Monitorizar e resolver problemas da avaliação contínua de acesso

  • Artigo

Os administradores podem monitorar e solucionar problemas de eventos de entrada em que a avaliação de acesso contínuo (CAE) é aplicada de várias maneiras.

Relatório de início de sessão da avaliação contínua de acesso

Os administradores podem monitorar as entradas do usuário onde a avaliação contínua de acesso (CAE) é aplicada. Estas informações encontram-se nos registos de início de sessão do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
  3. Aplique o filtro Is CAE Token .

Screenshot showing how to add a filter to the sign-in log to see where CAE is being applied or not.

A partir daqui, os administradores recebem informações sobre os eventos de início de sessão dos seus utilizadores. Selecione qualquer entrada para ver detalhes sobre a sessão, como quais políticas de Acesso Condicional foram aplicadas e se o CAE foi habilitado.

Existem vários pedidos de início de sessão para cada autenticação. Alguns estão na guia interativa, enquanto outros estão na guia não interativa. Os administradores devem verificar ambas as guias para confirmar se a autenticação do usuário está habilitada para CAE ou não.

Procurar tentativas de início de sessão específicas

Os logs de entrada contêm informações sobre eventos de sucesso e falha. Utilize filtros para limitar a sua pesquisa. Por exemplo, se um usuário entrou no Teams, use o filtro Aplicativo e defina-o como Teams. Os administradores poderão ter de verificar os inícios de sessão a partir de separadores interativos e não interativos para localizar o início de sessão específico. Para restringir ainda mais a pesquisa, os administradores podem aplicar vários filtros.

Livros da avaliação contínua de acesso

A pasta de trabalho de insights de avaliação de acesso contínuo permite que os administradores visualizem e monitorem as informações de uso do CAE para seus locatários. A tabela exibe tentativas de autenticação com incompatibilidades de IP. Esta pasta de trabalho pode ser encontrada como modelo na categoria Acesso Condicional.

Acessando o modelo de pasta de trabalho CAE

A integração do Log Analytics deve ser concluída antes que as pastas de trabalho sejam exibidas. Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um espaço de trabalho do Log Analytics, consulte o artigo Integrar logs do Microsoft Entra com logs do Azure Monitor.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.
  3. Em Modelos públicos, pesquise Informações de avaliação de acesso contínuo.

A pasta de trabalho Insights de avaliação de acesso contínuo contém a seguinte tabela:

Potencial incompatibilidade de endereço IP entre o ID do Microsoft Entra e o provedor de recursos

A possível incompatibilidade de endereço IP entre a tabela do Microsoft Entra ID & provedor de recursos permite que os administradores investiguem sessões em que o endereço IP detetado pelo ID do Microsoft Entra não corresponde ao endereço IP detetado pelo provedor de recursos.

Esta tabela de pasta de trabalho lança luz sobre esses cenários, exibindo os respetivos endereços IP e se um token CAE foi emitido durante a sessão.

Informações de avaliação de acesso contínuo por login

As informações de avaliação de acesso contínuo por página de entrada na pasta de trabalho conectam várias solicitações dos logs de entrada e exibem uma única solicitação onde um token CAE foi emitido.

Esta pasta de trabalho pode ser útil, por exemplo, quando: Um usuário abre o Outlook em sua área de trabalho e tenta acessar recursos dentro do Exchange Online. Esta ação de início de sessão pode ser mapeada para vários pedidos de início de sessão interativos e não interativos nos registos, dificultando o diagnóstico de problemas.

Configuração do endereço IP

Seu provedor de identidade e provedores de recursos podem ver endereços IP diferentes. Essa incompatibilidade pode acontecer devido aos seguintes exemplos:

  • Sua rede implementa tunelamento dividido.
  • Seu provedor de recursos está usando um endereço IPv6 e o Microsoft Entra ID está usando um endereço IPv4.
  • Devido às configurações de rede, o Microsoft Entra ID vê um endereço IP do cliente e seu provedor de recursos vê um endereço IP diferente do cliente.

Se esse cenário existir em seu ambiente, para evitar loops infinitos, o Microsoft Entra ID emitirá um token CAE de uma hora e não imporá a alteração do local do cliente durante esse período de uma hora. Mesmo neste caso, a segurança é melhorada em comparação com os tokens tradicionais de uma hora, uma vez que ainda estamos avaliando os outros eventos além dos eventos de mudança de localização do cliente.

Os administradores podem visualizar registros filtrados por intervalo de tempo e aplicativo. Os administradores podem comparar o número de IPs incompatíveis detetados com o número total de entradas durante um período de tempo especificado.

Para desbloquear usuários, os administradores podem adicionar endereços IP específicos a um local nomeado confiável.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Locais nomeados de acesso>condicional de proteção.> Aqui você pode criar ou atualizar locais de IP confiáveis.

Nota

Antes de adicionar um endereço IP como um local nomeado confiável, confirme se o endereço IP de fato pertence à organização pretendida.

Para obter mais informações sobre locais nomeados, consulte o artigo Usando a condição de local.

Conteúdos relacionados