Como investigar o alerta de política de bloco de acesso condicional

O monitoramento do Microsoft Entra Health fornece um conjunto de métricas de integridade no nível do locatário que você pode monitorar e alertas para quando um possível problema ou condição de falha é detectado. Há vários cenários de saúde que podem ser monitorados, incluindo políticas de bloqueio de Acesso Condicional. Para saber mais sobre como o Microsoft Entra Health funciona, confira:

• O que é o Microsoft Entra Health?
• Como usar os sinais e alertas de monitoramento de integridade do Microsoft Entra

Este artigo descreve as métricas de integridade relacionadas às políticas de bloco de Acesso Condicional, como impedir inesperadamente que os usuários acessem recursos ou a política não funcionar conforme o esperado.

Importante

Atualmente, os alertas e o monitoramento do cenário do Microsoft Entra Health estão em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para exibir sinais de monitoramento de saúde e configurar e receber alertas. É recomendável usar uma função com acesso de privilégio mínimo para se alinhar com as diretrizes de Confiança Zero .

• Um locatário com uma licença do Microsoft Entra P1 ou P2 é necessário para exibir os sinais de monitoramento do cenário do Microsoft Entra Health.
• Um locatário com uma licença do Microsoft Entra P1 ou P2e pelo menos 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
• A função Leitor de Relatórios é a função menos privilegiada necessária para exibir sinais de monitoramento de cenário, alertas e configurações de alerta.
• O Administrador do Helpdesk é a função menos privilegiada necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A função Administrador de Acesso Condicional é necessária para exibir e modificar políticas de Acesso Condicional.
• A HealthMonitoringAlert.Read.All permissão é necessária para exibir os alertas usando a API do Microsoft Graph.
• A HealthMonitoringAlert.ReadWrite.All permissão é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• Para obter uma lista completa de funções, consulte Função com privilégios mínimos por tarefa.

Investigar o alerta e o sinal

A investigação de um alerta começa com a coleta de dados. Com o Microsoft Entra Health no Centro de administração do Microsoft Entra, você pode exibir os detalhes do sinal e do alerta em um só lugar. Você também pode exibir os sinais e alertas usando a API do Microsoft Graph. Para obter mais informações, consulte Como investigar alertas de cenário de integridade para obter diretrizes sobre como coletar dados usando a API do Microsoft Graph.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

2. Navegue até Entra ID>Monitoramento e integridade>Integridade. A página é aberta na seção de Cumprimento do Acordo de Nível de Serviço (SLA).

3. Selecione a guia Monitoramento de Integridade .

4. Selecione o cenário de política de bloqueio de Acesso Condicional e selecione um alerta ativo.

5. Exiba o sinal da seção Exibir grafo de dados para se familiarizar com o padrão e identificar anomalias.

6. Investigue problemas comuns de Acesso condicional.

   • Solucionar problemas de login do Acesso Condicional.
   • Política de exemplo de bloqueio de acesso.

7. Examine os logs de entrada.

   • Examine os detalhes do log de entrada.
   • Procure logons em que o status de Acesso condicional seja "falha".

8. Verifique os logs de auditoria para obter alterações recentes na política.

   • Use os logs de auditoria para solucionar problemas de alterações na política de Acesso Condicional.

Entender o sinal

O sinal do Microsoft Entra Health para a política de bloqueio de Acesso Condicional pode acionar um alerta se houver um pico ou uma queda no número de usuários impedidos de acessar recursos devido a uma política de Acesso Condicional.

• Um pico pode significar que uma nova política foi habilitada ou uma política existente foi modificada para atingir um conjunto mais amplo de usuários e recursos.
• Uma queda pode significar que uma política foi desabilitada ou modificada para atingir um conjunto menor de usuários e recursos.

Essas alterações podem ser intencionais ou não intencionais.

• Se a alteração for intencional, nenhuma outra ação provavelmente será necessária.
• Se a alteração não for intencional, você deverá examinar a política de Acesso Condicional modificada nos logs de auditoria.

Atenuar problemas comuns

Os problemas comuns a seguir podem fazer com que o alerta de política de bloqueio de acesso condicional dispare um alerta. Essa lista não é completa, mas fornece um ponto de partida para sua investigação.

Muitos usuários estão recebendo a mensagem "Você não pode chegar lá daqui"

O alerta de bloqueio de Acesso Condicional pode ser disparado se houver um aumento na mensagem de erro "Você não pode chegar lá a partir daqui" durante o login. Essa mensagem será exibida se o aplicativo que o usuário está tentando acessar só puder ser acessado de dispositivos ou aplicativos cliente que atendam à política de gerenciamento de dispositivo móvel da organização.

• Um pico em um grande número de usuários que recebem esse alerta pode indicar uma alteração na política de gerenciamento de dispositivo móvel da organização.
• Um pico para alguns usuários pode indicar um problema com seu dispositivo específico.

Para investigar:

Vá para a seção Entidades Afetadas do cenário selecionado e selecione Exibição para usuários.

• Se o problema estiver afetando um número maior de usuários, pode haver uma alteração na política de gerenciamento de dispositivo móvel que você precisa resolver.
• Se o problema estiver afetando alguns usuários, ele poderá estar relacionado ao dispositivo específico. Talvez seja necessário ingressar seus dispositivos na rede da organização. Selecione um usuário para navegar diretamente até seu perfil.

Para corrigir problemas que afetam um grande número de usuários:

1. Examine os logs de auditoria para ver quais alterações foram feitas em suas políticas de Acesso Condicional.

   • Filtrar para Categoria: Política e procure os seguintes eventos:
     • Adicionar política de acesso condicional
     • Excluir política de acesso condicional
     • Atualizar política de acesso condicional

   

   • Você também pode usar as seguintes consultas da API do Microsoft Graph:
     • GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access'
     • GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Update'
     • GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq ‘Add’
     • GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Delete'
     • GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and activityDateTime ge 2024-12-04T22:03:57.2013763Z

2. Examine as políticas de gerenciamento de dispositivo móvel para garantir que elas estejam configuradas corretamente. Entre no centro de administração do Microsoft Intune como administrador do Intune e navegue até aConfiguração de > para examinar suas políticas.

Para corrigir problemas que afetam usuários específicos:

• Conecte seu dispositivo de propriedade da empresa à rede da organização.
• Registre seu dispositivo pessoal na rede da organização.

Conteúdo relacionado

• Saiba mais sobre o Acesso Condicional e o Intune
• Como investigar alertas de cenário de saúde