Exibir detalhes do Acesso Condicional aplicado nos logs de atividades do Microsoft Entra

Com as políticas de Acesso Condicional, você pode controlar como seus usuários obtêm acesso aos recursos do Azure e do Microsoft Entra. Como administrador de locatário, você precisa ser capaz de determinar o efeito que suas políticas de Acesso Condicional têm sobre as entradas em seu locatário, para que possa tomar medidas, se necessário. Também pode ser necessário exibir logs de auditoria para alterações recentes nas políticas de Acesso Condicional.

Este artigo explica como exibir as políticas de Acesso Condicional aplicadas nos logs de atividades do Microsoft Entra.

Pré-requisitos

Para ver as políticas de Acesso Condicional aplicadas nos logs, os administradores devem ter permissões para exibir os logs e as políticas. A função interna menos privilegiada que concede ambas as permissões é o Leitor de Segurança. Como prática recomendada, você deve adicionar a função Leitor de Segurança às contas de administrador relacionadas.

As seguintes funções internas concedem permissões para ler políticas de Acesso Condicional:

• Leitor de Segurança
• Administrador de Segurança
• Administrador de Acesso Condicional

As seguintes funções internas concedem permissão para exibir logs de atividades:

• Leitor de Relatórios
• Leitor de Segurança
• Administrador de Segurança

Permissões

Se você usar um aplicativo cliente ou o módulo do Microsoft Graph PowerShell para extrair logs do Microsoft Graph, seu aplicativo precisará de permissões para receber o appliedConditionalAccessPolicy recurso do Microsoft Graph. Como prática recomendada, atribua Policy.Read.ConditionalAccess porque é a permissão menos privilegiada.

As permissões a seguir permitem que um aplicativo cliente acesse os logs de atividade e quaisquer políticas de Acesso Condicional aplicadas nos logs por meio do Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Para usar o módulo do Microsoft Graph PowerShell, você também precisa das seguintes permissões menos privilegiadas com o acesso necessário:

• Para consentir com as permissões necessárias: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Para visualizar os logs de entrada: Get-MgAuditLogSignIn
• Para exibir os logs de auditoria: Get-MgAuditLogDirectoryAudit

Para obter mais informações, consulte Get-MgAuditLogSignIn e Get-MgAuditLogDirectoryAudit.

Acesso condicional e cenários de log de entrada

Como administrador do Microsoft Entra, você pode usar os logs de entrada para:

• Resolução de problemas de início de sessão.
• Verifique o desempenho do recurso.
• Avalie a segurança de um inquilino.

Alguns cenários exigem que você entenda como suas políticas de Acesso Condicional foram aplicadas a um evento de entrada. Exemplos comuns incluem:

• Administradores de helpdesk que precisam examinar as políticas de Acesso Condicional aplicadas para entender se uma política é a causa raiz de um tíquete aberto por um usuário.
• Administradores de locatários que precisam verificar se as políticas de Acesso Condicional têm o efeito pretendido nos usuários de um locatário.

Você pode acessar os logs de entrada usando o centro de administração do Microsoft Entra, o portal do Azure, o Microsoft Graph e o PowerShell.

Como exibir políticas de Acesso Condicional

Centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Os detalhes da atividade dos logs de entrada contêm várias guias. A guia Acesso Condicional lista as políticas de Acesso Condicional aplicadas a esse evento de entrada.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
2. Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
3. Selecione um item de início de sessão na tabela para ver o painel de detalhes de início de sessão.
4. Selecione a guia Acesso condicional.

Se não vir as políticas de Acesso Condicional, confirme que está a utilizar uma função que fornece acesso aos registos de início de sessão e às políticas de Acesso Condicional.

Microsoft Graph API

Siga estas instruções para exibir políticas de Acesso Condicional e detalhes de log usando a API do Microsoft Graph no Graph Explorer.

1. Inicie sessão no Graph Explorer.

2. Selecione GET como o método HTTP na lista suspensa.

3. Selecione a versão da API para v1.0.

4. Para obter tentativas de início de sessão em que o Acesso Condicional falhou durante um período de tempo específico, adicione a seguinte consulta e selecione Executar consulta.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Para exibir uma política de Acesso Condicional específica, adicione a ID da política.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Para obter mais informações, veja os seguintes recursos:

• tipo de recurso conditionalAccessPolicy
• tipo de recurso signin

Microsoft Graph PowerShell

Siga estas etapas para listar as funções do Microsoft Entra usando o PowerShell.

1. Abra uma janela do PowerShell. Se necessário, use o Install-Module para instalar o Microsoft Graph PowerShell. Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Em uma janela do PowerShell, use o Connect-MgGraph para entrar no seu locatário.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Use Get-MgIdentityConditionalAccessPolicy para obter todas as políticas de Acesso Condicional.

   Get-MgIdentityConditionalAccessPolicy
   

4. Para formatar os resultados como uma lista, use o seguinte comando:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

O comando a seguir pode ser usado para exportar logs de entrada para um arquivo CSV, formatado para realçar detalhes relacionados ao Acesso Condicional.

1. Defina o caminho do arquivo CSV de saída.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Recupere os logs, filtrados a partir de uma data especificada, e exporte-os para o arquivo CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Acesso condicional e cenários de log de auditoria

Os logs de auditoria do Microsoft Entra contêm informações sobre alterações nas políticas de Acesso Condicional. Você pode usar os logs de auditoria para descobrir quando uma política foi criada, atualizada ou excluída.

Para ver quando uma política de Acesso Condicional existente foi atualizada:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
2. Navegue até Monitoramento de identidade>& logs de auditoria de integridade>.
3. Defina o filtro Serviço como Acesso Condicional.
4. Defina o filtro Categoria como Política.
5. Defina o filtro Atividade como Atualizar política de acesso condicional.

Talvez seja necessário ajustar a data para ver as alterações que está procurando. A coluna Destino mostra o nome da política de Acesso Condicional que foi atualizada.

Para comparar a política atual com a política anterior, selecione a entrada do log de auditoria e, em seguida, selecione a guia Propriedades modificadas .

Conteúdos relacionados

• Resolução de problemas de início de sessão relacionados com o Acesso Condicional
• Reveja as perguntas frequentes sobre os registos de início de sessão do Acesso Condicional
• Saiba mais sobre os registos de início de sessão