras para permitir a integração entre o locatário externo e o Log Analytics, que é para onde enviamos os logs. Para habilitar as configurações de Diagnóstico no locatário da força de trabalho em seu locatário externo, use o Azure Lighthouse para delegar um recurso, o que permite que seu locatário externo (o Provedor de Serviços) gerencie um recurso de locatário da força de trabalho (o Cliente).

Gorjeta

O Azure Lighthouse normalmente é usado para gerenciar recursos para vários clientes. No entanto, ele também pode ser usado para simplificar a administração entre locatários em uma empresa que tenha vários locatários do Microsoft Entra próprios. No nosso caso, estamos a utilizá-lo para delegar a gestão de um único grupo de recursos.

Seguindo as etapas neste artigo, você criará um novo grupo de recursos chamado ExtIDMonitor em seu locatário da força de trabalho e obterá acesso ao mesmo grupo de recursos que contém o espaço de trabalho do Log Analytics em seu locatário externo. Você também poderá transferir os logs do locatário externo para seu espaço de trabalho do Log Analytics.

Durante essa implantação, você autorizará um usuário ou grupo em seu diretório de locatário externo a configurar a instância do espaço de trabalho do Log Analytics dentro do locatário que contém sua assinatura do Azure. Para criar a autorização, implante um modelo do Azure Resource Manager na assinatura que contém o espaço de trabalho do Log Analytics.

O diagrama a seguir mostra os componentes que você configurará em seu locatário da força de trabalho e locatários externos.

Durante essa implantação, você configurará seu locatário externo onde os logs serão gerados. Você também configurará seu locatário externo onde o espaço de trabalho do Log Analytics será hospedado. As contas de locatário externo usadas (como sua conta de administrador) devem receber a função de Administrador Global no locatário externo. A conta que você usará para executar a implantação no locatário externo deve receber a função Proprietário na assinatura do Microsoft Entra. Também é importante certificar-se de que você está conectado ao diretório correto à medida que conclui cada etapa, conforme descrito.

Em resumo, você usará o Azure Lighthouse para permitir que um usuário ou grupo em seu locatário externo gerencie um grupo de recursos em uma assinatura associada a um locatário diferente (o locatário da força de trabalho). Após a conclusão dessa autorização, o espaço de trabalho de assinatura e análise de log pode ser selecionado como um destino nas Configurações de diagnóstico no locatário externo.

Pré-requisitos

• Uma subscrição do Azure. Se não tiver uma, crie uma conta gratuita antes de começar.
• Uma conta do Microsoft Entra com a função Proprietário na assinatura do Microsoft Entra.
• Uma conta no locatário externo à qual foi atribuída a função de Administrador Global .

Descrição geral da configuração

Para seguir as etapas de configuração neste artigo, recomendamos abrir duas janelas ou guias separadas do navegador: uma para o locatário da força de trabalho e outra para o locatário externo. Esta configuração irá ajudá-lo a alternar entre os dois inquilinos, conforme necessário.

Etapa 1: Configuração do locatário da força de trabalho - criar grupo de recursos e espaço de trabalho de logs

Criar um grupo de recursos

Primeiro, crie ou escolha um grupo de recursos que contenha o espaço de trabalho de destino do Log Analytics que receberá dados do locatário externo. Você especificará o nome do grupo de recursos ao implantar o modelo do Azure Resource Manager.

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.
3. Crie um grupo de recursos ou escolha um existente. Este exemplo usa um grupo de recursos chamado ExtIDMonitor.

Criar uma área de trabalho do Log Analytics

Um espaço de trabalho do Log Analytics é um ambiente exclusivo para dados de log do Azure Monitor. Você usará esse espaço de trabalho do Log Analytics para coletar dados de locatários externos e visualizá-los com consultas.

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.
3. Crie um espaço de trabalho do Log Analytics. Este exemplo usa um espaço de trabalho do Log Analytics chamado ExtIDLogAnalytics, em um grupo de recursos chamado ExtIDMonitor.

