Perguntas frequentes sobre monitoramento e integridade do Microsoft Entra

Consulte Licenciamento do Microsoft Entra ID para atualizar sua edição do Microsoft Entra.

Se você já tem dados de registro de atividades com uma licença gratuita, você pode vê-los imediatamente. Se você não tiver nenhum dado, pode levar até três dias para que os dados apareçam nos relatórios.

Se mudou recentemente para uma versão Premium (incluindo uma versão de avaliação), pode ver os dados até sete dias inicialmente. Quando os dados se acumulam, pode ver os dados dos últimos 30 dias.

A função menos privilegiada para exibir logs de auditoria e entrada é Reports Reader. Outras funções incluem Leitor de Segurança e Administrador de Segurança.

Entrar, auditar, provisionar, Proteção de ID, acesso à rede e muitos outros logs podem ser integrados ao Azure Monitor e a outras ferramentas de monitoramento e alerta. Os eventos de auditoria relacionados com B2C não estão atualmente incluídos. Para obter uma lista completa dos logs do Microsoft Entra que podem ser integrados com outros pontos de extremidade, consulte Opções de log para streaming para pontos de extremidade.

Os logs de atividades do Microsoft 365 e do Microsoft Entra compartilham muitos recursos de diretório. Se pretender uma vista completa dos registos de atividade do Microsoft 365, deve ir para o centro de administração do Microsoft 365 para obter informações do registo de atividades do Office 365. As APIs para o Microsoft 365 são descritas no artigo Microsoft 365 Management APIs .

Vários fatores determinam o número de logs que você pode baixar do centro de administração do Microsoft Entra, como o tamanho da memória do navegador, as velocidades da rede e as cargas das APIs de relatório do Microsoft Entra. Geralmente, conjuntos de dados menores que 250.000 para logs de auditoria e 100.000 para logs de entrada e provisionamento funcionam bem com o recurso de download do navegador. Dependendo do número de campos incluídos, esse número pode variar. Se você tiver problemas para concluir grandes downloads no navegador, use a API de relatório para baixar os dados ou enviar os logs para um ponto de extremidade por meio de configurações de diagnóstico.

Os filtros ativos no centro de administração do Microsoft Entra quando você inicia o download determinam o conjunto específico de logs que você pode baixar. Por exemplo, filtrar para um usuário específico no centro de administração do Microsoft Entra significa que seu download extrai logs para esse usuário específico. As colunas nos logs baixados não são alteradas. A saída contém todos os detalhes do log de auditoria ou entrada, independentemente das colunas personalizadas no centro de administração do Microsoft Entra.

Dependendo da sua licença, o Microsoft Entra ID armazena logs de atividade por entre 7 e 30 dias. Para obter mais informações, consulte Políticas de retenção de relatório do Microsoft Entra.

No momento, não há uma atividade específica nos logs de auditoria para compras ou habilitação de licenças. No entanto, você poderá correlacionar a atividade "Recurso integrado ao PIM" da categoria "Gerenciamento de recursos" à compra ou habilitação de uma licença. Esta atividade pode nem sempre estar disponível ou fornecer os detalhes exatos.

O recurso signInActivity é usado para localizar usuários inativos que não entraram por algum tempo. Ele não é atualizado quase em tempo real. Se precisar de encontrar a última atividade de início de sessão do utilizador mais rapidamente, pode utilizar os registos de início de sessão do Microsoft Entra para ver a atividade de início de sessão quase em tempo real de todos os utilizadores.

O CSV inclui logs de entrada para o tipo de entrada selecionado. Os dados representados como uma matriz aninhada na API do Microsoft Graph para logs de entrada não estão incluídos. Por exemplo, as políticas de Acesso Condicional e as informações somente de relatório não estão incluídas. Se precisar de exportar todas as informações contidas nos seus registos de início de sessão, utilize a funcionalidade Exportar Definições de Dados.

Também é importante observar que as colunas incluídas nos logs baixados não são alteradas, mesmo que você tenha personalizado as colunas no centro de administração do Microsoft Entra.

O Microsoft Entra ID pode redigir parte de um log de entrada para proteger a privacidade do usuário nos seguintes cenários:

• Durante entradas entre locatários, como quando um técnico de CSP entra em um locatário gerenciado pelo CSP.
• Quando nosso serviço não foi capaz de determinar a identidade do usuário com confiança suficiente para ter certeza de que o usuário pertence ao locatário que visualiza os logs.
• O Microsoft Entra ID elimina as Informações de Identificação Pessoal (PII) geradas por dispositivos que não pertencem ao seu inquilino para garantir os dados do cliente. As PII não se espalham além dos limites do locatário sem o consentimento do usuário e do proprietário dos dados.

Existem várias razões pelas quais as entradas de início de sessão podem ser duplicadas nos seus registos.

