Partilhar via

Usar logs de auditoria para solucionar problemas de alterações na política de Acesso Condicional

  • Artigo

O registo de auditoria do Microsoft Entra é uma fonte valiosa de informações quando quiser resolver problemas sobre o porquê e como as alterações da política de Acesso Condicional ocorreram no seu ambiente.

Os dados do registo de auditoria são mantidos apenas por 30 dias por predefinição, o que pode não ser tempo suficiente para todas as organizações. As organizações podem armazenar dados por períodos mais longos alterando as configurações de diagnóstico no Microsoft Entra ID para:

  • Enviar dados para um espaço de trabalho do Log Analytics
  • Arquivar dados em uma conta de armazenamento
  • Transmitir dados para os Hubs de Eventos
  • Enviar dados para uma solução de parceiro

Encontre essas opções em Monitoramento de identidade>& configurações>de diagnóstico de integridade>Editar configuração. Se você não tiver uma configuração de diagnóstico, siga as instruções no artigo Criar configurações de diagnóstico para enviar logs e métricas da plataforma para destinos diferentes para criar um.

Utilizar o registo de auditoria

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Navegue até Monitoramento de identidade>& logs de auditoria de integridade>.

  3. Selecione o intervalo de datas que deseja consultar.

  4. No filtro Serviço, selecione Acesso Condicional e selecione o botão Aplicar.

    Os logs de auditoria exibem todas as atividades, por padrão. Abra o filtro Atividade para restringir as atividades. Para obter uma lista completa das atividades do log de auditoria para Acesso Condicional, consulte as atividades do log de auditoria.

  5. Para visualizar os detalhes, selecione uma linha. A guia Propriedades modificadas lista os valores JSON modificados para a atividade de auditoria selecionada.

Entrada de log de auditoria mostrando valores JSON antigos e novos para a política de Acesso Condicional

Utilizar o Log Analytics

O Log Analytics permite que as organizações consultem dados usando consultas internas ou consultas Kusto criadas personalizadas, para obter mais informações, consulte Introdução às consultas de log no Azure Monitor.

Consulta do Log Analytics para atualizações das políticas de Acesso Condicional mostrando a localização do valor novo e antigo

Uma vez ativado, encontre acesso ao Log Analytics no Identity>Monitoring & health>Log Analytics. A tabela de maior interesse para os administradores de Acesso Condicional é AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

As alterações podem ser encontradas em TargetResources>modifiedProperties.

Leitura dos valores

Os valores antigos e novos do log de auditoria e do Log Analytics estão no formato JSON. Compare os dois valores para ver as alterações na política.

Exemplo de política antiga:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Exemplo de política atualizado:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

No exemplo anterior, a política atualizada não inclui termos de uso em controles de concessão.

Conteúdos relacionados