Adicionar microsoft.insights como um provedor de recursos

Nesta etapa, você escolhe seu locatário externo como um provedor de serviços. Você também define as autorizações necessárias para atribuir as funções internas apropriadas a grupos em seu locatário do Microsoft Entra. Para ver todos os fornecedores de recursos e o estado de registo da subscrição:

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.
3. No menu do portal do Azure, procure Subscrições.
4. Selecione a subscrição que quer ver.
5. No menu esquerdo, em Definições, selecione Fornecedores de Recursos.
6. Selecione o provedor de recursos microsoft.insights e selecione Registrar.

Etapa 2: Configuração de locatário externo - obter ID de locatário externo e criar um grupo para monitoramento de ID externo

Obter o seu ID de inquilino externo

Primeiro, obtenha a ID do locatário do seu locatário externo. Você precisará dessa ID para configurar o locatário externo para enviar logs para o espaço de trabalho do Log Analytics no locatário da força de trabalho.

1. Inicie sessão no centro de administração do Microsoft Entra.
2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior e mude para o inquilino externo a partir do menu Diretórios + subscrições.
3. Selecione Visão geral do locatário e selecione Visão geral.
4. Registre a ID do locatário.

Criar um grupo para monitoramento de ID externo

Agora, crie um grupo ou usuário ao qual você deseja dar permissão ao grupo de recursos criado anteriormente no diretório que contém sua assinatura.

Para facilitar o gerenciamento, recomendamos o uso de grupos de usuários do Microsoft Entra para cada função, permitindo que você adicione ou remova usuários individuais ao grupo em vez de atribuir permissões diretamente a esse usuário. Neste passo a passo, adicionaremos um grupo de segurança.

1. Inicie sessão no centro de administração do Microsoft Entra.
2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior e mude para o inquilino externo a partir do menu Diretórios + subscrições.
3. Selecione Grupos e, em seguida, selecione um grupo. Se não tiver um grupo existente, crie um grupo de Segurança e, em seguida, adicione membros. Para obter mais informações, siga o procedimento Criar um grupo básico e adicionar membros usando o locatário da força de trabalho.
4. Selecione Visão geral e registre a ID do objeto do grupo.

Etapa 3: Configuração do locatário da força de trabalho - configurar o Azure Lighthouse

Criar um modelo do Azure Resource Manager

Para criar a autorização e delegação personalizadas no Azure Lighthouse, usamos um modelo do Azure Resource Manager. Este modelo concede ao locatário externo acesso ao grupo de recursos do Microsoft Entra, que você criou anteriormente, por exemplo, ExtIDMonitor. Implante o modelo a partir do exemplo do GitHub usando o botão Implantar no Azure , que abre o portal do Azure e permite configurar e implantar o modelo diretamente no portal. Para estas etapas, verifique se você está conectado ao locatário da força de trabalho do Microsoft Entra (não ao locatário externo).

1. Inicie sessão no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.

3. Use o botão Implantar no Azure para abrir o portal do Azure e implantar o modelo diretamente no portal. Para obter mais informações, consulte criar um modelo do Azure Resource Manager.

   

4. Na página Implantação personalizada, insira as seguintes informações:

   Campo	Definição
   Subscrição	Selecione o diretório que contém a assinatura do Azure onde o grupo de recursos ExtIDMonitor foi criado.
   País/Região	Selecione a região onde o recurso será implantado.
   Nome da oferta do MSP	Um nome a descrever esta definição. Por exemplo, ExtIDMonitor. É o nome que será exibido no Azure Lighthouse. O Nome da Oferta MSP deve ser exclusivo no locatário da força de trabalho. Para monitorar vários locatários externos, use nomes diferentes.
   Descrição da Oferta Msp	Uma breve descrição da sua oferta. Por exemplo, Habilite o Azure Monitor no locatário externo.
   Gerenciado por ID de locatário	A ID do Locatário do seu locatário externo (também conhecida como ID do diretório).
   Autorizações	Especifique uma matriz JSON de objetos que inclua o locatário principalIdda força de trabalho , principalIdDisplayNamee o Azure roleDefinitionId. A principalId é a ID do objeto do grupo ou usuário que terá acesso aos recursos nesta assinatura do Azure. Para este passo a passo, especifique a ID do objeto do grupo que você registrou anteriormente no locatário externo. Para o roleDefinitionId, use o valor de função interno para a função de Colaborador, b24988ac-6180-42a0-ab88-20f7382dd24c.
   Nome Rg	O nome do grupo de recursos criado anteriormente no locatário da força de trabalho. Por exemplo, ExtIDMonitor.

