Testar e solucionar problemas de políticas de Acesso Condicional

  • 3 minutos

A estrutura de Acesso Condicional oferece grande flexibilidade de configuração. No entanto, uma grande flexibilidade também significa que deve analisar cuidadosamente cada política de configuração antes de criá-la para evitar resultados indesejáveis. Neste contexto, deve prestar especial atenção às atribuições que afetam conjuntos completos, como todos os utilizadores/grupos/aplicações na cloud.

As organizações devem evitar as seguintes configurações:

Para todos os utilizadores, todas as aplicações na cloud:

  • Bloquear o acesso – esta configuração bloqueia toda a organização.
  • Exigir dispositivo híbrido associado ao domínio Microsoft Entra - Esta política de bloqueio de acesso também tem o potencial de bloquear o acesso de todos os usuários em sua organização se eles não tiverem um dispositivo híbrido associado ao Microsoft Entra.
  • Exigir política de proteção de aplicações - Esta política de bloqueio de acesso também tem o potencial de bloquear o acesso de todos os utilizadores na sua organização se não tiver uma política do Intune. Se for um administrador sem uma aplicação cliente com uma política de proteção de aplicações do Intune, esta política impede-o de voltar aos portais, como o Intune e o Azure.

Para todos os utilizadores, todas as aplicações na cloud, todas as plataformas de dispositivos:

  • Bloquear o acesso – esta configuração bloqueia toda a organização.

Interrupção do início de sessão do Acesso Condicional

A primeira forma é analisar a mensagem de erro apresentada. Para problemas de início de sessão ao utilizar um browser, a própria página de erro tem informações detalhadas. Só esta informação descreve qual é o problema e sugere uma solução.

Captura de ecrã do erro de início de sessão - dispositivo compatível necessário. Com um botão para cancelar ou obter mais informações.

No erro acima, a mensagem indica que a aplicação só pode ser acedida a partir de dispositivos ou aplicações cliente que cumpram a política de gestão de dispositivos móveis da empresa. Neste caso, a aplicação e o dispositivo não cumprem essa política.

Eventos de início de sessão do Microsoft Entra

O segundo método para obter informações detalhadas sobre a interrupção do início de sessão é analisar os eventos de início de sessão do Microsoft Entra para verificar que política ou políticas de Acesso Condicional foram aplicadas e porquê.

Encontre mais informações sobre o problema clicando em Mais detalhes na página de erro inicial. Clicar em Mais Detalhes revelará informações de solução de problemas que são úteis ao pesquisar os eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.

Captura de ecrã do início de sessão do browser interrompido pelo Acesso Condicional.

Para descobrir qual ou quais políticas de Acesso Condicional foram aplicadas e por quê, execute as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como Administrador Global, Administrador de Segurança ou Leitor Global.

  2. Navegue até Identidade - Monitoramento e Integridade e, em seguida , Logins.

  3. Localize o evento do início de sessão a analisar. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.

    1. Adicione filtros para restringir o âmbito:

      1. ID de correlação quando tem um evento específico para investigar.

      2. Acesso condicional para ver a falha e o êxito da política. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.

      3. Nome de utilizador para ver informações relacionadas com utilizadores específicos.

      4. Data no âmbito do intervalo de tempo em questão.

        Captura de ecrã do ecrã da mensagem de erro. O usuário está selecionando o filtro Acesso condicional no log de entradas.

  4. Quando o evento de início de sessão que corresponde à falha de início de sessão do utilizador tiver sido encontrado, selecione o separador Acesso Condicional, o separador irá mostrar a política ou políticas específicas que resultaram na interrupção do início de sessão.

    1. As informações na guia Solução de problemas e suporte fornecem um motivo claro pelo qual uma entrada falhou, como um dispositivo que não atendeu aos requisitos de conformidade.
    2. Para investigar mais, faça uma busca detalhada na configuração das políticas clicando no Nome da política. Clicar no Nome da política mostrará a interface do usuário de configuração da política para a política selecionada para revisão e edição.
    3. Os detalhes do usuário cliente e do dispositivo que foram usados para a avaliação da política de Acesso Condicional também estão disponíveis nas guias Informações Básicas, Local, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de entrada.

Detalhes da política

Se selecionar as reticências no lado direito da política num evento de início de sessão, serão apresentados os detalhes da política. Isso fornece aos administradores informações adicionais sobre por que uma política foi aplicada com êxito ou não.

Captura de ecrã do separador Acesso Condicional do evento de início de sessão. Aguardando a entrada do usuário.Captura de ecrã do ecrã Detalhes da política (pré-visualização) no acesso condicional do Microsoft Entra.

O lado esquerdo fornece detalhes coletados no início de sessão e o lado direito fornece detalhes sobre se esses detalhes satisfazem os requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso Condicional só se aplicam quando todas as condições foram cumpridas ou não estão configuradas.

Se as informações no evento não forem suficientes para entender os resultados de entrada ou ajustar a política para obter os resultados desejados, um incidente de suporte poderá ser aberto. Navegue até a guia Solução de problemas e suporte desse evento de entrada e selecione Criar uma nova solicitação de suporte.

Captura de ecrã do separador Resolução de problemas e suporte do evento Iniciar sessão. O Assistente ajuda a corrigir problemas.

Ao enviar o incidente, forneça o ID da solicitação e a hora e data do evento de login nos detalhes de envio do incidente. Essas informações permitirão que o suporte da Microsoft encontre o evento com o qual você está preocupado.