Saiba mais sobre os detalhes da atividade de registo de início de sessão

O Microsoft Entra registra todas as entradas em um locatário do Azure para fins de conformidade. Como administrador de TI, você precisa saber o que significam os valores nos logs de entrada para poder interpretar os valores de log corretamente.

• Saiba mais sobre os registos de início de sessão
• Personalizar e filtrar os registos de início de sessão

Este artigo explica os valores encontrados nos logs de entrada. Esses valores fornecem informações valiosas para solucionar erros de entrada.

Componentes da atividade de início de sessão

No Microsoft Entra ID, uma atividade de entrada é feita de três componentes principais:

• Quem?: A identidade (Utilizador) que inicia sessão.
• Como: O cliente (Aplicativo) usado para o acesso.
• O quê: O destino (Recurso) acessado pela identidade.

Concentre-se nesses três componentes ao investigar um login para restringir sua pesquisa para não olhar para todos os detalhes. Dentro de cada um desses três componentes, existem identificadores relacionados que podem fornecer mais informações. Cada entrada também contém identificadores exclusivos que correlacionam a tentativa de entrada às atividades associadas.

Quem

Os seguintes detalhes estão associados ao usuário:

• User
• Username
• ID de Utilizador
• Identificador de início de sessão
• Tipo de utilizador

Como

A forma como o utilizador inicia sessão pode ser identificada através da observação dos seguintes detalhes:

• Requisito de autenticação
• Aplicação cliente
• Tipo de credencial do cliente
• Avaliação contínua de acesso

O quê

Você pode identificar o recurso que o usuário está tentando acessar usando os seguintes detalhes:

• Aplicação
• ID da aplicação
• Recurso
• ID do Recurso
• ID do locatário do recurso
• ID da entidade de serviço de recursos

Identificadores únicos

Os logs de entrada também contêm vários identificadores exclusivos que fornecem mais informações sobre a tentativa de entrada.

• ID de correlação: A ID de correlação agrupa entradas da mesma sessão de entrada. O valor é baseado em parâmetros passados por um cliente, portanto, o Microsoft Entra ID não pode garantir sua precisão.
• ID da solicitação: um identificador que corresponde a um token emitido. Se você estiver procurando por entradas com um token específico, primeiro precisará extrair o ID da solicitação do token.
• Identificador de token exclusivo: um identificador exclusivo para o token passado durante o login. Esse identificador é usado para correlacionar o login com a solicitação de token.

Detalhes da atividade de início de sessão

Cada tentativa de entrada contém detalhes associados a esses três componentes principais. Os detalhes são organizados em várias guias, com base no tipo de login.

Informações básicas

A guia Informações básicas contém a maior parte dos detalhes associados a uma tentativa de entrada. Anote os identificadores exclusivos, pois eles podem ser necessários para solucionar problemas de entrada. Você pode seguir o padrão quem, como, que usando os detalhes na guia Informações básicas.

Também pode iniciar o Diagnóstico de Início de Sessão a partir do separador Informações básicas. Para obter mais informações, consulte Como usar o diagnóstico de entrada.

Códigos de erro de início de sessão

Se um login falhar, você poderá obter mais informações sobre o motivo na guia Informações básicas do item de log relacionado. O código de erro e o motivo da falha associado aparecem nos detalhes. Para obter mais informações, consulte Como solucionar erros de entrada.

Localização e Dispositivo

As guias Informações de localização e dispositivo exibem informações gerais sobre a localização e o endereço IP do usuário. A guia Informações do dispositivo fornece detalhes sobre o navegador e o sistema operacional usados para entrar. Esta guia também fornece detalhes sobre se o dispositivo é compatível, gerenciado ou se o Microsoft Entra ingressou híbrido.

Detalhes de autenticação

A guia Detalhes de Autenticação nos detalhes de um log de entrada fornece as seguintes informações para cada tentativa de autenticação:

• Uma lista de políticas de autenticação aplicadas, como Acesso Condicional ou Padrões de Segurança.
• A sequência de métodos de autenticação usados para entrar.
• Se a tentativa de autenticação foi bem-sucedida e o motivo.

