Solucionar problemas registro de informações de segurança combinadas

  • Artigo

As informações neste artigo destinam-se a orientar os administradores que estão Solucionando problemas relatados pelos usuários da experiência de registro combinada.

Logs de auditoria

Os eventos registrados do registro combinado estão no serviço Métodos de Autenticação nos logs de auditoria do Microsoft Entra.

Interface de logs de auditoria do Microsoft Entra mostrando os eventos de registro

A tabela a seguir lista todos os eventos de auditoria gerados pelo registro combinado:

Atividade Status Motivo Descrição
Usuário registrou todas as informações de segurança necessárias Êxito Usuário registrou todas as informações de segurança necessárias. Esse evento ocorre quando um usuário concluiu o registro com êxito.
Usuário registrou todas as informações de segurança necessárias Falha O usuário cancelou o registro das informações de segurança. Esse evento ocorre quando um usuário cancela o registro do modo de interrupção.
Informações de segurança registradas de usuário Êxito Métodoregistrado pelo usuário. Esse evento ocorre quando um usuário registra um método individual. O Método pode ser o aplicativo autenticador, telefone, email, perguntas de segurança, senha de aplicativo, telefone alternativo e assim por diante.
Informações de segurança revisadas pelo usuário Êxito O usuário analisou com êxito as informações de segurança. Esse evento ocorre quando um usuário seleciona uma Boa aparência na página de revisão informações de segurança.
Informações de segurança revisadas pelo usuário Falha O usuário não pôde examinar as informações de segurança. Esse evento ocorre quando um usuário seleciona uma Boa aparência na página de revisão informações de segurança, mas algo falha no back-end.
Informações de segurança excluídas pelo usuário Êxito Métodoexcluído pelo usuário. Esse evento ocorre quando um usuário exclui um método individual. O Método pode ser o aplicativo autenticador, telefone, email, perguntas de segurança, senha de aplicativo, telefone alternativo e assim por diante.
Informações de segurança excluídas pelo usuário Falha O usuário não pôde excluir o método. Esse evento ocorre quando um usuário tenta excluir um método, mas a tentativa falha por algum motivo. O Método pode ser o aplicativo autenticador, telefone, email, perguntas de segurança, senha de aplicativo, telefone alternativo e assim por diante.
Informações de segurança padrão alteradas pelo usuário Êxito O usuário alterou as informações de segurança padrão para o método. Esse evento ocorre quando um usuário altera o método padrão. O Método pode ser a notificação do aplicativo autenticador, um código do meu aplicativo autenticador ou token, chamar + x xxxxxxxxxx, enviar um código para + x xxxxxxxxx e assim por diante.
Informações de segurança padrão alteradas pelo usuário Falha O usuário não pôde alterar as informações de segurança padrão para o método. Esse evento ocorre quando um usuário tenta mudar o método padrão, mas a tentativa falha por algum motivo. O Método pode ser a notificação do aplicativo autenticador, um código do meu aplicativo autenticador ou token, chamar + x xxxxxxxxxx, enviar um código para + x xxxxxxxxx e assim por diante.

Solucionando problemas no modo de interrupção

Sintoma Etapas para solucionar problemas
Não estou vendo os métodos que esperava ver. 1. Verifique se o usuário tem uma função de administrador do Microsoft Entra. Em caso afirmativo, exiba as diferenças da política de administração do SSPR.
2. Determine se o usuário está sendo interrompido devido à imposição de registro da autenticação multifator ou da SSPR. Consulte o fluxograma em "Modos de registro combinados" para determinar quais métodos devem ser mostrados.
3. Determine o quanto recentemente a política de autenticação multifator ou de SSPR foi alterada. Se a alteração foi recente, pode levar algum tempo para que a política atualizada seja propagada.

Solucionando problemas no modo de gerenciamento

Sintoma Etapas para solucionar problemas
Não tenho a opção de adicionar um método específico. 1. Determine se o método está habilitado para a autenticação multifator ou a SSPR.
2. se o método estiver habilitado, salve as políticas novamente e aguarde 1-2 horas antes de testar novamente.
3. se o método estiver habilitado, verifique se o usuário ainda não configurou o número máximo desse método que eles têm permissão para configurar.

Como reverter os usuários

Caso você, como administrador, deseje redefinir as configurações de autenticação multifator de um usuário, use o script do PowerShell fornecido na próxima seção. O script limpará a propriedade StrongAuthenticationMethods para o aplicativo móvel e/ou número de telefone do usuário. Se você executar esse script para os usuários, eles precisarão se registrar novamente na autenticação multifator, se necessário. É recomendável testar a reversão com um ou dois usuários antes da reversão de todos usuários afetados.

As etapas a seguir ajudarão você a reverter um usuário ou grupo de usuários.

Pré-requisitos

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

  1. Instalar os módulos adequados do PowerShell do Microsoft Azure Active Directory. Em uma janela do PowerShell, execute estes comandos para instalar os módulos:

    Install-Module -Name MSOnline
Import-Module MSOnline

  2. Salve a lista de IDs de objeto de usuário afetado em seu computador como um arquivo de texto com uma ID para cada linha. Anote o local do arquivo.

  3. Salve o script a seguir em seu computador e anote o local do script:

    <# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Reversão

Em uma janela do PowerShell, execute o comando a seguir, fornecendo o script e os locais de arquivo do usuário. Quando solicitado, forneça as credenciais de administrador global do seu locatário. O script produzirá o resultado da operação de atualização de cada usuário.

<script location> -path <user file location>

Próximas etapas