Como personalizar e filtrar registros de atividades de identidade

Os logs de entrada são uma ferramenta comumente usada para solucionar problemas de acesso do usuário e investigar atividades de entrada arriscadas. Os logs de auditoria coletam todos os eventos registrados na ID do Microsoft Entra e podem ser usados para investigar alterações em seu ambiente. Há mais de 30 colunas que você pode escolher para personalizar sua exibição dos logs de entrada no centro de administração do Microsoft Entra. Os logs de auditoria e os logs de provisionamento também podem ser personalizados e filtrados de acordo com suas necessidades.

Este artigo mostra como personalizar as colunas e, em seguida, filtrar os logs para encontrar as informações de que você precisa com mais eficiência.

Pré-requisitos

• Um locatário do Microsoft Entra em funcionamento com a licença apropriada do Microsoft Entra associada a ele.
  • Para obter uma lista completa dos requisitos de licença, consulte Monitoramento e licenciamento de integridade do Microsoft Entra.
• O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de atividades.
  • Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.

Como acessar os logs de atividades no centro de administração do Microsoft Entra

Pode sempre aceder ao seu próprio histórico de início de sessão em https://mysignins.microsoft.com. Também pode aceder aos registos de início de sessão a partir de Utilizadores e aplicações empresariais no Microsoft Entra ID.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
2. Navegue até Monitoramento de identidade>& integridade>Logs/de auditoria Logs/de entrada Logs de provisionamento.

Registos de auditoria

Com as informações nos logs de auditoria do Microsoft Entra, você pode acessar todos os registros de atividades do sistema para fins de conformidade. Os logs de auditoria podem ser acessados na seção Monitoramento e integridade do Microsoft Entra ID, onde você pode classificar e filtrar cada categoria e atividade. Também pode aceder aos registos de auditoria na área do centro de administração do serviço que está a investigar.

Por exemplo, se estiver a analisar alterações nos grupos do Microsoft Entra, pode aceder aos registos de Auditoria a partir dos Grupos de ID>do Microsoft Entra. Quando você acessa os logs de auditoria do serviço, o filtro é ajustado automaticamente de acordo com o serviço.

Personalizar o layout dos logs de auditoria

Você pode personalizar as colunas nos logs de auditoria para exibir apenas as informações necessárias. As colunas Serviço, Categoria e Atividade estão relacionadas entre si, portanto, essas colunas devem estar sempre visíveis.

Filtrar os logs de auditoria

Quando você filtra os logs por Serviço, os detalhes da Categoria e da Atividade são alterados automaticamente. Em alguns casos, pode haver apenas uma Categoria ou Atividade. Para obter uma tabela detalhada de todas as combinações potenciais desses detalhes, consulte Atividades de auditoria.

• Serviço: o padrão é todos os serviços disponíveis, mas você pode filtrar a lista para um ou mais selecionando uma opção na lista suspensa.

• Categoria: o padrão é para todas as categorias, mas pode ser filtrado para exibir a categoria de atividade, como alterar uma política ou ativar uma função qualificada do Microsoft Entra.

• Atividade: com base na seleção de categoria e tipo de recurso de atividade que você faz. Pode selecionar uma atividade específica que queira ver ou selecionar todas.

  Você pode obter a lista de todas as atividades de auditoria usando a API do Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Status: Permite que você analise o resultado com base em se a atividade foi um sucesso ou fracasso.

• Destino: Permite pesquisar o alvo ou destinatário de uma atividade. Pesquise pelas primeiras letras de um nome ou nome principal do usuário (UPN). O nome do destino e o UPN diferenciam maiúsculas de minúsculas.

• Iniciado por: Permite pesquisar por quem iniciou a atividade usando as primeiras letras do seu nome ou UPN. O nome e o UPN diferenciam maiúsculas de minúsculas.

• Intervalo de datas: Permite definir um período de tempo para os dados retornados. Você pode pesquisar os últimos 7 dias, 24 horas ou um intervalo personalizado. Quando selecionar um período de tempo personalizado, pode configurar uma hora de início e uma hora de fim.

Registos de início de sessão

Na página de logs de entrada, você pode alternar entre quatro tipos de log de entrada.

• Entradas interativas do usuário: entradas em que um usuário fornece um fator de autenticação, como uma senha, uma resposta por meio de um aplicativo MFA, um fator biométrico ou um código QR.

• Entradas de usuário não interativas: entradas realizadas por um cliente em nome de um usuário. Estes inícios de sessão não exigem qualquer interação ou fator de autenticação por parte do utilizador. Por exemplo, a autenticação e a autorização com tokens de acesso e de atualização que não exigem que um utilizador introduza credenciais.