Estas informações permitem-lhe resolver problemas em cada passo do início de sessão de um utilizador. Use estes detalhes para rastrear:

• O volume de entradas protegido pelo MFA.
• Taxas de uso e sucesso para cada método de autenticação.
• Utilização de métodos de autenticação sem palavra-passe, tais como Passwordless Phone Sign-in e FIDO2.
• Com que frequência os requisitos de autenticação são atendidos pelas declarações de token, como quando os usuários não são solicitados interativamente a inserir uma senha ou inserir uma OTP por SMS.

Acesso Condicional

Se as políticas de Acesso Condicional (CA) estiverem em uso em seu locatário, você poderá ver se essas políticas foram aplicadas à tentativa de entrada. Todas as políticas que podem ser aplicadas ao início de sessão são listadas. O resultado final da política é exibido para que você possa ver rapidamente se ela afetou a tentativa de entrada.

• Êxito: A política de AC foi aplicada com êxito à tentativa de início de sessão.
• Falha: A política de AC foi aplicada à tentativa de início de sessão, mas a tentativa de início de sessão falhou.
• Não aplicado: o início de sessão não correspondeu aos critérios para a política a aplicar.
• Desativado: a política foi desativada no momento da tentativa de entrada.

Só de relatório

Como as políticas de Acesso Condicional (CA) podem alterar a experiência de entrada para seus usuários e potencialmente interromper seus processos, é uma boa ideia ter certeza de que sua política está configurada corretamente. Com o modo Somente relatório, você pode configurar uma política e avaliar seu efeito potencial antes de ativá-la.

Esta guia dos logs de entrada exibe os resultados das tentativas de entrada que estavam no escopo da política. Para obter mais informações, consulte o artigo O que é o modo somente relatório de Acesso Condicional?

Detalhes e considerações de início de sessão

Os cenários a seguir são importantes a serem considerados ao revisar os logs de entrada.

• Endereço IP e localização: Não existe uma ligação definitiva entre um endereço IP e o local onde o computador com esse endereço está fisicamente localizado. Provedores móveis e VPNs emitem endereços IP de pools centrais que geralmente estão longe de onde o dispositivo cliente é usado. Atualmente, converter endereços IP numa localização física é um melhor esforço com base em rastreios, dados de registo, pesquisas inversas e outras informações.

• Data e hora: A data e a hora de uma tentativa de início de sessão estão localizadas no fuso horário da pessoa com sessão iniciada no centro de administração do Microsoft Entra, não do utilizador que tentou iniciar sessão.

• Acesso Condicional:

  • Not applied: Nenhuma política aplicada ao usuário e ao aplicativo durante o login.
  • Success: Uma ou mais políticas de Acesso Condicional aplicadas ou avaliadas para o usuário e o aplicativo (mas não necessariamente as outras condições) durante o login. Embora uma política de Acesso Condicional possa não se aplicar, se tiver sido avaliada, o status de Acesso Condicional mostrará Êxito.
  • Failure: O início de sessão satisfez a condição de utilizador e aplicação de pelo menos uma política de Acesso Condicional e os controlos de concessão não estão satisfeitos ou estão definidos para bloquear o acesso.
  • O Acesso Condicional não se aplica ao início de sessão do Windows, como o Windows Hello para Empresas. O Acesso Condicional protege as tentativas de início de sessão em recursos na nuvem, não o processo de início de sessão do dispositivo.

• Avaliação contínua de acesso: mostra se a avaliação contínua de acesso (CAE) foi aplicada ao evento de entrada.

  • Existem vários pedidos de início de sessão para cada autenticação, que podem aparecer nos separadores interativos ou não interativos.
  • O CAE só é exibido como verdadeiro para uma das solicitações e pode aparecer na guia interativa ou na guia não interativa.
  • Para obter mais informações, consulte Monitorar e solucionar problemas de entradas com avaliação de acesso contínuo no Microsoft Entra ID.

