Compartilhar via

Monitorar e solucionar problemas de avaliação de acesso contínuo

Os administradores podem monitorar e solucionar problemas de eventos de entrada em que a CAE (avaliação de acesso contínuo) é aplicada de várias maneiras.

Relatórios de avaliação contínua de entrada e acesso

Os administradores podem monitorar as entradas do usuário em que a CAE (avaliação de acesso contínuo) é aplicada. Essas informações são encontradas nos logs de entrada do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra com a função de pelo menos Leitor de Segurança.
  2. Navegue até Entra ID>Monitoramento e integridade>Registros de entrada.
  3. Aplique o filtro É Token de CAE.

Captura de tela mostrando como adicionar um filtro ao log de entrada para ver onde o CAE está sendo aplicado ou não.

A partir daqui, os administradores recebem informações sobre os eventos de login dos usuários. Selecione qualquer opção de login para ver detalhes sobre a sessão, como quais políticas de Acesso Condicional foram aplicadas e se o CAE está habilitado.

Há várias solicitações de login para cada autenticação. Alguns estão na guia interativa, enquanto outros estão na guia não interativa. O CAE só está marcado como verdadeiro para uma das solicitações que pode estar na guia interativa ou não interativa. Os administradores devem verificar as duas guias para confirmar se a autenticação do usuário está habilitada ou não.

Pesquisando tentativas de login específicas

Os logs de entrada contêm informações sobre eventos de sucesso e falha. Use filtros para restringir sua pesquisa. Por exemplo, se um usuário entrou no Teams, use o filtro de aplicativo e defina-o como Teams. Talvez os administradores precisem verificar os logins de abas interativas e não interativas para localizar o login específico. Para restringir ainda mais a pesquisa, os administradores podem aplicar vários filtros.

Livros de trabalho de avaliação de acesso contínuo

O workbook de insights de avaliação contínua de acesso permite que os administradores exibam e monitorem os insights de uso do CAE para seus inquilinos. A tabela exibe tentativas de autenticação com incompatibilidades de IP. Essa pasta de trabalho pode ser encontrada como modelo na categoria acesso condicional.

Acessando o modelo de pasta de trabalho do CAE

A integração do Log Analytics deve ser concluída antes que as pastas de trabalho sejam exibidas. Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um workspace do Log Analytics, consulte o artigo Integrar logs do Microsoft Entra aos logs do Azure Monitor.

  1. Entre no Centro de administração do Microsoft Entra com a função de pelo menos Leitor de Segurança.
  2. Navegue até Entra ID>Monitoramento e integridade>Planilhas.
  3. Em Modelos Públicos, pesquise insights de avaliação de acesso contínuo.

A planilha Insights de Avaliação de Acesso Contínuo contém a seguinte tabela:

Possível incompatibilidade de endereço IP entre a ID do Microsoft Entra e o provedor de recursos

A possível incompatibilidade de endereço IP entre a tabela do provedor de recursos e a ID do Microsoft Entra permite que os administradores investiguem sessões em que o endereço IP detectado pela ID do Microsoft Entra não corresponde ao endereço IP detectado pelo provedor de recursos.

Essa tabela de pasta de trabalho lança luz sobre esses cenários exibindo os respectivos endereços IP e se um token CAE foi emitido durante a sessão.

Insights de análise de acesso contínuo por login

Os insights da avaliação de acesso contínuo por página de autenticação na pasta de trabalho conectam várias solicitações dos logs de autenticação e exibem uma única solicitação em que um token CAE foi emitido.

Essa pasta de trabalho pode ser útil, por exemplo, quando: um usuário abre o Outlook na área de trabalho e tenta acessar recursos dentro do Exchange Online. Essa ação de login pode ser mapeada para várias solicitações de login interativas e não interativas nos logs, dificultando a identificação de problemas.

Configuração de endereço IP

Seu provedor de identidade e provedores de recursos podem ver endereços IP diferentes. Essa incompatibilidade pode acontecer devido aos seguintes exemplos:

  • Sua rede implementa a divisão de túneis.
  • Seu provedor de recursos está usando um endereço IPv6 e a ID do Microsoft Entra está usando um endereço IPv4.
  • Devido às configurações de rede, a ID do Microsoft Entra vê um endereço IP do cliente e seu provedor de recursos vê um endereço IP diferente do cliente.

Se esse cenário existir em seu ambiente, para evitar loops infinitos, a ID do Microsoft Entra emitirá um token CAE de uma hora e não imporá a alteração de local do cliente durante esse período de uma hora. Mesmo nesse caso, a segurança é aprimorada em comparação com os tokens tradicionais de uma hora, pois ainda estamos avaliando os outros eventos além de eventos de alteração de local do cliente.

Os administradores podem exibir registros filtrados por intervalo de tempo e aplicativo. Os administradores podem comparar o número de IPs incompatíveis detectados com o número total de entradas durante um período de tempo especificado.

Para desbloquear usuários, os administradores podem adicionar endereços IP específicos a um local nomeado confiável.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Localizações Nomeadas. Aqui você pode criar ou atualizar locais de IP confiáveis.

Observação

Antes de adicionar um endereço IP como um local nomeado confiável, confirme se o endereço IP de fato pertence à organização pretendida.

Para obter mais informações sobre locais nomeados, consulte o artigo Usando a condição de localização.

Conteúdo relacionado