Compartilhar via

Solucionar problemas de entrada com o Acesso Condicional

Use este artigo para corrigir resultados de entrada inesperados relacionados ao Acesso Condicional verificando mensagens de erro e logs de entrada do Microsoft Entra.

Selecionar “todas” as consequências

A estrutura de Acesso Condicional oferece muita flexibilidade de configuração. Mas essa flexibilidade significa que você precisa examinar cuidadosamente cada política de configuração antes de liberá-la para evitar resultados indesejados. Nesse contexto, preste atenção especial às atribuições que afetam conjuntos completos, como todos os usuários/grupos/recursos.

Não use as seguintes configurações:

Para todos os usuários, todos os recursos:

  • Bloquear o acesso – essa configuração bloqueia toda a organização.
  • Exigir que o dispositivo seja marcado como compatível - Para usuários que ainda não registraram seus dispositivos, essa política bloqueia todo o acesso, incluindo o acesso ao portal do Intune. Se você for um administrador sem um dispositivo registrado, essa política impedirá que você volte a alterar a política.
  • Exigir dispositivo ingressado no domínio híbrido do Microsoft Entra – essa política também pode bloquear o acesso de todos os usuários em sua organização se eles não tiverem um dispositivo híbrido ingressado no Microsoft Entra.
  • Exigir política de proteção de aplicativo – essa política também pode bloquear o acesso para todos os usuários da sua organização se você não tiver uma política do Intune. Se você for um administrador sem um aplicativo cliente que tenha uma política de proteção de aplicativo do Intune, essa política impedirá que você volte para portais como o Intune e o Azure.

Para todos os usuários, todos os recursos, todas as plataformas de dispositivo:

  • Bloquear o acesso – essa configuração bloqueia toda a sua organização.

Interrupção de entrada do Acesso Condicional

Verifique a mensagem de erro exibida. Se você estiver entrando com um navegador da Web, a página de erro geralmente terá informações detalhadas. Essas informações geralmente descrevem o problema e sugerem uma solução.

Captura de tela de um erro de entrada que diz que um dispositivo em conformidade é necessário.

Nesse erro, a mensagem diz que você só pode usar o aplicativo de dispositivos ou aplicativos cliente que atendam à política de gerenciamento de dispositivo móvel da sua empresa. Aqui, o aplicativo e o dispositivo não atendem à política.

Eventos de entrada do Microsoft Entra

Para obter informações detalhadas sobre a interrupção de entrada, examine os eventos de entrada do Microsoft Entra para ver quais políticas ou políticas de Acesso Condicional foram aplicadas e por quê.

Mais informações podem ser encontradas sobre o problema clicando em Mais Detalhes na página de erro inicial. Clicar em Mais Detalhes revela informações de solução de problemas que são úteis ao pesquisar os eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.

Captura de tela mostrando mais detalhes de um logon de navegador da Web interrompido pelo Acesso Condicional.

Siga estas etapas para descobrir quais políticas ou políticas de Acesso Condicional foram aplicadas e por quê.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Acesse Entra ID>Monitoramento e integridade>Logs de entrada.

  3. Encontre o evento de entrada para revisão. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.

    1. Restrinja o escopo adicionando filtros como:
      1. ID de correlação quando você tem um evento específico para investigar.
      2. Acesso Condicional para ver a falha e o êxito da política. Crie um escopo para o filtro para mostrar apenas as falhas e limitar os resultados.
      3. Nome de usuário para ver informações relacionadas a usuários específicos.
      4. Data limitada ao período em questão.
      5. Recurso para ver informações relacionadas ao recurso chamado.

    Captura de tela mostrando a seleção do filtro acesso condicional no log de entrada.

  4. Depois de encontrar o evento de entrada que corresponde à falha de entrada do usuário, selecione a guia Acesso Condicional . A guia Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção da entrada.

    1. As informações na guia Solução de problemas e suporte podem fornecer um motivo claro para que uma entrada tenha falhado, como um dispositivo que não atendia aos requisitos de conformidade.
    2. Para investigar mais, faça uma busca detalhada sobre a configuração das políticas clicando no Nome da Política. Clicar no Nome da Política mostra a interface do usuário de configuração de política para a política selecionada para revisão e edição.
    3. Os detalhes do usuário cliente e do dispositivo que foram usados para a avaliação da política de Acesso Condicional também estão disponíveis nas guias Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de entrada.