   O exemplo a seguir demonstra uma matriz Authorizations com um security group.

   [
     {
       "principalId": "<Replace with group's OBJECT ID>",
       "principalIdDisplayName": "external tenant administrators",
       "roleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c"
     }
   ]
   

Depois de implantar o modelo, pode levar alguns minutos (normalmente não mais do que cinco) para que a projeção de recursos seja concluída. Você pode verificar a implantação em seu locatário =workforce e obter os detalhes da projeção de recursos. Para obter mais informações, consulte Exibir e gerenciar provedores de serviços.

Etapa 4: Configuração de locatário externo - selecione sua assinatura

Depois de implantar o modelo e aguardar alguns minutos até que a projeção de recursos seja concluída, siga estas etapas para associar sua assinatura ao locatário externo.

Nota

Nas configurações do Portal | Página Diretórios + assinaturas , certifique-se de que seus locatários externos e da força de trabalho estejam selecionados em Diretórios atuais + delegados.

Selecione a sua subscrição

1. Saia do portal do Azure e entre novamente com sua conta administrativa de locatário externo. Essa conta deve ser membro do grupo de segurança especificado anteriormente. Sair e cantar novamente permite que suas credenciais de sessão sejam atualizadas na próxima etapa.
2. Selecione o ícone Configurações na barra de ferramentas do portal.
3. Nas configurações do Portal | Página Diretórios + assinaturas, na lista Nome do diretório, localize o diretório de locatários da força de trabalho que contém a assinatura do Azure e o grupo de recursos ExtIDMonitor que você criou e selecione Alternar.
4. Verifique se você selecionou o diretório correto e se sua assinatura do Azure está listada e selecionada no filtro Assinatura padrão.

Configurar definições de diagnóstico

As configurações de diagnóstico definem para onde os logs e as métricas de um recurso devem ser enviados. Os destinos possíveis são:

• Conta de armazenamento do Azure
• Soluções de hubs de eventos
• Área de trabalho do Log Analytics

Neste exemplo, usamos o espaço de trabalho do Log Analytics para criar um painel. Siga as etapas para definir as configurações de monitoramento para os logs de atividade do locatário externo:

1. Inicie sessão no centro de administração do Microsoft Entra.

2. Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior e mude para o inquilino externo a partir do menu Diretórios + subscrições. Essa conta deve ser membro do grupo de segurança especificado anteriormente.

3. Navegue até Configurações de diagnóstico navegando até Monitoramento de identidade>& integridade.

4. Se houver configurações existentes para o recurso, você verá uma lista de configurações já configuradas. Selecione Adicionar configuração de diagnóstico para adicionar uma nova configuração ou selecione Editar configurações para editar uma configuração existente. Cada configuração não pode ter mais de um de cada um dos tipos de destino.

   

5. Dê um nome à sua configuração se ela ainda não tiver um.

6. Selecione AuditLogs e SignInLogs.

7. Selecione Enviar para o espaço de trabalho do Log Analytics e, em seguida:

   1. Em Subscrição, selecione a sua subscrição.
   2. Em Espaço de trabalho do Log Analytics, selecione o nome do espaço de trabalho criado anteriormente, como ExtIDLogAnalytics.

8. Selecione Guardar.

Nota

Pode levar até 15 minutos após a emissão de um evento para que ele apareça em um espaço de trabalho do Log Analytics. Enquanto espera, pode ser útil executar algumas ações para gerar logs. Por exemplo, você pode seguir o guia Introdução para criar algumas configurações e inscrever um usuário.

