Partilhar via

O que são entradas de usuário interativas no Microsoft Entra?

  • Artigo

O monitoramento e a integridade do Microsoft Entra fornecem vários tipos de logs de entrada para ajudá-lo a monitorar a integridade do seu locatário. As entradas interativas do usuário são o modo de exibição padrão no centro de administração do Microsoft Entra.

O que é um login de usuário interativo?

Os logins interativos são realizados por um usuário. Eles fornecem um fator de autenticação para o Microsoft Entra ID. Esse fator de autenticação também pode interagir com um aplicativo auxiliar, como o aplicativo Microsoft Authenticator. Os usuários podem fornecer senhas, respostas a desafios de MFA, fatores biométricos ou códigos QR para o Microsoft Entra ID ou para um aplicativo auxiliar. Esse log também inclui entradas federadas de provedores de identidade que são federados para o Microsoft Entra ID.

Captura de ecrã do registo de início de sessão interativo do utilizador.

Detalhes do registo

Tamanho do relatório: pequeno
Exemplos:

  • Um usuário fornece nome de usuário e senha na tela de entrada do Microsoft Entra.
  • Um usuário passa por um desafio SMS MFA.
  • Um usuário fornece um gesto biométrico para desbloquear seu PC Windows com o Windows Hello for Business.
  • Um usuário é federado para Microsoft Entra ID com uma asserção AD FS SAML.

Além dos campos padrão, o log de entrada interativo também mostra:

  • A localização de início de sessão
  • Se o Acesso Condicional foi aplicado

Nota

As entradas nos logs de entrada são geradas pelo sistema e não podem ser alteradas ou excluídas.

Considerações especiais

Entradas não interativas nos logs de entrada interativos

Anteriormente, algumas entradas não interativas de clientes do Microsoft Exchange eram incluídas no log de entrada interativo do usuário para melhor visibilidade. Essa maior visibilidade era necessária antes que os logs de login de usuário não interativos fossem introduzidos em novembro de 2020. No entanto, é importante notar que alguns logins não interativos, como aqueles que usam chaves FIDO2, ainda podem ser marcados como interativos devido à maneira como o sistema foi configurado antes que os logs não interativos separados fossem introduzidos. Esses logins podem exibir detalhes interativos, como tipo de credencial de cliente e informações do navegador, mesmo que sejam tecnicamente não interativos.

Entradas de passagem

O Microsoft Entra ID emite tokens para autenticação e autorização. Em algumas situações, um usuário conectado ao locatário da Contoso pode tentar acessar recursos no locatário da Fabrikam, onde não tem acesso. Um token sem autorização, chamado token de passagem, é emitido para o locatário da Fabrikam. O token de passagem não permite que o usuário acesse nenhum recurso.

Anteriormente, ao revisar os logs para essa situação, os logs de entrada para o locatário doméstico (neste cenário, Contoso) não mostravam uma tentativa de entrada porque o token não estava concedendo acesso a um recurso com declarações. O token de entrada foi usado apenas para exibir a mensagem de falha apropriada.

As tentativas de início de sessão de passagem aparecem agora nos registos de início de sessão do inquilino doméstico e em quaisquer registos de início de sessão de restrição de inquilino relevantes. Esta atualização fornece mais visibilidade sobre as tentativas de entrada de usuários e informações mais detalhadas sobre suas políticas de restrição de locatário.

A crossTenantAccessType propriedade agora mostra passthrough para diferenciar entradas de passagem e está disponível no centro de administração do Microsoft Entra e no Microsoft Graph.

Entradas de entidade de serviço de primeira parte e somente aplicativo

Os logs de entrada da entidade de serviço não incluem atividade de entrada somente de aplicativo. Esse tipo de atividade acontece quando aplicativos primários obtêm tokens para um trabalho interno da Microsoft em que não há orientação ou contexto de um usuário. Excluímos esses logs para que você não pague por logs relacionados a tokens internos da Microsoft em seu locatário.

Você pode identificar eventos do Microsoft Graph que não se correlacionam a uma entrada da entidade de serviço se estiver roteando MicrosoftGraphActivityLogs com SignInLogs o mesmo espaço de trabalho do Log Analytics. Essa integração permite cruzar a referência do token emitido para a chamada da API do Microsoft Graph com a atividade de entrada. Os UniqueTokenIdentifier logs de entrada para entrada e os SignInActivityId logs de atividade do Microsoft Graph estariam ausentes dos logs de entrada da entidade de serviço.

Acesso Condicional

Os logins que mostram Não solicitado para acesso condicional podem ser difíceis de interpretar. Se o início de sessão for interrompido, o início de sessão aparece nos registos, mas mostra Não aplicado para Acesso Condicional. Outro cenário comum é entrar no Windows Hello for Business. Este início de sessão não tem o Acesso Condicional aplicado porque o utilizador está a iniciar sessão no dispositivo, não nos recursos da nuvem protegidos pelo Acesso Condicional.

Campo TimeGenerated

Se estiver a integrar os seus registos de início de sessão com os registos do Azure Monitor e a Análise de Logs, poderá notar que o campo TimeGenerated nos registos não corresponde à hora em que o início de sessão ocorreu. Essa discrepância se deve à maneira como os logs são ingeridos no Azure Monitor. O campo TimeGenerated é a hora em que a entrada foi recebida e publicada pelo Log Analytics e não a hora em que o login ocorreu. O campo CreatedDateTime nos logs mostra a hora em que o login ocorreu.

Da mesma forma, os eventos de entrada arriscados também exibem TimeGenerated como a hora em que o evento de risco foi detetado, não quando o login ocorreu. Para encontrar a hora de início de sessão real, pode utilizar o CorrelationId para localizar o evento de início de sessão nos registos e localizar a hora de início de sessão.