Iniciar sessão no diagnóstico para cenários do Microsoft Entra

Pode utilizar o diagnóstico de início de sessão para o Microsoft Entra ID para analisar o que aconteceu durante uma tentativa de início de sessão e obter recomendações para resolver problemas sem ter de envolver o suporte da Microsoft.

Este artigo fornece uma visão geral dos tipos de cenários que você pode identificar e resolver ao usar essa ferramenta.

Como aceder ao Diagnóstico de Início de Sessão

Há três maneiras de acessar a ferramenta Diagnóstico de Entrada: na área Diagnosticar e resolver problemas, nos logs de entrada do Microsoft Entra e ao criar uma nova solicitação de suporte. Para obter mais informações, consulte Como usar o diagnóstico de entrada.

Acesso Condicional

As políticas de Acesso Condicional são usadas para aplicar os controles de acesso corretos quando necessário para manter sua organização segura. Como as políticas de Acesso Condicional podem ser usadas para conceder ou bloquear o acesso a recursos, elas geralmente aparecem no diagnóstico de entrada.

• Bloqueado por acesso condicional

  • As suas políticas de Acesso Condicional impediram o utilizador de iniciar sessão.

• Falha no acesso condicional

  • É possível que suas políticas de Acesso Condicional sejam muito rígidas.
  • Reveja as suas configurações para obter conjuntos completos de utilizadores, grupos e aplicações.
  • Certifique-se de que compreende as implicações de restringir o acesso a partir de determinados tipos de dispositivos.

• Autenticação multifator (MFA) do Acesso Condicional

  • Suas políticas de Acesso Condicional acionaram o processo de MFA para o usuário.

• Entrada B2B bloqueada devido ao Acesso Condicional:

  • Você tem uma política de Acesso Condicional em vigor para impedir que identidades externas entrem.

Autenticação multifator

Há vários eventos relacionados à MFA que você pode solucionar usando a ferramenta de diagnóstico de entrada.

AMF de outros requisitos

Se os resultados do diagnóstico de entrada mostrarem MFA de um requisito diferente do Acesso Condicional, você poderá ter a MFA habilitada por usuário. Recomendamos converter MFA por usuário em Acesso Condicional. O diagnóstico de entrada fornece detalhes sobre a origem da interrupção da MFA e o resultado da interação.

"Prova" do MFA

Outro cenário comum ocorre quando a MFA interrompe as tentativas de entrada. Quando executa o diagnóstico de início de sessão, são fornecidas informações sobre "proofup" nos resultados do diagnóstico. Este erro aparece quando os usuários estão configurando o MFA pela primeira vez e não concluem a instalação ou sua configuração não foi configurada com antecedência.

Corrigir ou credenciais incorretas

Às vezes, os usuários apenas inserem as credenciais erradas. A ferramenta de diagnóstico de início de sessão pode ajudar a distinguir entre erro humano e outros problemas.

Início de sessão bem-sucedido

Em alguns casos, você deseja saber se os eventos de entrada não são interrompidos pelo Acesso Condicional ou MFA, mas devem ser. A ferramenta de diagnóstico de entrada fornece detalhes sobre eventos de entrada que devem ser interrompidos, mas não são.

Conta bloqueada

Outro cenário comum é quando um usuário tenta entrar com credenciais incorretas muitas vezes. Este erro acontece quando ocorreram demasiadas tentativas de início de sessão baseadas em palavra-passe com credenciais incorretas. Os resultados do diagnóstico fornecem informações para o administrador determinar de onde vêm as tentativas e se são tentativas legítimas de login do usuário ou não. A execução do diagnóstico de início de sessão fornece detalhes sobre as aplicações, o número de tentativas, o dispositivo utilizado, o sistema operativo e o endereço IP. Para obter mais informações, consulte Microsoft Entra Smart Lockout.

Nome de utilizador ou palavra-passe inválidos

Se um utilizador tentou iniciar sessão utilizando um nome de utilizador ou palavra-passe inválidos, o diagnóstico de início de sessão ajuda o administrador a determinar a origem do problema. A origem pode ser um usuário inserindo credenciais incorretas ou um cliente e/ou aplicativo(s) que armazenou em cache uma senha antiga e está reenviando-a. O diagnóstico de início de sessão fornece detalhes sobre as aplicações, o número de tentativas, o dispositivo utilizado, o sistema operativo e o endereço IP.

