O que é o diagnóstico de entrada no Microsoft Entra ID?

Determinar o motivo de uma falha no início de sessão pode rapidamente tornar-se uma tarefa difícil. Você precisa analisar o que aconteceu durante a tentativa de entrada e pesquisar as recomendações disponíveis para resolver o problema. Idealmente, você deseja resolver o problema sem envolver outras pessoas, como o suporte da Microsoft. Se você estiver em uma situação como essa, você pode usar o diagnóstico de entrada no Microsoft Entra ID, uma ferramenta que ajuda a investigar entradas no Microsoft Entra ID.

Este artigo fornece uma visão geral do que é o diagnóstico de entrada e como você pode usá-lo para solucionar erros relacionados ao login.

Pré-requisitos

Para utilizar o diagnóstico de início de sessão:

• Você deve estar assinado como pelo menos um Leitor Global.
• Algumas informações de log de entrada podem exigir outras funções, como Administrador de Acesso Condicional.
• Os eventos de início de sessão sinalizados também podem ser revistos a partir do diagnóstico de início de sessão.
  • Os eventos de início de sessão sinalizados são capturados depois de um utilizador ter ativado a sinalização durante a sua experiência de início de sessão.
  • Para obter mais informações, consulte entradas sinalizadas.

Como é que isto funciona?

No Microsoft Entra ID, as tentativas de entrada são controladas por:

• Quem realizou uma tentativa de login.
• Como foi realizada uma tentativa de início de sessão.

Por exemplo, você pode configurar políticas de Acesso Condicional que permitem que os administradores configurem todos os aspetos do locatário quando entrarem na rede corporativa. Mas o mesmo utilizador pode ser bloqueado quando inicia sessão na mesma conta a partir de uma rede não fidedigna.

Devido à maior flexibilidade do sistema para responder a uma tentativa de entrada, você pode acabar em cenários em que precisa solucionar problemas de entrada. A ferramenta de diagnóstico de início de sessão permite o diagnóstico de problemas de início de sessão:

• Analisar dados de eventos de início de sessão e inícios de sessão sinalizados.
• Exibindo informações sobre o que aconteceu.
• Fornecer recomendações para resolver problemas.

Como aceder ao diagnóstico de início de sessão

Há três maneiras de acessar o diagnóstico de entrada no Microsoft Entra ID. Selecione uma guia para saber mais sobre cada método.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

De diagnosticar e resolver problemas

Pode iniciar o diagnóstico de início de sessão a partir da área Diagnosticar e Resolver Problemas do Microsoft Entra ID. Em Diagnosticar e Resolver Problemas, pode rever quaisquer eventos de início de sessão sinalizados ou procurar um evento de início de sessão específico. Também pode iniciar este processo a partir da área Diagnóstico e Resolução de Problemas de Acesso Condicional.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor Global.

2. Navegue até Diagnosticar & resolver problemas na parte superior da navegação à esquerda.

   

   • Você também pode acessar Diagnosticar & resolver problemas de Acesso Condicional, Usuários, Grupos, Proteção de Identidade e autenticação Multifator.

3. Selecione o link Solução de problemas no bloco Diagnóstico de entrada .

   

4. Selecione a guia Todos os eventos de entrada para iniciar uma pesquisa.

   • Em alguns casos, o sistema começa automaticamente a procurar eventos de início de sessão sinalizados. Se nada for encontrado, você será redirecionado para a guia Todos os Eventos de Entrada .

5. Insira o maior número possível de detalhes nos campos de pesquisa.

   • Usuário: forneça o nome ou endereço de e-mail de quem fez a tentativa de login.
   • Aplicativo: forneça o nome de exibição do aplicativo ou o ID do aplicativo.
   • correlationId ou requestId: esses detalhes podem ser encontrados no relatório de erros ou nos detalhes do log de entrada.
   • Data e hora: forneça uma data e hora para localizar eventos de entrada que ocorreram dentro de 48 horas.

6. Selecione o botão Next (Seguinte).

7. Explore os resultados e tome as medidas necessárias.

A partir dos registos de início de sessão

Pode iniciar o diagnóstico de início de sessão a partir de um evento de início de sessão específico nos registos de início de sessão. Quando inicia o processo a partir de um evento de início de sessão específico, o diagnóstico começa imediatamente. Você não será solicitado a inserir detalhes primeiro.

1. Navegue até Monitoramento de identidade>& integridade>Logs de entrada e selecione um evento de entrada.

   • Pode filtrar a sua lista para facilitar a localização de eventos de início de sessão específicos.

2. Na janela Detalhes da atividade que se abre, selecione o link Iniciar o diagnóstico de login .

   

3. Explore os resultados e tome as medidas necessárias.

A partir de um pedido de suporte

Se você estiver no meio da criação de uma solicitação de suporte e as opções selecionadas estiverem relacionadas à atividade de entrada, você será solicitado a executar o diagnóstico de entrada durante o processo de solicitação de suporte.