Etapa 5: Configuração do locatário da força de trabalho – visualize seus dados

Agora você pode configurar seu espaço de trabalho do Log Analytics para visualizar seus dados e configurar alertas. Você pode fazer essas configurações em seu espaço de trabalho e locatário externo.

Criar uma consulta

As consultas de log ajudam você a usar totalmente o valor dos dados coletados nos Logs do Azure Monitor. Uma linguagem de consulta poderosa permite unir dados de várias tabelas, agregar grandes conjuntos de dados e executar operações complexas com código mínimo. Praticamente qualquer pergunta pode ser respondida e a análise realizada, desde que os dados de suporte tenham sido coletados e você entenda como construir a consulta certa. Para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

1. Inicie sessão no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.

3. Na janela do espaço de trabalho do Log Analytics, selecione Logs

4. No editor de consultas, cole a seguinte consulta Kusto Query Language . Esta consulta mostra o uso da política por operação nos últimos x dias. A duração padrão é definida como 90 dias (90d). Observe que a consulta é focada apenas na operação em que um token/código é emitido pela política.

   AuditLogs
   | where TimeGenerated  > ago(90d)
   | where OperationName contains "issue"
   | extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
   | extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
   | summarize SignInCount = count() by Policy, OperationName
   | order by SignInCount desc  nulls last
   

5. Selecione Executar. Os resultados da consulta são exibidos na parte inferior da tela.

6. Para guardar a consulta para utilização posterior, selecione Guardar.

7. Preencha os seguintes dados:

   • Nome - Introduza o nome da sua consulta.
   • Salvar como - Selecione query.
   • Categoria - Selecione Log.

8. Selecione Guardar.

Você também pode alterar sua consulta para visualizar os dados usando o operador de renderização .

AuditLogs
| where TimeGenerated  > ago(90d)
| where OperationName contains "issue"
| extend  UserId=extractjson("$.[0].id",tostring(TargetResources))
| extend Policy=extractjson("$.[1].value",tostring(AdditionalDetails))
| summarize SignInCount = count() by Policy
| order by SignInCount desc  nulls last
| render  piechart

Change the data retention period (Alterar o período de retenção de dados)

Os Logs do Azure Monitor são projetados para dimensionar e dar suporte à coleta, indexação e armazenamento de grandes quantidades de dados por dia de qualquer fonte em sua empresa ou implantados no Azure. Por padrão, os logs são retidos por 30 dias, mas a duração da retenção pode ser aumentada para até dois anos. Saiba como gerenciar o uso e os custos com os Logs do Azure Monitor. Depois de selecionar o nível de preço, você pode alterar o período de retenção de dados.

Desativar a coleta de dados de monitoramento

Para parar de coletar logs no espaço de trabalho do Log Analytics, exclua as configurações de diagnóstico criadas. Continuará a incorrer em encargos pela retenção dos dados de registo que já recolheu na sua área de trabalho. Se já não precisar dos dados de monitorização que recolheu, pode eliminar a sua área de trabalho do Log Analytics e o grupo de recursos que criou para o Azure Monitor. A exclusão do espaço de trabalho do Log Analytics exclui todos os dados no espaço de trabalho e impede que você incorra em encargos adicionais de retenção de dados.

Excluir espaço de trabalho e grupo de recursos do Log Analytics

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o locatário da força de trabalho no menu Diretórios + assinaturas.
3. Escolha o grupo de recursos que contém o espaço de trabalho do Log Analytics. Este exemplo usa um grupo de recursos chamado ExtIDMonitor e um espaço de trabalho do Log Analytics chamado ExtIDLogAnalytics.
4. Exclua o espaço de trabalho do Logs Analytics.
5. Selecione o botão Excluir para excluir o grupo de recursos.

Conteúdos relacionados

• Usar logs de auditoria e revisões de acesso