• Se um risco for identificado em um login, outro evento quase idêntico será publicado imediatamente depois, com risco incluído.
• Se os eventos de MFA relacionados a uma entrada forem recebidos, todos os eventos relacionados serão agregados à entrada original.
• Se a publicação de parceiros para um evento de entrada falhar, como a publicação no Kusto, um lote inteiro de eventos será repetido e publicado novamente, o que pode resultar em duplicatas.
• Os eventos de início de sessão que envolvem várias políticas de Acesso Condicional podem ser divididos em vários eventos, o que pode resultar em pelo menos dois eventos por evento de início de sessão.

O campo TimeGenerated no Log Analytics é a hora em que a entrada foi recebida e publicada pelo Log Analytics. Lembre-se de que, para que seus logs apareçam no Log Analytics, você precisa definir as configurações de diagnóstico para enviar os logs para o espaço de trabalho do Log Analytics. Esse processo leva tempo, portanto, o campo TimeGenerated pode não corresponder ao tempo real do login.

Para confirmar que a data e a hora correspondem ao início de sessão, procure o CreatedDateTime campo um pouco mais abaixo nos resultados do Log Analytics. Os AuthenticationDetails campos também podem ser expandidos para ver a hora exata do login. A hora no Log Analytics aparece em UTC, mas a hora nos logs de entrada no centro de administração do Microsoft Entra aparece na hora local, portanto, talvez seja necessário ajustar.

Os eventos de início de sessão arriscados também têm uma hora gerada por tempo diferente da hora de início de sessão real. O tempo gerado por tempo para entradas arriscadas é a hora em que o risco foi detetado, não a hora da entrada. Verifique o próprio evento de entrada arriscado para o tempo de atividade, que é o tempo real do login.

As entradas não interativas podem disparar um grande volume de eventos a cada hora, para que sejam agrupadas nos logs.

Em muitos casos, os inícios de sessão não interativos têm todas as mesmas características, exceto a data e a hora do início de sessão. Se a agregação de tempo estiver definida como 24 horas, os logs aparecerão para mostrar as entradas ao mesmo tempo. Cada uma dessas linhas agrupadas pode ser expandida para exibir o carimbo de data/hora exato.

Há várias razões pelas quais as entradas de entrada podem exibir IDs de usuário, IDs de objeto ou GUIDs no campo de nome de usuário.

• Com a autenticação sem senha, os IDs de usuário aparecem como o nome de usuário. Para confirmar esse cenário, examine os detalhes do evento de entrada em questão. O campo authenticationDetail diz passwordless.
• O utilizador autenticou-se, mas ainda não iniciou sessão. Para confirmar, há um código de erro 50058 que se correlaciona com uma interrupção.
• Se o campo username mostrar 000000-00000-0000-0000 ou algo semelhante, pode haver restrições de locatário em vigor, impedindo que o usuário entre no locatário selecionado.
• As tentativas de entrada de autenticação multifator são agregadas a várias entradas de dados, que podem levar mais tempo para serem exibidas corretamente. Os dados podem levar até duas horas para serem totalmente agregados, mas raramente levam esse tempo.

Não, em geral os erros 90025 são resolvidos por uma nova tentativa automática sem que o usuário perceba o erro. Esse erro pode ocorrer quando um subserviço interno do Microsoft Entra atinge sua permissão de repetição e não indica que seu locatário está sendo limitado. Esses erros geralmente são resolvidos pelo Microsoft Entra ID internamente. Se o utilizador não conseguir iniciar sessão devido a este erro, tentar novamente manualmente deverá resolver o problema.

Se a ID da Entidade de Serviço tiver o valor "0000000-0000-0000-0000-00000000000000000000000000000000000000000000000000-0000-0000-0000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000 O Microsoft Entra não emite mais tokens de acesso sem uma entidade de serviço do cliente, exceto para alguns aplicativos Microsoft e não Microsoft.

Se a ID da Entidade do Serviço de Recursos tiver o valor "0000000-0000-0000-0000-000000000000000000000000000000000000000000000000000000000000000000000-0000-0000-00000000000000000000000000000000000000000000000000000000000000000000000000

Atualmente, esse comportamento é permitido apenas para um número limitado de aplicativos de recursos.

Você pode consultar instâncias de autenticação sem um cliente ou recurso Service Principal em seu locatário.

• Para localizar instâncias de logs de entrada para seu locatário em que uma Entidade de Serviço do cliente está ausente, use a seguinte consulta:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Para localizar instâncias de logs de entrada para seu locatário em que uma entidade de serviço de recurso está ausente, use a seguinte consulta:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Também pode encontrar estes registos de início de sessão no centro de administração do Microsoft Entra.

• Inicie sessão no centro de administração do Microsoft Entra.
• Navegue até Monitoramento de identidade>& logs de entrada de>.
• Selecione Entradas da entidade de serviço.
• Selecione um período de tempo apropriado no campo Data (últimas 24 horas, 7 dias e assim por diante).
• Adicione um filtro e selecione ID da entidade de serviço e forneça o valor '00000000-0000-0000-0000-0000000000000' para obter instâncias de autenticação sem entidade de serviço do cliente.

Se você deseja controlar como a autenticação funciona em seu locatário para aplicativos de cliente ou recurso específicos, siga as instruções no artigo Restringir o aplicativo Microsoft Entra a um conjunto de usuários .