• Entradas da entidade de serviço: entradas de aplicativos e entidades de serviço que não envolvem nenhum usuário. Nesses logins, o aplicativo ou serviço fornece uma credencial em seu próprio nome para autenticar ou acessar recursos.

• Identidades gerenciadas para entradas de recursos do Azure: entradas por recursos do Azure que têm segredos gerenciados pelo Azure. Para obter mais informações, veja O que são identidades geridas para os recursos do Azure?.

Personalizar o layout dos logs de entrada

Você pode personalizar as colunas para o log de entrada interativo do usuário usando mais de 30 opções de coluna. Para visualizar o registo de início de sessão de forma mais eficaz, passe alguns momentos a personalizar a vista de acordo com as suas necessidades.

1. Selecione Colunas no menu na parte superior do log.
2. Selecione as colunas que deseja visualizar e selecione o botão Salvar na parte inferior da janela.

Filtrar os registos de início de sessão

Filtrar os logs de entrada é uma maneira útil de localizar rapidamente logs que correspondem a um cenário específico. Por exemplo, você pode filtrar a lista para exibir somente entradas que ocorreram em um local geográfico específico, de um sistema operacional específico ou de um tipo específico de credencial.

Algumas opções de filtro solicitam que você selecione mais opções. Siga as instruções para fazer a seleção necessária para o filtro. Você pode adicionar vários filtros.

1. Selecione o botão Adicionar filtros , escolha uma opção de filtro e selecione Aplicar.

   

2. Insira um detalhe específico, como um ID de solicitação, ou selecione outra opção de filtro.

   

Você pode filtrar em vários detalhes. A tabela a seguir descreve alguns filtros comumente usados. Nem todas as opções de filtro são descritas.

Filtro	Description
ID do Pedido	Identificador exclusivo para uma solicitação de entrada
ID de Correlação	Identificador exclusivo para todos os pedidos de início de sessão que fazem parte de uma tentativa de início de sessão único
User	O nome principal do usuário (UPN) do usuário
Aplicação	A aplicação visada pelo pedido de início de sessão
Status	As opções são Sucesso, Falha e Interrupção
Recurso	O nome do serviço utilizado para o início de sessão
Endereço IP	O endereço IP do cliente utilizado para o início de sessão
Acesso Condicional	As opções são Não aplicadas, Êxito e Falha

Agora que sua tabela de logs de entrada está formatada para suas necessidades, você pode analisar os dados com mais eficiência. Uma análise mais aprofundada e a retenção de dados de início de sessão podem ser realizadas exportando os registos para outras ferramentas.

Personalizar as colunas e ajustar o filtro ajuda a examinar logs com características semelhantes. Para ver os detalhes de um início de sessão, selecione uma linha na tabela para abrir o painel Detalhes da atividade. Há várias abas no painel para explorar. Para obter mais informações, consulte Detalhes da atividade do log de entrada.

Filtro de aplicativo cliente

Ao rever a origem de um início de sessão, poderá ter de utilizar o filtro da aplicação Cliente. O aplicativo cliente tem duas subcategorias: Clientes de autenticação moderna e Clientes de autenticação herdados. Os clientes de autenticação moderna têm mais duas subcategorias: Navegador e aplicativos móveis e clientes de desktop. Há várias subcategorias para clientes de autenticação herdada, que são definidas na tabela de detalhes do cliente de autenticação herdada.

Os inícios de sessão no browser incluem todas as tentativas de início de sessão a partir de browsers. Quando visualiza os detalhes de um início de sessão a partir de um browser, o separador Informações básicas mostra Aplicação cliente: Browser.

Na guia Informações do dispositivo , Navegador mostra os detalhes do navegador da Web. O tipo e a versão do navegador estão listados, mas, em alguns casos, o nome do navegador e a versão não estão disponíveis. Você pode ver algo como Rich Client 4.0.0.0.

Detalhes do cliente de autenticação herdado

A tabela a seguir fornece os detalhes para cada uma das opções do cliente de autenticação herdado.

