Partilhar via

Tutorial: Governar e monitorar aplicativos

  • Artigo

O administrador de TI da Fabrikam adicionou e configurou um aplicativo da galeria de aplicativos do Microsoft Entra. Eles também garantiram que o acesso possa ser gerenciado e que o aplicativo seja seguro usando as informações do Tutorial: Gerenciar o acesso e a segurança do aplicativo. Eles agora precisam entender os recursos disponíveis para governar e monitorar o aplicativo.

Usando as informações neste tutorial, um administrador do aplicativo aprende a:

  • Criar uma revisão de acesso
  • Aceder aos registos de auditoria
  • Aceda aos logins
  • Enviar registos para o Azure Monitor

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma, crie uma conta gratuitamente.
  • Uma das seguintes funções: Administrador de Governança de Identidade, Administrador de Função Privilegiada, Administrador de Aplicativo na Nuvem ou Administrador de Aplicativo.
  • Uma aplicação empresarial que foi configurada no seu inquilino do Microsoft Entra.

Criar uma revisão de acesso

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

O administrador quer certificar-se de que os utilizadores ou convidados têm acesso adequado. Decidem solicitar aos utilizadores da aplicação que participem numa análise do acesso e recertifiquem ou atestem a sua necessidade de acesso. Quando a revisão de acesso estiver concluída, eles poderão fazer alterações e remover o acesso de usuários que não precisam mais dele. Para obter mais informações, consulte Gerenciar o acesso de usuários e convidados com avaliações de acesso.

Para criar uma revisão de acesso:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Revisões do Identity>>
  3. Selecione Nova revisão de acesso para criar uma nova revisão de acesso.
  4. Em Selecione o que revisar, selecione Aplicativos.
  5. Selecione + Selecionar aplicativo(s), selecione o aplicativo e escolha Selecionar.
  6. Agora você pode selecionar um escopo para a revisão. As suas opções são:
    • Somente usuários convidados - Esta opção limita a revisão de acesso apenas aos usuários convidados do Microsoft Entra B2B em seu diretório.
    • Todos os usuários - Esta opção define o escopo da revisão de acesso a todos os objetos de usuário associados ao recurso. Selecione Todos os usuários.
  7. Selecione Next: Reviews.
  8. Na seção Especificar revisores, na caixa Selecionar revisores, selecione Usuário(s) ou grupo(s) selecionado(s), selecione + Selecionar revisores e selecione a conta de usuário atribuída ao aplicativo.
  9. Na seção Especificar recorrência da revisão, especifique as seguintes seleções:
    • Duração (em dias) - Aceite o valor padrão de 3.
    • Recorrência de revisão - selecione Uma vez.
    • Data de início - Aceite a data de hoje como a data de início.
  10. Selecione Next: Settings.
  11. Na seção Configurações após a conclusão , você pode especificar o que acontece após a conclusão da revisão. Selecione Aplicar resultados automaticamente ao recurso.
  12. Selecione Seguinte: Rever + Criar.
  13. Nomeie a revisão de acesso. Opcionalmente, dê uma descrição à avaliação. O nome e a descrição são mostrados aos revisores.
  14. Reveja as informações e selecione Criar.

Iniciar a revisão de acesso

A revisão de acesso começa em poucos minutos e aparece na sua lista com um indicador do seu estado.

Por padrão, o Microsoft Entra ID envia um e-mail aos revisores logo após o início da revisão. Se você optar por não fazer com que o Microsoft Entra ID envie o e-mail, certifique-se de informar aos revisores que uma revisão de acesso está aguardando sua conclusão. Pode mostrar-lhes as instruções sobre como rever o acesso a grupos ou aplicações. Se a avaliação for para os hóspedes avaliarem o próprio acesso, mostre-lhes as instruções de como avaliar o acesso a grupos ou aplicativos.

Se você tiver atribuído hóspedes como revisores e eles não tiverem aceitado o convite para o inquilino, eles não receberão um e-mail das avaliações de acesso. Eles devem primeiro aceitar o convite antes de começarem a revisar.

