Entrar no diagnóstico dos cenários do Microsoft Entra
Você pode usar o diagnóstico de entrada da ID do Microsoft Entra para analisar o que aconteceu durante uma tentativa de entrada e obter recomendações para resolver problemas sem precisar envolver o Suporte da Microsoft.
Este artigo fornece uma visão geral dos tipos de cenários que você pode identificar e resolver ao usar essa ferramenta.
Como acessar o Diagnóstico de Entrada
Há três maneiras de acessar a ferramenta Diagnóstico de Entrada: na área Diagnosticar e resolver problemas, nos logs de entrada do Microsoft Entra e ao criar uma nova solicitação de suporte. Para obter mais informações, confira Como usar o diagnóstico de entrada.
Acesso Condicional
As políticas de acesso condicional são usadas para aplicar os controles de acesso corretos quando necessário para manter sua organização segura. Como as políticas de acesso condicional podem ser usadas para conceder ou bloquear o acesso a recursos, elas geralmente aparecem no diagnóstico de entrada.
Bloqueado pelo Acesso Condicional
- Suas políticas de acesso condicional impediram que o usuário se conectasse.
-
- É possível que suas políticas de acesso condicional sejam muito rígidas.
- Revise suas configurações para obter conjuntos completos de usuários, grupos e aplicativos.
- Certifique-se de entender as implicações de restringir o acesso de determinados tipos de dispositivos.
MFA (autenticação multifator) do acesso condicional
- Suas políticas de acesso condicional dispararam o processo de MFA para o usuário.
Entrada B2B bloqueada devido ao acesso condicional:
- Você tem uma política de acesso condicional em vigor para impedir que identidades externas entrem.
Autenticação multifator
Há vários eventos relacionados à MFA que você pode solucionar usando a ferramenta de diagnóstico de início de sessão.
MFA por meio de outros requisitos
Se os resultados do diagnóstico de início de sessão mostraram a MFA de um requisito diferente do acesso condicional, talvez você tenha a MFA habilitada por usuário. Recomendamos a conversão de MFA por usuário para acesso condicional. O diagnóstico de entrada fornece detalhes sobre a origem da interrupção de MFA e o resultado da interação.
"Confirmação" de MFA
Outro cenário comum ocorre quando o MFA interrompe as tentativas de entrada. Quando você executa o diagnóstico de entrada, as informações sobre a "confirmação" são fornecidas nos resultados do diagnóstico. Esse erro aparece quando os usuários estão configurando o MFA pela primeira vez e não concluem a configuração ou sua configuração não foi definida com antecedência.
Credenciais corretas e incorretas
Às vezes, os usuários simplesmente inserem as credenciais erradas. A ferramenta de diagnóstico de início de sessão pode ajudar a distinguir entre erro humano e outros problemas.
Entrada bem-sucedida
Em alguns casos, você deve saber se os eventos de entrada não são interrompidos pelo acesso condicional ou MFA, mas deveriam ser. A ferramenta de diagnóstico de entrada fornece detalhes sobre os eventos de entrada que deveriam ser interrompidos, mas não são.
Conta bloqueada
Outro cenário comum é quando um usuário tenta muitas vezes entrar com credenciais incorretas. Esse erro ocorre quando ocorreram muitas tentativas de início de sessão baseadas em senha com credenciais incorretas. Os resultados do diagnóstico fornecem informações para o administrador determinar de onde vem as tentativas e se são tentativas legítimas de entrada do usuário ou não. A execução do diagnóstico de entrada fornece detalhes sobre os aplicativos, o número de tentativas, o dispositivo usado, o sistema operacional e o endereço IP. Para obter informações, consulte Bloqueio Inteligente do Microsoft Entra.
Senha ou nome de usuário inválido
Se um usuário tentou entrar usando um nome de usuário ou senha inválidos, o diagnóstico de entrada ajuda o administrador a determinar a origem do problema. A origem pode ser um usuário inserindo credenciais incorretas ou um cliente e/ou aplicativo(s) que armazenaram em cache uma senha antiga e a está reenviando. O diagnóstico de entrada fornece detalhes sobre os aplicativos, o número de tentativas, o dispositivo usado, o sistema operacional e o endereço IP.