Aplicações empresariais

Em aplicativos corporativos, há dois pontos em que os problemas podem ocorrer:

• A configuração do aplicativo do provedor de identidade (Microsoft Entra ID)
• A configuração do provedor de serviços (serviço de aplicativo, também conhecido como aplicativo SaaS)

Os diagnósticos para esses problemas abordam qual lado do problema deve ser analisado para resolução e o que fazer

Provedor de serviços de aplicativos corporativos

Se o erro ocorreu quando um utilizador tentou iniciar sessão numa aplicação, o início de sessão falhou devido a um problema com o lado do fornecedor de serviços (aplicação) do fluxo de início de sessão. Os problemas detetados pelo diagnóstico de entrada normalmente devem ser resolvidos alterando a configuração ou corrigindo problemas no serviço do aplicativo. A resolução para esse cenário significa que você precisa entrar no outro serviço e alterar algumas configurações de acordo com as diretrizes de diagnóstico.

Configuração de aplicativos corporativos

O início de sessão pode falhar devido a um problema de configuração da aplicação para o lado do Microsoft Entra ID da aplicação. Nessas situações, a resolução requer a revisão e atualização da configuração do aplicativo na página Aplicativos Corporativos do aplicativo.

Outros cenários

O diagnóstico de entrada também pode ser usado em vários cenários.

Predefinições de segurança

Os eventos de início de sessão podem ser interrompidos devido às predefinições de segurança. Os padrões de segurança impõem práticas recomendadas de segurança para sua organização. Uma prática recomendada é exigir que a MFA seja configurada e usada para evitar que pulverizações de senha, ataques de repetição e tentativas de phishing sejam bem-sucedidas.

Para obter mais informações, consulte O que são padrões de segurança?.

Insights de código de erro

Quando um evento não tem uma análise contextual no diagnóstico de entrada, uma explicação atualizada do código de erro e conteúdo relevante podem ser mostrados. As informações de código de erro contêm texto detalhado sobre o cenário, como corrigir o problema e qualquer conteúdo a ser lido sobre o problema.

Autenticação legada

Este cenário envolve um evento de início de sessão que foi bloqueado ou interrompido porque o cliente estava a tentar utilizar a Autenticação Legada (ou Básica).

Recomenda-se que a prevenção do início de sessão com autenticação herdada seja a prática recomendada para fins de segurança. Protocolos de autenticação herdados como POP, SMTP, IMAP e MAPI não podem impor MFA, o que os torna pontos de entrada preferenciais para adversários atacarem sua organização.

Para obter mais informações, consulte Como bloquear a autenticação herdada para o Microsoft Entra ID com acesso condicional.

Entrada B2B bloqueada devido ao Acesso Condicional

Este cenário de diagnóstico deteta um início de sessão bloqueado ou interrompido devido ao utilizador ser de outra organização. Por exemplo, um início de sessão B2B, em que uma política de Acesso Condicional requer que o dispositivo do cliente seja associado ao inquilino do recurso.

Para obter mais informações, consulte Acesso condicional para usuários de colaboração B2B.

Bloqueado pela política de risco

Este cenário é onde a Política de Proteção de Identidade bloqueia uma tentativa de início de sessão devido à tentativa de início de sessão ter sido identificada como arriscada.

Para obter mais informações, consulte Como configurar e habilitar políticas de risco.

Autenticação de passagem

Como a autenticação por passagem é uma integração de tecnologias de autenticação local e na nuvem, pode ser difícil determinar onde está o problema. Este diagnóstico destina-se a tornar estes cenários mais fáceis de diagnosticar e resolver.

Este cenário de diagnóstico identifica problemas de entrada específicos do usuário quando o método de autenticação que está sendo usado é autenticação de passagem (PTA) e há um erro específico de PTA. Erros devido a outros problemas, mesmo quando a autenticação PTA está sendo usada, ainda serão diagnosticados corretamente.

Os resultados do diagnóstico mostram informações contextuais sobre a falha e o login do usuário. Os resultados podem mostrar outros motivos pelos quais o login falhou e as ações recomendadas que o administrador pode tomar para resolver o problema. Para obter mais informações, consulte Microsoft Entra Connect: Solucionar problemas de autenticação de passagem.

Início de sessão único totalmente integrado

O logon único integrado integra a autenticação Kerberos com a autenticação na nuvem. Como esse cenário envolve dois protocolos de autenticação, pode ser difícil entender onde está um ponto de falha quando ocorrem problemas de entrada. Este diagnóstico destina-se a tornar estes cenários mais fáceis de diagnosticar e resolver.

Este cenário de diagnóstico examina o contexto da falha de entrada e a causa específica da falha. Os resultados do diagnóstico podem incluir informações contextuais sobre a tentativa de início de sessão e ações sugeridas que o administrador pode tomar. Para obter mais informações, consulte Solucionar problemas de logon único contínuo do Microsoft Entra.