A política não está funcionando conforme o esperado

Selecione as reticências à direita da política em um evento de entrada para exibe os detalhes da política. Essa opção fornece aos administradores mais informações sobre por que uma política foi aplicada ou não.

Captura de tela mostrando detalhes da Política de Acesso Condicional para ver por que a política foi aplicada ou não.

O lado esquerdo fornece detalhes coletados na entrada e o lado direito fornece detalhes sobre se esses detalhes atendem aos requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso condicional se aplicam somente quando todas as condições são satisfeitas ou não estão configuradas.

Se as informações do evento não forem suficientes para entender os resultados da entrada ou ajustar a política para obter os resultados desejados, use a ferramenta de diagnóstico de entrada. O diagnóstico de entrada pode ser encontrado em Informações básicas>Evento de Solução de Problemas. Para obter mais informações sobre o diagnóstico de entrada, consulte O que é o diagnóstico de entrada na ID do Microsoft Entra. Você também pode usar a ferramenta What If para solucionar problemas de políticas de Acesso Condicional.

Se você precisar enviar um incidente de suporte, inclua a ID da solicitação, a hora e a data do evento de entrada nos detalhes do incidente. Essas informações ajudam o suporte da Microsoft a encontrar o evento específico com o qual você está preocupado.

Códigos de erro comuns do Acesso Condicional

Código de erro de entrada Cadeia de caracteres de erro
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 AplicativoUtilizadoNãoÉUmAppAprovado
53003 BloqueadoPorAcessoCondicional
53004 ProofUpBlockedDueToRisk
53009 O aplicativo precisa impor políticas de proteção do Intune

Saiba mais sobre códigos de erro nos códigos de erro de autenticação e autorização do Microsoft Entra. Os códigos de erro na lista aparecem com um prefixo de AADSTS seguido pelo código que você vê no navegador, como AADSTS53002.

Dependências de serviço

Em alguns cenários, os usuários são bloqueados porque os aplicativos de nuvem dependem de recursos que uma política de Acesso Condicional bloqueia.

Para verificar a dependência do serviço, examine o registro de login para o aplicativo e o recurso chamados durante o login. Na captura de tela a seguir, o aplicativo é o Portal do Azure, mas o recurso é o Azure Resource Manager. Para abordar esse cenário, combine todos os aplicativos e recursos da política de Acesso Condicional.

Captura de tela de um log de entrada que mostra um aplicativo chamando um recurso. Esse cenário também é conhecido como uma dependência de serviço.

Relatórios de audiência

Quando um usuário entra em um aplicativo como o Microsoft Teams, ele está realmente solicitando acesso a vários recursos, como chat do Teams, calendário do Outlook, documentos do Excel e muito mais. Embora os usuários possam achar que estão apenas entrando no cliente do Teams, as políticas de Acesso Condicional se aplicam a todos esses recursos. Por exemplo, se um administrador restringir o acesso ao SharePoint ou a sites específicos do SharePoint, a política se aplicará mesmo quando o usuário achar que está entrando apenas no Teams.

O relatório de audiência nos logs de entrada permite que os administradores vejam todos os recursos solicitados como parte de um evento de entrada. Isso aparece como Audiência na seção Recurso para todas as políticas habilitadas ou somente relatório.

Captura de tela de uma entrada de log de entrada que mostra detalhes da política de Acesso Condicional e informações expandidas de recursos e audiência.

Os administradores encontram Audience nos registros de acesso depois de selecionar uma política na guia Acesso Condicional.

Os administradores usam o relatório de público para saber por que uma política de CA se aplica ou não se aplica a um evento de logon. Por exemplo, uma política se aplica a um evento de entrada específico porque um dos públicos da lista está no escopo da política.

O que fazer se você estiver bloqueado?

Se você estiver bloqueado devido a uma configuração incorreta em uma política de Acesso Condicional:

  • Verifique se há outros administradores em sua organização que ainda não estão bloqueados. Um administrador com acesso pode desabilitar a política que está afetando sua entrada.
  • Se nenhum administrador em sua organização puder atualizar a política, envie uma solicitação de suporte. A Microsoft dá suporte a revisões e, depois de confirmar, atualiza as políticas de Acesso Condicional que impedem o acesso.

Próximas etapas