1. Navegue para diagnosticar e resolver problemas.

2. Selecione os campos apropriados conforme necessário. Por exemplo:

   • Tipo de serviço: Microsoft Entra Sign-in e autenticação multifator
   • Tipo de problema: Autenticação multifator
   • Subtipo de problema: Não é possível entrar em um aplicativo devido a MFA

3. Explore os resultados e tome as medidas necessárias.

Como usar os resultados do diagnóstico

Depois que o diagnóstico de entrada concluir sua pesquisa, algumas coisas aparecerão na tela.

O Resumo de autenticação lista todos os eventos que correspondem aos detalhes fornecidos. Selecione a opção Exibir colunas no canto superior direito do resumo para alterar as colunas exibidas.

Os resultados do Diagnóstico descrevem o que aconteceu durante os eventos de início de sessão.

• Os cenários podem incluir requisitos de MFA de uma política de Acesso Condicional, eventos de início de sessão que possam ter de ter uma política de Acesso Condicional aplicada ou um grande número de tentativas de início de sessão falhadas nas últimas 48 horas.

• Conteúdo relacionado e links para ferramentas de solução de problemas podem ser fornecidos.

• Leia os resultados para identificar todas as ações que você pode tomar.

• Como nem sempre é possível resolver problemas sem mais ajuda, uma etapa recomendada pode ser abrir um tíquete de suporte.

  

Cenários comuns

Analise as dicas na seção a seguir para ver alguns cenários comuns em que o diagnóstico de entrada pode fornecer informações úteis sobre solução de problemas.

Acesso Condicional

As políticas de Acesso Condicional são usadas para aplicar os controles de acesso corretos quando necessário para manter sua organização segura. Como as políticas de Acesso Condicional podem ser usadas para conceder ou bloquear o acesso a recursos, elas geralmente aparecem no diagnóstico de entrada.

• Bloqueado pelo Acesso Condicional: as suas políticas de Acesso Condicional impediram o utilizador de iniciar sessão.

• Acesso condicional com falha: é possível que suas políticas de acesso condicional sejam muito rígidas. Reveja as suas configurações para obter conjuntos completos de utilizadores, grupos e aplicações. Certifique-se de que compreende as implicações de restringir o acesso a partir de determinados tipos de dispositivos.

• Autenticação multifator (MFA) do Acesso Condicional: suas políticas de Acesso Condicional acionaram o processo de MFA para o usuário.

• Entrada bloqueada B2B devido ao Acesso Condicional: você tem uma política de Acesso Condicional em vigor para bloquear o login de identidades externas.

Autenticação multifator

Há vários eventos relacionados à autenticação multifator (MFA) que você pode solucionar usando a ferramenta de diagnóstico de entrada.

• MFA de outros requisitos: Se os resultados mostraram MFA de um requisito diferente do Acesso Condicional, você pode ter a MFA habilitada por usuário. Recomendamos converter MFA por usuário em Acesso Condicional. O diagnóstico de entrada fornece detalhes sobre a origem da interrupção da MFA e o resultado da interação.

• MFA "proofup": MFA interrompeu a tentativa de login, portanto, informações sobre "proofup" são fornecidas nos resultados do diagnóstico. Este erro aparece quando os usuários estão configurando o MFA pela primeira vez e não concluem a instalação ou sua configuração não foi configurada com antecedência.

  

• Corrigir ou credenciais incorretas: Às vezes, os usuários apenas inserem as credenciais erradas. A ferramenta de diagnóstico de início de sessão pode ajudar a distinguir entre erro humano e outros problemas.

• Entrada bem-sucedida: em alguns casos, você deseja saber se os eventos de entrada não são interrompidos pelo Acesso Condicional ou MFA, mas devem ser. A ferramenta de diagnóstico de entrada fornece detalhes sobre eventos de entrada que devem ser interrompidos, mas não são.

• Conta bloqueada: um usuário tentou entrar com credenciais incorretas muitas vezes. Os resultados do diagnóstico ajudam a determinar de onde vêm as tentativas e se são tentativas legítimas de login do usuário ou não. São fornecidos detalhes sobre as aplicações, o número de tentativas, o dispositivo utilizado, o sistema operativo e o endereço IP. Para obter mais informações, consulte Microsoft Entra Smart Lockout.

• Nome de utilizador ou palavra-passe inválidos: quando um utilizador tenta iniciar sessão utilizando um nome de utilizador ou palavra-passe inválidos, o diagnóstico de início de sessão fornece detalhes sobre as aplicações, o número de tentativas, o dispositivo utilizado, o sistema operativo e o endereço IP. Essas informações ajudam a determinar se o usuário inseriu credenciais incorretas ou se o aplicativo armazenou em cache uma senha antiga e está reenviando-a.