• Tipo de acesso entre locatários: descreve o tipo de acesso entre locatários usado pelo ator para acessar o recurso. Os valores possíveis são:

  • none - Um evento de entrada que não cruzou os limites de um locatário do Microsoft Entra.
  • b2bCollaboration- Um login entre locatários realizado por um usuário convidado usando a Colaboração B2B.
  • b2bDirectConnect - Um login de locatário cruzado realizado por um B2B.
  • microsoftSupport- Uma entrada entre locatários executada por um agente de suporte da Microsoft em um locatário externo da Microsoft.
  • serviceProvider - Um início de sessão entre inquilinos realizado por um Cloud Service Provider (CSP) ou administrador semelhante em nome do cliente desse CSP num inquilino.
  • unknownFutureValue - Um valor sentinela usado pelo MS Graph para ajudar os clientes a lidar com alterações nas listas de enum. Para obter mais informações, consulte Práticas recomendadas para trabalhar com o Microsoft Graph.

• Inquilino: o registo de início de sessão controla dois identificadores de inquilino que são relevantes em cenários entre inquilinos:

  • Inquilino doméstico – O inquilino que possui a identidade do usuário. O Microsoft Entra ID rastreia a ID e o nome.
  • Locatário de recurso – O locatário que possui o recurso (de destino).
  • Devido a compromissos de privacidade, o Microsoft Entra ID não preenche o nome do locatário doméstico durante cenários entre locatários.
  • Para descobrir como os usuários fora do seu locatário estão acessando seus recursos, selecione todas as entradas em que o locatário doméstico não corresponde ao locatário do recurso.

• Autenticação multifator: quando um usuário entra com MFA, vários eventos de MFA separados estão realmente ocorrendo. Por exemplo, se um usuário inserir o código de validação errado ou não responder a tempo, mais eventos MFA serão enviados para refletir o status mais recente da tentativa de entrada. Esses eventos de entrada aparecem como um item de linha nos logs de entrada do Microsoft Entra. Esse mesmo evento de entrada no Azure Monitor, no entanto, aparece como vários itens de linha. Estes eventos têm todos o mesmo correlationId.

• Requisito de autenticação: mostra o nível mais alto de autenticação necessário em todas as etapas de entrada para que o login seja bem-sucedido.

  • Graph API suporta $filter (eq startsWith e apenas operadores).

• Tipos de evento de entrada: indica a categoria do logon que o evento representa.

  • A categoria de entrada do usuário pode ser interactiveUser ou nonInteractiveUser e corresponde ao valor da propriedade isInteractive no recurso de entrada.
  • A categoria de identidade gerenciada é managedIdentity.
  • A categoria principal de serviço é servicePrincipal.
  • A API do Microsoft Graph suporta: $filter (eq somente operador).
  • O portal do Azure não mostra esse valor, mas o evento de entrada é colocado na guia que corresponde ao seu tipo de evento de entrada. Os valores possíveis são:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Tipo de usuário: Os exemplos incluem member, guest, ou external.

• Detalhes de autenticação:

  • O código de verificação OATH é registrado como o método de autenticação para tokens de hardware e software OATH (como o aplicativo Microsoft Authenticator).
  • A guia Detalhes de autenticação pode inicialmente mostrar dados incompletos ou imprecisos até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
    • Uma declaração satisfeita por na mensagem de token é exibida incorretamente quando os eventos de entrada são inicialmente registrados.
    • A linha Autenticação primária não é inicialmente registrada.
  • Se você não tiver certeza de um detalhe nos logs, reúna a ID da solicitação e a ID de correlação para usar para análise adicional ou solução de problemas.
  • Se as políticas de Acesso Condicional para autenticação ou tempo de vida da sessão forem aplicadas, elas serão listadas acima das tentativas de entrada. Se você não vir nenhuma dessas opções, essas políticas não serão aplicadas no momento. Para obter mais informações, consulte Controles de sessão de acesso condicional.