Exibir o status de uma revisão de acesso

Você pode acompanhar o progresso das revisões de acesso à medida que elas são concluídas.

  1. Vá para >>Access reviews.
  2. Na lista, selecione a revisão de acesso que você criou.
  3. Na página Visão geral, verifique o progresso da revisão de acesso.

A página Resultados fornece informações sobre cada usuário sob revisão na instância, incluindo a capacidade de parar, redefinir e baixar resultados. Para saber mais, confira o artigo Concluir uma revisão de acesso de grupos e aplicativos no Microsoft Entra access reviews .

Aceder aos registos de auditoria

Os logs de auditoria do Microsoft Entra capturam uma ampla variedade de atividades em seu locatário. Esses logs fornecem informações valiosas sobre as atividades que você precisa monitorar. Para obter mais informações, consulte Logs de auditoria no Microsoft Entra ID.

Para aceder aos logs de auditoria, vá para Identity>Monitoring & health>Audit logs.

Os logs de auditoria capturam atividades que se enquadram nas seguintes categorias. Esta lista não é exaustiva. Para obter uma lista completa das categorias e atividades do log de auditoria, consulte Audit log activities.

  • Atividade de reposição de palavra-passe
  • Atividade de registro de redefinição de senha
  • Atividade de grupos de autoatendimento
  • Alterações de nome de grupo do Office365
  • Atividade de provisionamento de conta
  • Estado de substituição de palavra-passe
  • Erros de aprovisionamento de contas

Aceder aos registos de início de sessão

Os registos de início de sessão do Microsoft Entra capturam inícios de sessão interativos, não interativos, de identidade gerida e de entidade de serviço. Para obter mais informações, consulte Registos de início de sessão no Microsoft Entra ID.

Para aceder aos registos de início de sessão, vá para Identity>Monitoring & health>Sign-in logs.

Você também pode exibir informações de entrada do aplicativo na área de aplicativos corporativos. Os registos de entrada abrem os mesmos registos do Monitorização & saúde>registos de entrada, mas o filtro já está definido para a aplicação selecionada. O relatório Usage & insights também resume a atividade de entrada para o aplicativo.

Enviar registos para o Azure Monitor

Os logs de atividade do Microsoft Entra armazenam informações apenas por sete dias para o Microsoft Entra ID Free e 30 dias para o Microsoft Entra ID P1/P2. Dependendo de suas necessidades, você pode precisar de armazenamento extra para fazer backup dos dados dos registros de atividades.

Usando os logs do Azure Monitor, você pode reter os dados por mais tempo e habilitar ferramentas de análise poderosas, como visualização e alertas. Para obter mais informações sobre como integrar logs com o Azure Monitor, consulte Integrar logs do Microsoft Entra com o Azure Monitor.

Para enviar logs para o Azure Monitor, você precisa de um espaço de trabalho do Log Analytics. Depois de criado, você define as configurações de diagnóstico para integrar com o Log Analytics. Há considerações de custo associadas à integração de logs com o Azure Monitor e o Log Analytics, portanto, revise esta seção de logs de atividade do Microsoft Entra no Azure Monitor antes de continuar.

Com um espaço de trabalho do Log Analytics configurado:

  1. Selecione Configurações de diagnóstico e, em seguida, selecione Adicionar configuração de diagnóstico. Você também pode selecionar Configurações de exportação na página Logs de auditoria ou Entradas para acessar a página de configuração de definições de diagnóstico.
  2. Escolha os logs que deseja transmitir, selecione a opção Enviar para o espaço de trabalho do Log Analytics e preencha os campos.
  3. Selecione Salvar.

Após cerca de 15 minutos, verifique se os eventos são transmitidos para o espaço de trabalho do Log Analytics.

Próximos passos

Avance para o próximo artigo para saber como...

Gerir o consentimento a aplicações e avaliar pedidos de consentimento