Resolução de problemas de início de sessão com Acesso Condicional
Use este artigo para solucionar problemas de resultados de entrada inesperados relacionados ao Acesso Condicional usando mensagens de erro e logs de entrada do Microsoft Entra.
Selecione "todas" as consequências
A estrutura de Acesso Condicional oferece grande flexibilidade de configuração. No entanto, uma grande flexibilidade também significa que deve analisar cuidadosamente cada política de configuração antes de criá-la para evitar resultados indesejáveis. Neste contexto, preste especial atenção às atribuições que afetam conjuntos completos, tais como todos os utilizadores / grupos / aplicações na nuvem.
As organizações devem evitar as seguintes configurações:
Para todos os utilizadores, todos os recursos:
- Bloquear acesso - Esta configuração bloqueia toda a organização.
- Exigir que o dispositivo seja marcado como conforme – para os utilizadores que ainda não inscreveram os respetivos dispositivos, esta política bloqueia todo o acesso, incluindo o acesso ao portal do Intune. Se for um administrador sem um dispositivo registado, esta política impede-o de voltar a aceder para alterar a política.
- Exigir dispositivo associado ao domínio Microsoft Entra híbrido - Esta política também tem o potencial de bloquear o acesso de todos os utilizadores na sua organização se eles não tiverem um dispositivo associado ao domínio híbrido do Microsoft Entra.
- Exigir política de proteção de aplicativos - Esta política também tem o potencial de bloquear o acesso de todos os utilizadores na sua organização se não tiver uma política do Intune. Se for um administrador sem uma aplicação cliente com uma política de proteção de aplicações do Intune, esta política impede-o de voltar aos portais, como o Intune e o Azure.
Para todos os usuários, todos os recursos, todas as plataformas de dispositivos:
- Bloquear o acesso – esta configuração bloqueia toda a organização.
Interrupção no início de sessão do Acesso Condicional
Reveja a mensagem de erro apresentada. Em caso de problemas ao iniciar sessão quando utiliza um browser, a página de erro em si apresenta informações detalhadas. Só esta informação pode descrever o problema e sugerir uma solução.
No erro acima, a mensagem indica que a aplicação só pode ser acedida a partir de dispositivos ou aplicações cliente que cumpram a política de gestão de dispositivos móveis da empresa. Nesse caso, o aplicativo e o dispositivo não atendem à política.
Eventos de início de sessão do Microsoft Entra
O segundo método para obter informações detalhadas sobre a interrupção do início de sessão é analisar os eventos de início de sessão do Microsoft Entra para verificar que política ou políticas de Acesso Condicional foram aplicadas e porquê.
Mais informações podem ser encontradas sobre o problema clicando em Mais detalhes na página de erro inicial. Clicar em Mais Detalhes revela informações de solução de problemas que são úteis ao pesquisar os eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.
Para descobrir qual ou quais políticas de Acesso Condicional foram aplicadas e por quê, siga estas etapas.
Entre no Centro de Administração do Microsoft Entra no mínimo como um Leitor de Relatórios.
Navegue até Identidade>Monitorização e integridade>Registos de entrada.
Encontre o evento de login para rever. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.
- Reduza o escopo adicionando filtros como:
- ID de correlação quando tem um evento específico para investigar.
- Acesso condicional para verificar falhas e sucessos de políticas. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.
- Nome de utilizador para ver informações relacionadas com utilizadores específicos.
- Data referente ao intervalo de tempo em questão.
- Reduza o escopo adicionando filtros como:
Depois de localizar o evento de início de sessão que corresponde à falha de início de sessão do utilizador, selecione o separador Acesso Condicional. O separador Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção do início de sessão.
- As informações na guia Solução de problemas e suporte podem fornecer um motivo claro pelo qual uma entrada falhou, como um dispositivo que não atendeu aos requisitos de conformidade.
- Para investigar mais profundamente, vá até à configuração das políticas clicando no Nome da Política. Clicar em Nome da Política exibe a interface de configuração da política para a política selecionada, permitindo revisão e edição.
- Os detalhes do utilizador cliente e do dispositivo que foram utilizados na avaliação da política de Acesso Condicional também estão disponíveis nos separadores Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de início de sessão.
A política não está a funcionar conforme pretendido
Se selecionar o ícone de menu no lado direito da política durante um evento de início de sessão, serão apresentados os detalhes da política. Esta opção dá aos administradores informações adicionais sobre o porquê de uma política ter sido aplicada com sucesso ou não.
O lado esquerdo fornece detalhes recolhidos no início de sessão e o lado direito fornece detalhes sobre se esses detalhes satisfazem os requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso Condicional só se aplicam quando todas as condições foram cumpridas ou não estão configuradas.
Se as informações no evento não forem suficientes para compreender os resultados de início de sessão ou ajustar a política para obter os resultados pretendidos, utilize a ferramenta de diagnóstico de início de sessão. O diagnóstico de início de sessão está em Informações básicas>Evento de resolução de problemas. Para obter mais informações sobre o diagnóstico de entrada, consulte O que é o diagnóstico de entrada no Microsoft Entra ID. Também pode utilizar a ferramenta What If para resolver problemas com as políticas de Acesso Condicional.
Se precisar de submeter um incidente de suporte, indique o ID do pedido e a hora e data do evento de sessão nos detalhes da submissão do pedido de suporte. Essas informações permitem que o suporte da Microsoft encontre o evento específico com o qual você está preocupado.
Códigos de erro comuns de Acesso Condicional
| Código de Erro de Início de Sessão | Cadeia de Erro |
|---|---|
| 53000 | DispositivoNãoConforme |
| 53001 | DispositivoNãoPertenceAoDomínio |
| 53002 | AplicaçãoUtilizadaNãoÉUmaAplicaçãoAprovada |
| 53003 | BloqueadoPorAcessoCondicional |
| 53004 | ProvaBloqueadaDevidoARisco |
Pode encontrar mais informações sobre códigos de erro no artigo Códigos de erro de autenticação e autorização do Microsoft Entra. Os códigos de erro na lista são apresentados com um prefixo AADSTS seguido do código visto no browser, por exemplo, AADSTS53002.
Dependências de serviço
Em alguns cenários, os usuários são bloqueados porque os aplicativos na nuvem dependem de recursos bloqueados pela política de Acesso Condicional.
Para determinar a dependência do serviço, verifique o registo de início de sessão da aplicação e do recurso chamado pelo início de sessão. Na captura de ecrã seguinte, a aplicação chamada é o portal do Azure, mas o recurso chamado é a API de Gestão de Serviços do Microsoft Azure. Para resolver este cenário corretamente, todas as aplicações e recursos devem ser igualmente combinados na política de Acesso Condicional.
O que fazer se estiver bloqueado
Se você estiver bloqueado devido a uma configuração incorreta em uma política de Acesso Condicional:
- Verifique se existem outros administradores na sua organização que ainda não estão bloqueados. Um administrador com acesso pode desativar a política que está a afetar o login.
- Se nenhum dos administradores na sua organização conseguir atualizar a política, submeta um pedido de suporte. O suporte da Microsoft pode analisar e, após confirmação, atualizar as políticas de Acesso Condicional que estão a impedir o acesso.