Nome	Descrição
SMTP autenticado	Usado por clientes POP e IMAP para enviar mensagens de e-mail.
Descoberta automática	Usado por clientes Outlook e EAS para localizar e se conectar a caixas de correio no Exchange Online.
Exchange ActiveSync	Este filtro mostra todas as tentativas de início de sessão em que o protocolo EAS foi tentado.
Exchange ActiveSync	Mostra todas as tentativas de entrada de usuários com aplicativos cliente usando o Exchange ActiveSync para se conectar ao Exchange Online
Exchange Online PowerShell	Usado para se conectar ao Exchange Online com o PowerShell remoto. Se você bloquear a autenticação básica para o PowerShell do Exchange Online, precisará usar o módulo PowerShell do Exchange Online para se conectar. Para obter instruções, consulte Conectar-se ao PowerShell do Exchange Online usando a autenticação multifator.
Serviços Web Exchange	Uma interface de programação usada pelo Outlook, Outlook para Mac e aplicativos que não são da Microsoft.
IMAP4	Um cliente de email herdado usando IMAP para recuperar e-mails.
MAPI sobre HTTP	Usado pelo Outlook 2010 e posterior.
Catálogo de Endereços Offline	Uma cópia das coleções de lista de endereços que são baixadas e usadas pelo Outlook.
Outlook em Qualquer Lugar (RPC sobre HTTP)	Usado pelo Outlook 2016 e versões anteriores.
Serviço Outlook	Utilizado pela aplicação Correio e Calendário para Windows 10.
POP3	Um cliente de email herdado usando POP3 para recuperar e-mails.
Serviços Web de relatórios	Usado para recuperar dados de relatório no Exchange Online.
Outros clientes	Mostra todas as tentativas de entrada de usuários em que o aplicativo cliente não está incluído ou desconhecido.

Logs de provisionamento

Para visualizar o log de provisionamento de forma mais eficaz, passe alguns momentos personalizando a exibição de acordo com suas necessidades. Você pode especificar quais colunas incluir e filtrar os dados para restringir as coisas.

Personalizar o esquema

O log de provisionamento tem uma exibição padrão, mas você pode personalizar colunas.

1. Selecione Colunas no menu na parte superior do log.
2. Selecione as colunas que deseja visualizar e selecione o botão Salvar na parte inferior da janela.

Filtrar os resultados

Quando você filtra os dados de provisionamento, alguns valores de filtro são preenchidos dinamicamente com base no seu locatário. Por exemplo, se você não tiver nenhum evento "criar" em seu locatário, a opção = Criar filtro não estará disponível.

O filtro Identidade permite-lhe especificar o nome ou a identidade que lhe interessa. Essa identidade pode ser um usuário, grupo, função ou outro objeto.

Você pode pesquisar pelo nome ou ID do objeto. O ID varia de acordo com o cenário.

• Se você estiver provisionando um objeto da ID do Microsoft Entra para o Salesforce, a ID de origem será a ID do objeto do usuário na ID do Microsoft Entra. O ID de destino é o ID do usuário no Salesforce.
• Se você estiver provisionando do Workday para o ID do Microsoft Entra, o ID de origem será o ID do funcionário do trabalhador do Workday. O ID de destino é o ID do usuário no Microsoft Entra ID.
• Se você estiver provisionando usuários para sincronização entre locatários, a ID de origem será a ID do usuário no locatário de origem. O ID de destino é o ID do usuário no locatário de destino.

Nota

O nome do usuário pode nem sempre estar presente na coluna Identidade . Haverá sempre um documento de identificação.

O filtro Data permite-lhe definir um período de tempo para os dados devolvidos. Os valores possíveis são:

• Um mês
• Sete dias
• 30 dias
• 24 horas
• Intervalo de tempo personalizado (configurar uma data de início e uma data de término)

O filtro Status permite que você selecione:

• Todos
• Com êxito
• Falha
• Omitida

O filtro Ação permite filtrar estas ações:

• Criar
• Atualizar
• Delete
• Desativar
• Outro

Além dos filtros do modo de exibição padrão, você pode definir os seguintes filtros.

• ID do trabalho: um ID de trabalho exclusivo é associado a cada aplicativo para o qual você habilitou o provisionamento.

• ID do ciclo: o ID do ciclo identifica exclusivamente o ciclo de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para procurar o ciclo em que esse evento ocorreu.

• ID de alteração: a ID de alteração é um identificador exclusivo para o evento de provisionamento. Você pode compartilhar essa ID com o suporte ao produto para procurar o evento de provisionamento.

• Sistema de origem: você pode especificar de onde a identidade está sendo provisionada. Por exemplo, quando você está provisionando um objeto do Microsoft Entra ID para ServiceNow, o sistema de origem é o Microsoft Entra ID.

• Sistema de destino: você pode especificar para onde a identidade está sendo provisionada. Por exemplo, quando você está provisionando um objeto do Microsoft Entra ID para ServiceNow, o sistema de destino é ServiceNow.

• Aplicativo: Você pode mostrar apenas registros de aplicativos com um nome de exibição ou ID de objeto que contenha uma cadeia de caracteres específica. Para sincronização entre locatários, use a ID do objeto da configuração e não a ID do aplicativo.

Conteúdos relacionados

• Analisar um erro de início de sessão
• Resolução de problemas de erros de início de sessão
• Explore todas as categorias e atividades do log de auditoria