Aplicativos corporativos
Em aplicativos empresariais, há dois aspectos em que podem ocorrer problemas:
- A configuração do aplicativo provedor de identidade (ID do Microsoft Entra)
- A configuração do provedor de serviços (serviço de aplicativo, também conhecido como aplicativo SaaS)
Os diagnósticos desses problemas abordam qual lado do problema deve ser analisado para resolução e o que deve ser feito
Provedor de serviços de aplicativos empresariais
Se o erro ocorreu quando um usuário tentou entrar em um aplicativo, a entrada falhou devido a um problema com o lado do provedor de serviços (aplicativo) do fluxo de entrada. Os problemas detectados pelo diagnóstico de entrada geralmente devem ser resolvidos alterando a configuração ou corrigindo problemas no serviço de aplicativo. A resolução para esse cenário significa que você precisa entrar no outro serviço e alterar algumas configurações de acordo com a orientação do diagnóstico.
Configuração de aplicativos empresariais
A entrada pode falhar devido a um problema de configuração do aplicativo no lado do aplicativo da ID do Microsoft Entra. Nessas situações, a resolução requer revisão e atualização da configuração do aplicativo na página Aplicativos Corporativos do aplicativo.
Outros cenários
A ferramenta de diagnóstico de início de sessão pode ser usada em vários cenários.
Padrões de segurança
Os eventos de entrada podem ser interrompidos devido a configurações padrão de segurança. Os padrões de segurança reforçam as melhores práticas de segurança para sua organização. Uma melhor prática é exigir que o MFA seja configurado e usado para impedir pulverizações de senha, ataques de repetição e tentativas de phishing sejam bem-sucedidos.
Para obter mais informações, leia O que são padrões de segurança?.
Insights sobre códigos de erro
Quando um evento não tem uma análise contextual no diagnóstico de início de sessão, uma explicação atualizada do código de erro e o conteúdo relevante podem ser mostrados. Os insights sobre o código de erro contêm um texto detalhado sobre o cenário, como corrigir o problema e qualquer conteúdo para leitura em relação ao problema.
Autenticação herdada
Esse cenário envolve um evento de entrada que foi bloqueado ou interrompido porque o cliente estava tentando usar a Autenticação Herdada (ou Básica).
Recomendamos impedir a entrada com a autenticação herdada como uma melhor prática de segurança. Os protocolos de autenticação herdados como POP, SMTP, IMAP e MAPI não podem impor o MFA, o que os torna pontos de entrada preferidos para adversários atacarem sua organização.
Para obter mais informações, consulte Como bloquear a autenticação herdada na ID do Microsoft Entra com o Acesso Condicional.
Entrada B2B bloqueada devido ao Acesso Condicional
Esse cenário de diagnóstico detecta uma entrada bloqueada ou interrompida porque o usuário é de outra organização. Por exemplo, uma entrada B2B, em que uma política de acesso condicional exige que o dispositivo do cliente seja associado ao locatário do recurso.
Para mais informações, consulte Acesso Condicional para usuários de colaboração B2B.
Bloqueado pela política de risco
Esse cenário é aquele em que a política de proteção de identidade bloqueia uma tentativa de entrada devido a ela ter sido identificada como suspeita.
Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.
Autenticação de Passagem
Como a autenticação de passagem é uma integração das tecnologias de autenticação locais e na nuvem, pode ser difícil determinar onde está o problema. Esse diagnóstico destina-se a tornar esses cenários mais fáceis de diagnosticar e resolver.
Esse cenário de diagnóstico identifica problemas de entrada específicos do usuário quando o método de autenticação usado for autenticação de passagem (PTA) e houver um erro específico de PTA. Erros devido a outros problemas, mesmo quando a autenticação PTA estiver sendo usada, ainda serão diagnosticados corretamente.
Os resultados do diagnóstico mostram informações contextuais sobre a falha e o usuário que está entrando. Os resultados podem mostrar outras razões pelas quais a entrada falhou e as ações recomendadas que o administrador pode tomar para resolver o problema. Para obter mais informações, consulte Microsoft Entra Connect: solução de problemas de autenticação de passagem.
Logon único contínuo
O logon único contínuo integra a autenticação Kerberos com a autenticação em nuvem. Como esse cenário envolve dois protocolos de autenticação, pode ser difícil entender onde está um ponto de falha quando ocorrem problemas de entrada. Esse diagnóstico destina-se a tornar esses cenários mais fáceis de diagnosticar e resolver.
Esse cenário de diagnóstico examina o contexto da falha de entrada e a causa específica da falha. Os resultados do diagnóstico podem incluir informações contextuais sobre a tentativa de entrada e ações sugeridas que o administrador pode executar. Para obter mais informações, consulte Solucionar problemas de logon único contínuo do Microsoft Entra.