Resolver problemas de início de sessão com Acesso Condicional
As informações neste artigo podem ser usadas para solucionar problemas de resultados de entrada inesperados relacionados ao Acesso Condicional usando mensagens de erro e logs de entrada do Microsoft Entra.
Selecione "todas" as consequências
O Acesso Condicional proporciona-lhe uma grande flexibilidade de configuração. No entanto, uma grande flexibilidade também significa que deve analisar cuidadosamente cada política de configuração antes de criá-la para evitar resultados indesejáveis. Neste contexto, deve prestar especial atenção às atribuições que afetam conjuntos completos, como todos os utilizadores/grupos/aplicações na cloud.
As organizações devem evitar as seguintes configurações:
Para todos os utilizadores, todas as aplicações na cloud:
- Bloquear o acesso – esta configuração bloqueia toda a organização.
- Exigir que o dispositivo seja marcado como conforme – para os utilizadores que ainda não inscreveram os respetivos dispositivos, esta política bloqueia todo o acesso, incluindo o acesso ao portal do Intune. Se for um administrador sem um dispositivo inscrito, esta política impede-o de voltar para alterar a política.
- Exigir um dispositivo associado a um domínio do Microsoft Entra Híbrido – este acesso de bloqueio de política também permite bloquear o acesso de todos os utilizadores na sua organização se não tiverem um dispositivo associado ao Microsoft Entra híbrido.
- Exigir uma política de proteção de aplicações – este bloqueio de política também permite bloquear o acesso de todos os utilizadores na sua organização se não tiver uma política do Intune. Se for um administrador sem uma aplicação cliente com uma política de proteção de aplicações do Intune, esta política impede-o de voltar aos portais, como o Intune e o Azure.
Para todos os utilizadores, todas as aplicações na cloud, todas as plataformas de dispositivos:
- Bloquear o acesso – esta configuração bloqueia toda a organização.
Interrupção do início de sessão do Acesso Condicional
A primeira forma é analisar a mensagem de erro apresentada. Para problemas de início de sessão ao utilizar um browser, a própria página de erro tem informações detalhadas. Esta informação por si só pode descrever qual é o problema e pode sugerir uma solução.
No erro acima, a mensagem indica que a aplicação só pode ser acedida a partir de dispositivos ou aplicações cliente que cumpram a política de gestão de dispositivos móveis da empresa. Neste caso, a aplicação e o dispositivo não cumprem essa política.
Eventos de início de sessão do Microsoft Entra
O segundo método para obter informações detalhadas sobre a interrupção do início de sessão é analisar os eventos de início de sessão do Microsoft Entra para verificar que política ou políticas de Acesso Condicional foram aplicadas e porquê.
Mais informações podem ser encontradas sobre o problema clicando em Mais detalhes na página de erro inicial. Clicar em Mais Detalhes revela informações de solução de problemas que são úteis ao pesquisar os eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.
Para saber que política ou políticas de Acesso Condicional foram aplicadas e porquê, faça o seguinte.
Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
Localize o evento do início de sessão a analisar. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.
- Reduza o escopo adicionando filtros como:
- ID de correlação quando tem um evento específico para investigar.
- Acesso condicional para ver o fracasso e o sucesso da política. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.
- Nome de utilizador para ver informações relacionadas com utilizadores específicos.
- Data no âmbito do intervalo de tempo em questão.
- Reduza o escopo adicionando filtros como:
Quando o evento de início de sessão correspondente à falha de início de sessão do utilizador for encontrado, selecione o separador Acesso Condicional. O separador Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção do início de sessão.
- As informações na guia Solução de problemas e suporte podem fornecer um motivo claro pelo qual uma entrada falhou, como um dispositivo que não atendeu aos requisitos de conformidade.
- Para investigar mais, faça uma busca detalhada na configuração das políticas clicando no Nome da política. Clicar no Nome da política mostra a interface do usuário de configuração da política para a política selecionada para revisão e edição.
- Os detalhes do utilizador cliente e do dispositivo que foram utilizados na avaliação da política de Acesso Condicional também estão disponíveis nos separadores Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de início de sessão.
A política não está a funcionar conforme pretendido
Se selecionar as reticências no lado direito da política num evento de início de sessão, serão apresentados os detalhes da política. Esta opção dá aos administradores informações adicionais sobre o porquê de uma política ter sido aplicada com sucesso ou não.
O lado esquerdo fornece detalhes recolhidos no início de sessão e o lado direito fornece detalhes sobre se esses detalhes satisfazem os requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso Condicional só se aplicam quando todas as condições foram cumpridas ou não estão configuradas.
Se as informações no evento não forem suficientes para compreender os resultados do início de sessão ou ajustar a política para obter os resultados pretendidos, pode ser utilizada a ferramenta de diagnóstico de início de sessão. O diagnóstico de início de sessão pode ser encontrado em Informações básicas>Resolver Problemas do Evento. Para obter mais informações sobre o diagnóstico de início de sessão, veja o artigo Qual é o diagnóstico de início de sessão no Microsoft Entra ID. Também pode utilizar a ferramenta What If para resolver problemas com as políticas de Acesso Condicional.
Se precisar de submeter um incidente de suporte, indique o ID do pedido e a hora e data do evento de início de sessão nos detalhes da submissão do incidente. Essas informações permitem que o suporte da Microsoft encontre o evento específico com o qual você está preocupado.
Códigos de erro comuns de Acesso Condicional
| Código de Erro de Início de Sessão | Cadeia de Erro |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | ApplicationUsedIsNotAnApprovedApp |
| 53003 | BlockedByConditionalAccess |
| 53004 | ProofUpBlockedDueToRisk |
Pode encontrar mais informações sobre códigos de erro no artigo Códigos de erro de autenticação e autorização do Microsoft Entra. Os códigos de erro na lista são apresentados com um prefixo AADSTS seguido do código visto no browser, por exemplo, AADSTS53002.
Dependências do serviço
Em alguns cenários específicos, os usuários são bloqueados porque há aplicativos na nuvem com dependências de recursos bloqueados pela política de Acesso Condicional.
Para determinar a dependência do serviço, verifique o registo de inícios de sessão da aplicação e do recurso chamados pelo início de sessão. Na captura de ecrã seguinte, a aplicação chamada é o portal do Azure, mas o recurso chamado é a API de Gestão de Serviços do Microsoft Azure. Para resolver este cenário corretamente, todas as aplicações e recursos devem ser igualmente combinados na política de Acesso Condicional.
O que fazer se estiver bloqueado
Se você estiver bloqueado devido a uma configuração incorreta em uma política de Acesso Condicional:
- Verifique se existem outros administradores na sua organização que ainda não estão bloqueados. Um administrador com acesso pode desativar a política que está a afetar o início de sessão.
- Se nenhum dos administradores na sua organização conseguir atualizar a política, submeta um pedido de suporte. O suporte da Microsoft pode analisar e, após confirmação, atualizar as políticas de Acesso Condicional que estão a impedir o acesso.