Solução de problemas de registro combinado de informações de segurança
As informações neste artigo destinam-se a orientar os administradores que estão solucionando problemas relatados pelos usuários da experiência de registro combinado.
Registos de auditoria
Os eventos registrados para registro combinado estão no serviço Métodos de Autenticação nos logs de auditoria do Microsoft Entra.
A tabela a seguir lista todos os eventos de auditoria gerados pelo registro combinado:
| Atividade | Status | Motivo | Description |
|---|---|---|---|
| O utilizador registou todas as informações de segurança necessárias | Com êxito | O utilizador registou todas as informações de segurança necessárias. | Esse evento ocorre quando um usuário concluiu o registro com êxito. |
| O utilizador registou todas as informações de segurança necessárias | Falha | O usuário cancelou o registro de informações de segurança. | Esse evento ocorre quando um usuário cancela o registro do modo de interrupção. |
| Informações de segurança registadas pelo utilizador | Com êxito | Método registado pelo utilizador. | Esse evento ocorre quando um usuário registra um método individual. O método pode ser aplicativo autenticador, telefone, e-mail, perguntas de segurança, senha do aplicativo, telefone alternativo e assim por diante. |
| Informações de segurança revisadas pelo usuário | Com êxito | O usuário revisou com êxito as informações de segurança. | Esse evento ocorre quando um usuário seleciona Parece bom na página de revisão de informações de segurança. |
| Informações de segurança revisadas pelo usuário | Falha | O utilizador não conseguiu rever as informações de segurança. | Esse evento ocorre quando um usuário seleciona Parece bom na página de revisão de informações de segurança, mas algo falha no back-end. |
| Informações de segurança excluídas pelo usuário | Com êxito | Método excluído pelo usuário. | Esse evento ocorre quando um usuário exclui um método individual. O método pode ser aplicativo autenticador, telefone, e-mail, perguntas de segurança, senha do aplicativo, telefone alternativo e assim por diante. |
| Informações de segurança excluídas pelo usuário | Falha | O usuário falhou ao excluir o método. | Esse evento ocorre quando um usuário tenta excluir um método, mas a tentativa falha por algum motivo. O método pode ser aplicativo autenticador, telefone, e-mail, perguntas de segurança, senha do aplicativo, telefone alternativo e assim por diante. |
| Informações de segurança padrão alteradas pelo usuário | Com êxito | O usuário alterou as informações de segurança padrão para o método. | Esse evento ocorre quando um usuário altera o método padrão. O método pode ser notificação do aplicativo autenticador, um código do meu aplicativo autenticador ou token, Chamada +X XXXXXXXXXX, Texto um código para +X XXXXXXXXX, e assim por diante. |
| Informações de segurança padrão alteradas pelo usuário | Falha | O usuário não conseguiu alterar as informações de segurança padrão para o método. | Esse evento ocorre quando um usuário tenta alterar o método padrão, mas a tentativa falha por algum motivo. O método pode ser notificação do aplicativo autenticador, um código do meu aplicativo autenticador ou token, Chamada +X XXXXXXXXXX, Texto um código para +X XXXXXXXXX, e assim por diante. |
Solução de problemas do modo de interrupção
| Sintoma | Passos de resolução de problemas |
|---|---|
| Eu não estou vendo os métodos que eu esperava ver. | 1. Verifique se o usuário tem uma função de administrador do Microsoft Entra. Se sim, veja as diferenças da política de administração do SSPR. 2. Determine se o usuário está sendo interrompido devido à imposição de registro de autenticação multifator ou imposição de registro SSPR. Consulte o fluxograma em "Modos de registo combinados" para determinar quais os métodos que devem ser apresentados. 3. Determine quão recentemente a autenticação multifator ou a política SSPR foi alterada. Se a alteração for recente, pode levar algum tempo para que a política atualizada se propague. |
Solução de problemas do modo de gerenciamento
| Sintoma | Passos de resolução de problemas |
|---|---|
| Não tenho a opção de adicionar um método específico. | 1. Determine se o método está habilitado para autenticação multifator ou para SSPR. 2. Se o método estiver ativado, salve as políticas novamente e aguarde de 1 a 2 horas antes de testar novamente. 3. Se o método estiver ativado, certifique-se de que o usuário ainda não configurou o número máximo desse método que ele tem permissão para configurar. |
Como reverter usuários
Se você, como administrador, quiser redefinir as configurações de autenticação multifator de um usuário, poderá usar o script do PowerShell fornecido na próxima seção. O script limpará a propriedade StrongAuthenticationMethods do aplicativo móvel e/ou número de telefone de um usuário. Se você executar esse script para seus usuários, eles precisarão se registrar novamente para autenticação multifator, se precisarem. Recomendamos testar a reversão com um ou dois usuários antes de reverter todos os usuários afetados.
As etapas a seguir ajudarão você a reverter um usuário ou grupo de usuários.
Pré-requisitos
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Instale os módulos apropriados do Azure AD PowerShell. Em uma janela do PowerShell, execute estes comandos para instalar os módulos:
Install-Module -Name MSOnline Import-Module MSOnlineSalve a lista de IDs de objeto de usuário afetados em seu computador como um arquivo de texto com um ID por linha. Anote o local do arquivo.
Salve o seguinte script em seu computador e anote o local do script:
<# //******************************************************** //* * //* Copyright (C) Microsoft. All rights reserved. * //* * //******************************************************** #> param($path) # Define Remediation Fn function RemediateUser { param ( $ObjectId ) $user = Get-MsolUser -ObjectId $ObjectId Write-Host "Checking if user is eligible for rollback: UPN: " $user.UserPrincipalName " ObjectId: " $user.ObjectId -ForegroundColor Yellow $hasMfaRelyingParty = $false foreach($p in $user.StrongAuthenticationRequirements) { if ($p.RelyingParty -eq "*") { $hasMfaRelyingParty = $true Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow } } if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty) { Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow Write-Host "Rolling back user ..." -ForegroundColor Yellow Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green } else { Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required." } Write-Host "" Start-Sleep -Milliseconds 750 } # Connect Import-Module MSOnline Connect-MsolService foreach($line in Get-Content $path) { RemediateUser -ObjectId $line }
Reversão
Em uma janela do PowerShell, execute o seguinte comando, fornecendo o script e os locais dos arquivos do usuário. Forneça pelo menos credenciais de Administrador de Autenticação Privilegiada quando solicitado. O script produzirá o resultado de cada operação de atualização do usuário.
<script location> -path <user file location>