Aplicações empresariais

Em aplicativos corporativos, podem ocorrer problemas com a configuração do aplicativo do provedor de identidade (Microsoft Entra ID) ou com a configuração do provedor de serviços (serviço de aplicativo, também conhecido como aplicativo SaaS)

• Provedor de serviços de aplicativos corporativos: se a entrada falhou devido a um problema com o lado do provedor de serviços (aplicativo) do fluxo de entrada, o problema será resolvido corrigindo problemas no serviço de aplicativo. Você precisa entrar no outro serviço e alterar algumas configurações de acordo com as diretrizes de diagnóstico.

• Configuração de aplicativos corporativos: se a entrada falhou devido a um problema de configuração no lado da ID do Microsoft Entra do aplicativo, você precisará revisar e atualizar a configuração do aplicativo em Aplicativos Corporativos.

Predefinições de segurança

Os eventos de início de sessão podem ser interrompidos devido às predefinições de segurança. Os padrões de segurança impõem práticas recomendadas de segurança para sua organização. Uma prática recomendada é exigir que a MFA seja configurada e usada para evitar que pulverizações de senha, ataques de repetição e tentativas de phishing sejam bem-sucedidas.

Para obter mais informações, consulte O que são padrões de segurança?.

Insights de código de erro

Quando um evento não tem uma análise contextual no diagnóstico de entrada, uma explicação atualizada do código de erro e conteúdo relevante podem ser mostrados. As informações de código de erro contêm texto detalhado sobre o cenário, como corrigir o problema e qualquer conteúdo a ser lido sobre o problema.

Autenticação legada

Este cenário envolve um evento de início de sessão que foi bloqueado ou interrompido porque o cliente estava a tentar utilizar a Autenticação Legada (ou Básica).

Recomenda-se que a prevenção do início de sessão com autenticação herdada seja a prática recomendada para fins de segurança. Protocolos de autenticação herdados como POP, SMTP, IMAP e MAPI não podem impor MFA, o que os torna pontos de entrada preferenciais para adversários atacarem sua organização.

Para obter mais informações, consulte Como bloquear a autenticação herdada para o Microsoft Entra ID com acesso condicional.

Entrada B2B bloqueada devido ao Acesso Condicional

Este cenário de diagnóstico deteta um início de sessão bloqueado ou interrompido devido ao utilizador ser de outra organização. Por exemplo, um início de sessão B2B, em que uma política de Acesso Condicional requer que o dispositivo do cliente seja associado ao inquilino do recurso.

Para obter mais informações, consulte Acesso condicional para usuários de colaboração B2B.

Bloqueado pela política de risco

Este cenário é onde as políticas de Acesso Condicional baseadas em risco bloqueiam uma tentativa de início de sessão porque a tentativa de início de sessão foi identificada como arriscada.

Para obter mais informações, consulte Como configurar e habilitar políticas de risco.

Passar pela autenticação

Como a autenticação de passagem é uma integração de tecnologias de autenticação local e na nuvem, pode ser difícil determinar onde está o problema. Este diagnóstico destina-se a tornar estes cenários mais fáceis de diagnosticar e resolver.

Este cenário de diagnóstico identifica problemas de entrada específicos do usuário quando o método de autenticação que está sendo usado é autenticação de passagem (PTA) e há um erro específico de PTA. Erros devido a outros problemas, mesmo quando a autenticação PTA está sendo usada, ainda serão diagnosticados corretamente.

Os resultados do diagnóstico mostram informações contextuais sobre a falha e o login do usuário. Os resultados podem mostrar outros motivos pelos quais o login falhou e as ações recomendadas que o administrador pode tomar para resolver o problema. Para obter mais informações, consulte Microsoft Entra Connect: Solucionar problemas de autenticação de passagem.

Início de sessão único totalmente integrado

O logon único integrado integra a autenticação Kerberos com a autenticação na nuvem. Como esse cenário envolve dois protocolos de autenticação, pode ser difícil entender onde está um ponto de falha quando ocorrem problemas de entrada. Este diagnóstico destina-se a tornar estes cenários mais fáceis de diagnosticar e resolver.

Este cenário de diagnóstico examina o contexto da falha de entrada e a causa específica da falha. Os resultados do diagnóstico podem incluir informações contextuais sobre a tentativa de início de sessão e ações sugeridas que o administrador pode tomar. Para obter mais informações, consulte Solucionar problemas de logon único contínuo do Microsoft Entra.

Conteúdos relacionados

• Iniciar sessão no diagnóstico para cenários do Microsoft Entra
• Saiba mais sobre entradas sinalizadas
• Resolução de problemas de erros de início de sessão