Alguns logins não interativos foram disponibilizados antes que os logs de entrada não interativos estivessem disponíveis na visualização pública. Essas entradas não interativas foram incluídas nos logs de entrada interativos e permaneceram nos logs de entrada interativos depois que os logs não interativos ficaram disponíveis. Os logins usando as chaves FIDO2 são um exemplo de entradas não interativas que aparecem nos logs de entrada interativos. No momento, esses logs não interativos são sempre incluídos no log de entrada interativo.

Você pode usar a API de deteções de risco da Proteção de Identidade para acessar deteções de segurança por meio do Microsoft Graph. Essa API inclui filtragem avançada e seleção de campo e padroniza as deteções de risco em um tipo para facilitar a integração em SIEMs e outras ferramentas de coleta de dados.

Pode resolver problemas de políticas de Acesso Condicional através de todos os registos de início de sessão. Reveja o estado do Acesso Condicional e analise os detalhes das políticas que se aplicaram ao início de sessão e o resultado de cada política.

Para começar:

• Inicie sessão no centro de administração do Microsoft Entra.
• Navegue até Monitoramento de identidade>& logs de entrada de>.
• Selecione o início de sessão que pretende resolver.
• Selecione a guia Acesso Condicional para exibir todas as políticas que afetaram o login e o resultado de cada política.

O status do Acesso Condicional pode ter os seguintes valores:

• Não aplicado: não havia nenhuma política de acesso condicional com o usuário e o aplicativo no escopo.
• Êxito: houve uma política de Acesso Condicional com o utilizador e a aplicação no âmbito e as políticas de Acesso Condicional foram satisfeitas com êxito.
• Falha: O início de sessão satisfez a condição de utilizador e aplicação de pelo menos uma política de Acesso Condicional e os controlos de concessão não estão satisfeitos ou estão definidos para bloquear o acesso.

Uma política de Acesso Condicional pode ter os seguintes resultados:

• Sucesso: A política foi cumprida com sucesso.
• Fracasso: A política não foi satisfeita.
• Não aplicado: As condições da apólice podem não ter sido cumpridas.
• Não habilitado: a política pode estar em um estado desativado.

O nome da política no registo de início de sessão baseia-se no nome da política de Acesso Condicional no momento do início de sessão. O nome pode ser inconsistente com o nome da política no Acesso Condicional se você atualizou o nome da política após a entrada.

Atualmente, o log de entrada pode não mostrar resultados precisos para cenários do Exchange ActiveSync quando o Acesso Condicional é aplicado. Pode haver casos em que o resultado de entrada no relatório mostra uma entrada bem-sucedida, mas a entrada realmente falhou devido a uma política.

As políticas de Acesso Condicional não se aplicam ao Início de Sessão do Windows ou ao Windows Hello para Empresas. As políticas de Acesso Condicional protegem as tentativas de início de sessão em recursos na nuvem, não o processo de início de sessão do Windows.

Procure a referência da API para ver como você pode usar as APIs para acessar logs de atividades. Este ponto de extremidade tem dois relatórios (Auditoria e Entradas) que fornecem todos os dados que você obteve no ponto de extremidade da API antiga. Este novo ponto de extremidade também tem um relatório de entradas com a licença Microsoft Entra ID P1 ou P2 que você pode usar para obter o uso do aplicativo, o uso do dispositivo e as informações de entrada do usuário.

Você pode usar a API de deteções de risco da Proteção de Identidade para acessar deteções de segurança por meio do Microsoft Graph. Este novo formato dá maior flexibilidade na forma como pode consultar dados. O formato fornece filtragem avançada, seleção de campo e padroniza as deteções de risco em um tipo para facilitar a integração em SIEMs e outras ferramentas de coleta de dados. Como os dados estão em um formato diferente, não é possível substituir uma nova consulta por suas consultas antigas. No entanto, a nova API usa o Microsoft Graph, que é o padrão da Microsoft para APIs como Microsoft 365 ou Microsoft Entra ID. Portanto, o trabalho necessário pode estender seus investimentos atuais no Microsoft Graph ou ajudá-lo a iniciar sua transição para essa nova plataforma padrão.

Talvez seja necessário entrar no Microsoft Graph separadamente do centro de administração do Microsoft Entra. Selecione o ícone do seu perfil no canto superior direito e inicie sessão no diretório direito. Pode estar a tentar executar uma consulta para a qual não tem permissões. Selecione Modificar permissões e selecione o botão Consentimento . Siga as instruções de início de sessão.

Sempre que um token é usado para chamar um ponto de extremidade do Microsoft Graph, o MicrosoftGraphActivityLogs é atualizado com essa chamada. Algumas dessas chamadas são chamadas primárias, somente de aplicativo, que não são publicadas nos logs de entrada da Entidade de Serviço. Quando um MicrosoftGraphActivityLogs mostra um uniqueTokenIdentifier que você não pode localizar nos logs de entrada, o identificador de token está fazendo referência a um token somente de aplicativo primário.

Se o serviço detetar atividade relacionada a essa recomendação para algo marcado como "concluído", ele voltará automaticamente para "ativo".