Como utilizar registos de vestígios de Fiddler para MFA no Office 365 e Azure AD

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Resumo

Este artigo introduz o registo de vestígios do Fiddler para os seguintes cenários de autenticação multifactor (MFA):

  • Cenários de MFA de trabalho
  • Quando o telefone está fora de cobertura ou o telefone não é escolhido
  • Quando o alerta de fraude é desencadeado para bloquear a conta na nuvem
  • Para uma conta bloqueada
  • Quando o MFA é usado para contas geridas

Mais Informações

Se uma conta de utilizador for federada, o utilizador é redirecionado para o Service Token Server (STS) para autenticação e para login.microsoftonline.com, e o token SAML é emitido pelo STS. Se o utilizador for gerido, login.microsoftonline.com autentica o utilizador através da palavra-passe do utilizador.

O MFA começa depois de a palavra-passe do utilizador ter sido verificada pela Azure AD ou STS. O cookie SANeeded=1 será definido se o utilizador estiver habilitado para a autenticação MFA no Office 365 ou no diretório Azure. A comunicação entre o cliente e a login.microsoftonline.com após a autenticação da palavra-passe do utilizador assemelha-se ao seguinte:

POST https://login.microsoftonline.com/login.srf HTTP/1.1
Host: login.microsoftonline.com

HTTP/1.1 302 Found

Set-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1 

Cenário 1: Cenários de MFA em funcionamento 

O cookie SANeeded=1 é definido após a autenticação da palavra-passe. O tráfego da rede é então redirecionado para o ponto final: https://login.microsoftonline.com/StrongAuthCheck.srf e são solicitados métodos de autenticação disponíveis.

método de autenticação

O MFA começa com o BeginAuth e, em seguida, a chamada é ativada na parte de trás do prestador de serviços telefónicos.

principiante

Após o início da autorização do MFA, o cliente começa a consultar o mesmo ponto final para o método EndAuth a cada 10 segundos para verificar se a autenticação foi concluída. Até que a chamada tenha sido escolhida e verificada, o Resultado é devolvido como Autenticação Gastar.

método endauth

Quando o telefone tiver sido escolhido e verificado, a resposta para a próxima consulta para o EndAuth será um ResultadoValue do Sucesso. Adicionalmente, o utilizador completou a autenticação mulitifactor. Também o cookie Set-Cookie : SANeeded=xxxxxxx é definido na resposta, que será dada ao ponto final : login.srf para completar a autenticação.

login srf

Cenário 2: Quando o telefone está fora de cobertura ou o telefone não é escolhido

Quando o telefone não for escolhido e verificado no prazo de 60 segundos após a chamada ser feita, o ResultadoValue será definido como UserVoiceAuthFailedPhoneUnreachable. E na próxima consulta para o método EndAuth, o UserVoiceAuthFailedPhoneUnreachable é devolvido, como visto no Fiddler.

UserVoiceAuthFailedPhoneUnreachable

Cenário 3: Quando o alerta de fraude é desencadeado para bloquear a conta na nuvem

Quando o telefone não tiver sido escolhido e um alerta de fraude publicado no prazo de 60 segundos após a chamada ser feita, o ResultadoValue será definido como AutenticaçãoMethodFailed. E na próxima consulta para o método EndAuth, uma resposta AutenticaçãoMethodFailed é devolvida, como visto no Fiddler.

AutenticaçãoMethodFailed

Cenário 4: Para uma conta bloqueada

Se o utilizador estiver bloqueado, o ResultadoValue será definido como UserIsBlocked. Na primeira consulta para o método EndAuth, o UserIsBlocked será devolvido, como visto no Fiddler.

userisblocked

Solução: Num cenário Azure MFA com uma subscrição Azure, pode desbloquear iniciando o primeiro login no manage.windowsazure.com. Em seguida, selecione Diretório > Utilizadores e Gerencie as Definições de Serviço de Autenticação de Múltiplos > Fatores. No final da página, selecione Ir para o portal. Agora, selecione Utilizadores de Bloco/Desbloqueio para encontrar a lista de utilizadores bloqueados.

Se o MFA estiver ativado através do Office 365, abra um caso de suporte com a Microsoft para desbloqueá-lo.

Cenário 5: MFA para contas geridas

Nesta situação, a autenticação mantém-se a mesma, mas os pontos finais serão https://login.microsoftonline.com/common/SAS/BeginAuth e em vez de quanto às contas https://login.microsoftonline.com/common/SAS/EndAuth https://login.microsoftonline.com/StrongAuthCheck.srf federadas.