O que são entradas sinalizadas no Microsoft Entra ID?

Como administrador de TI, se um usuário não consegue se conectar, você deseja resolver o problema assim que possível para desbloquear o usuário. Devido à quantidade de dados disponíveis no log de entrada, localizar as informações corretas pode ser um desafio.

Este artigo fornece uma visão geral de um recurso que melhora significativamente o tempo necessário para resolver problemas de credenciais de usuários, facilitando o encontro desses problemas.

O que são credenciais sinalizadas?

Os eventos de entrada do Microsoft Entra são essenciais para entender o que deu certo ou errado com as credenciais do usuário e a configuração de autenticação em um locatário. No entanto, o Microsoft Entra ID processa mais de oito bilhões de autenticações por dia, o que pode resultar em tantos eventos de conexão que os administradores podem achar difícil encontrar aqueles que importam. Em outras palavras, a enorme quantidade de eventos de conexão pode fazer com que o sinal dos usuários que precisam de assistência fique perdido no grande volume de número de eventos.

As entradas sinalizadas são um recurso destinado a aumentar a relação sinal-ruído das entradas de usuários que exigem ajuda. A funcionalidade destina-se a capacitar os usuários a gerar conscientização sobre erros de entrada com os quais desejam obter ajuda. Os administradores e os funcionários do suporte técnico também se beneficiam de encontrar os eventos certos com mais eficiência. Os eventos de Entradas Sinalizadas contêm as mesmas informações que outros eventos de conexão, com uma adição: eles também indicam que um usuário sinalizou o evento para revisão pelos administradores.

As entradas sinalizadas permitem que o usuário habilite a sinalização quando um erro é visto em uma página de entrada e reproduza esse erro. O evento de erro aparece como “Sinalizado para Análise” no log de entrada do Microsoft Entra.

Em resumo, você pode usar as entradas sinalizadas para:

• Capacitar os usuários a indicarem os erros de conexão em que precisam da ajuda dos administradores de locatários.

• Simplificar o processo de localização dos erros de conexão que um usuário precisa que seja resolvido.

• Habilitar o pessoal do suporte técnico para encontrar proativamente os problemas com os usuários querem ajuda, sem que o usuário final tenha que fazer algo além de sinalizar o evento.

Como ele funciona

As entradas sinalizadas permitem habilitar a sinalização ao entrar por meio um navegador e receber um erro de autenticação. Quando um usuário se depara com um erro de conexão, ele pode selecionar para habilitar a sinalização. Nos próximos 20 minutos, qualquer evento de conexão desse usuário, no mesmo navegador e dispositivo cliente ou computador, aparecerá como "Sinalizado para Análise: sim" no Relatório de Entradas. Após 20 minutos, a sinalização será desligada automaticamente.

Usuário: como sinalizar um erro

1. O usuário se depara com um erro durante a conexão.
2. O usuário seleciona Exibir detalhes na página de erro.
3. Em Detalhes da solução de problemas, selecione Habilitar Sinalização. O texto muda para Desabilitar Sinalização. Agora a sinalização está habilitada.
4. Feche a janela do navegador.
5. Abra uma nova janela do navegador (no mesmo aplicativo de navegador) e tente a mesma credencial que falhou.
6. O erro de conexão que foi visto anteriormente é reproduzido.

Com a sinalização habilitada, o mesmo aplicativo e cliente do navegador deve ser usado ou os eventos não serão sinalizados.

Administrador: encontrar eventos sinalizados nos relatórios

1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor Global.
2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
3. Abra o menu Adicionar filtros e selecione Sinalizado para revisão. Todos os eventos que foram sinalizados pelos usuários serão mostrados.
4. Se necessário, aplique outros filtros para refinar a exibição do evento.
5. Selecione o evento para analisar o que aconteceu.

Administrador ou Desenvolvedor: encontrar eventos sinalizados usando o MS Graph

Você pode encontrar as entradas sinalizadas com uma consulta filtrada usando a API de relatório de entradas.

Mostrar todas as entradas sinalizadas: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

As credenciais sinalizadas consultam um usuário específico pelo UPN (por exemplo, user@contoso.com): https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Consulta de entradas sinalizadas para um usuário específico e data maior que: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Para obter mais informações sobre como usar a API do Graph com as entradas, confira tipo de recurso signIn.

Who pode criar entradas sinalizadas?

Qualquer usuário que entrar no Microsoft Entra ID por meio de página da Web pode usar as entradas sinalizadas para revisão. Usuários convidados e membros também podem sinalizar erros de conexão para revisão.

Quem pode examinar as entradas sinalizadas?

A revisão de eventos de entrada sinalizados exige permissões para ler os eventos do relatório de login no portal do Azure. Para obter mais informações, confira Como acessar os logs de atividades.

Para sinalizar falhas de entrada, você não precisa de permissões extras.

O que você deve saber

Embora os nomes sejam semelhantes, as entradas sinalizadas e as entradas suspeitas são funcionalidades diferentes:

• As entradas sinalizadas são eventos de erro de conexão para os quais os usuários estão solicitando assistência.
• Uma entrada suspeita é uma funcionalidade da proteção de identidade. Para obter mais informações, veja o que é a proteção de identidade.

Próximas etapas

• Logs de entrada no Microsoft Entra ID
• Cenários de diagnóstico de entrada para Microsoft Entra