Como usar os logs de rastreamento Fiddler para MFA no Office 365 e no Azure AD

Observação

O Office 365 ProPlus está sendo renomeado como Microsoft 365 Apps para empresas. Para obter mais informações sobre essa mudança, leia esta postagem de blog.

Resumo

Este artigo apresenta o log de rastreamento Fiddler para os seguintes cenários de autenticação Multifactor (MFA):

  • Cenários de MFA de trabalho
  • Quando o telefone está fora da cobertura ou o telefone não é escolhido
  • Quando o alerta de fraude é disparado para bloquear a conta na nuvem
  • Para uma conta bloqueada
  • Quando a MFA é usada para contas gerenciadas

Informações adicionais

Se uma conta de usuário é federada, o usuário é redirecionado para o servidor de token de serviço (STS) para autenticação e para o login.microsoftonline.com, e o token SAML é emitido pelo STS. Se o usuário for gerenciado, o login.microsoftonline.com autentica o usuário por meio da senha do usuário.

A MFA é iniciada depois que a senha do usuário é verificada pelo Azure AD ou STS. O cookie SANeeded = 1 será definido se o usuário estiver habilitado para a autenticação MFA no Office 365 ou no diretório do Azure. A comunicação entre o cliente e o login.microsoftonline.com após a autenticação de senha do usuário é semelhante à seguinte:

POST https://login.microsoftonline.com/login.srf HTTP/1.1
Host: login.microsoftonline.com

HTTP/1.1 302 Found

Set-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1 

Cenário 1: cenários de MFA de trabalho 

O cookie SANeeded = 1 é definido após a autenticação de senha. Em seguida, o tráfego de rede é redirecionado para o ponto de extremidade: https://login.microsoftonline.com/StrongAuthCheck.srf , e os métodos de autenticação disponíveis são solicitados.

método de autenticação

A MFA começa com BeginAuth e, em seguida, a chamada telefônica é disparada no back-end para o provedor de serviços de telefonia.

beginauth

Após o início da autorização da MFA, o cliente começará a consultar o mesmo ponto de extremidade para o método endauth a cada 10 segundos para verificar se a autenticação foi concluída. Até que a chamada tenha sido separada e verificada, o resultado é retornado como AuthenticationPending.

método endauth

Quando o telefone tiver sido escolhido e verificado, a resposta para a próxima consulta de endauth será um resultado de sucesso. Além disso, o usuário concluiu a autenticação Mulitifactor. Também o cookie Set-Cookie: SANeeded = xxxxxxx é definido na resposta, que será dada ao ponto de extremidade: login. srf para concluir a autenticação.

login SRF

Cenário 2: quando o telefone está fora da cobertura ou o telefone não é escolhido

Quando o telefone não é separado e verificado em 60 segundos após a chamada ser feita, o Resultvalue será definido como UserVoiceAuthFailedPhoneUnreachable. E na próxima consulta para o método endauth, UserVoiceAuthFailedPhoneUnreachable é retornado, como visto no Fiddler.

UserVoiceAuthFailedPhoneUnreachable

Cenário 3: quando o alerta de fraude é disparado para bloquear a conta na nuvem

Quando o telefone não foi escolhido e um alerta de fraude Postado em 60 segundos após a chamada ser feita, o resultado será definido como AuthenticationMethodFailed. E na próxima consulta para o método endauth, uma resposta AuthenticationMethodFailed é retornada, como visto no Fiddler.

AuthenticationMethodFailed

Cenário 4: para uma conta bloqueada

Se o usuário estiver bloqueado, Resultvalue será definido como UserIsBlocked. Na primeira consulta para o método endauth, UserIsBlocked será retornado, como visto no Fiddler.

userisblocked

Solução: em um cenário do Azure MFA com uma assinatura do Azure, você pode desbloquear primeiro fazendo logon no manage.windowsazure.com. Em seguida, selecione Directory > Users e Manage multi factor Authentication > Service Settings. No final da página, selecione ir para Portal. Agora, selecione bloquear/desbloquear usuários para localizar a lista de usuários bloqueados.

Se a MFA estiver habilitada através do Office 365, abra um caso de suporte com a Microsoft para desbloqueá-lo.

Cenário 5: MFA para contas gerenciadas

Nessa situação, a autenticação permanece a mesma, mas os pontos de extremidade serão https://login.microsoftonline.com/common/SAS/BeginAuth e https://login.microsoftonline.com/common/SAS/EndAuth , em vez de https://login.microsoftonline.com/StrongAuthCheck.srf para as contas federadas.