Monitorar e solucionar problemas na avaliação contínua de acesso

Os administradores podem monitorar e solucionar problemas de eventos de entrada onde a CAE (avaliação contínua de acesso) é aplicada de várias maneiras.

Relatório de entrada de avaliação contínua de acesso

Os administradores podem monitorar as entradas do usuário em que a avaliação contínua de acesso (CAE) é aplicada. Essas informações são encontradas nos logs de entrada do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
  3. Aplique o filtro Token de CAE.

Captura de tela mostrando como adicionar um filtro ao log de logins para ver onde a CAE está ou não sendo aplicada.

A partir daqui, os administradores receberão informações sobre os eventos de entrada do usuário. Selecione qualquer entrada para ver os detalhes sobre a sessão, como as políticas de Acesso Condicional foram aplicadas e se a CAE está habilitada.

Há várias solicitações de entrada para cada autenticação. Algumas estão na guia interativa, enquanto outras estão na guia não interativa. O CAE só está marcado como verdadeiro para uma das solicitações em que pode estar na guia interativa ou não interativa. Os administradores precisam verificar as duas guias para confirmar se a autenticação do usuário no CAE está habilitada ou não.

Procurando tentativas de entrada específicas

Os logs de entrada contêm informações sobre eventos bem-sucedidos e com falha. Use filtros para reduzir sua pesquisa. Por exemplo, se um usuário tiver entrado no Teams, use o filtro Aplicativo e defina-o como Teams. Os administradores podem precisar verificar as entradas de guias interativas e não interativas para localizar a entrada específica. Para restringir a pesquisa ainda mais, os administradores podem aplicar vários filtros.

Pastas de trabalho de avaliação contínua de acesso

A pasta de trabalho de informações de avaliação contínua de acesso permite que os administradores exibam e monitorem informações de uso de CAE para seus locatários. A tabela exibe tentativas de autenticação com incompatibilidades de IP. Essa pasta de trabalho pode ser encontrada como modelo na categoria Acesso Condicional.

Acessando o modelo de pasta de trabalho de CAE

A integração de Log Analytics deve ser concluída antes que as pastas de trabalho sejam exibidas. Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um workspace do Log Analytics, consulte o artigo Como integrar logs do Microsoft Entra com os logs do Azure Monitor.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Navegue até Identidade>Monitoramento e integridade>Pastas de trabalho.
  3. Em Modelos públicos, procure por Insights de avaliação contínua de acesso.

A pasta de trabalho Insights de avaliação contínua de acesso contém a seguinte tabela:

Incompatibilidade potencial do endereço IP entre o Microsoft Entra ID e o provedor de recursos

A potencial incompatibilidade do endereço IP entre o Microsoft Entra ID e a tabela do provedor de recursos permite que os administradores investiguem as sessões em que o endereço IP detectado pelo Microsoft Entra ID não corresponde ao endereço IP detectado pelo provedor de recursos.

Esta tabela de pasta de trabalho esclarece esses cenários exibindo os respectivos endereços IP e se um token de CAE foi emitido durante a sessão.

Insights de avaliação contínua de acesso por entrada

Os insights de avaliação contínua de acesso por página de entrada na pasta de trabalho conectam várias solicitações dos logs de entrada e exibem uma única solicitação em que um token CAE foi emitido.

Essa pasta de trabalho pode ser útil, por exemplo, quando: um usuário abre o Outlook na área de trabalho e tenta acessar recursos no Exchange Online. Essa ação de entrada pode ser mapeada para várias solicitações de entrada interativas e não interativas nos logs, dificultando o diagnóstico de problemas.

Configuração de endereço IP

O provedor de identidade e os provedores de recursos podem ver endereços IP diferentes. Essa incompatibilidade pode ocorrer devido aos seguintes exemplos:

  • Sua rede implementa o túnel dividido.
  • O provedor de recursos está usando um endereço IPv6, e o Microsoft Entra ID está usando um endereço IPv4.
  • Devido às configurações de rede, o Microsoft Entra ID vê um endereço IP do cliente, e seu provedor de recursos vê um endereço IP diferente do cliente.

Se esse cenário existir no seu ambiente para evitar loops infinitos, o Microsoft Entra ID emitirá um token de CAE de uma hora e não imporá alteração da localização do cliente durante esse período de uma hora. Mesmo nesse caso, a segurança é melhorada em comparação com os tradicionais tokens de uma hora, pois ainda estamos avaliando os outros eventos, além dos eventos de alteração da localização do cliente.

Os administradores podem exibir os registros filtrados por intervalo de tempo e aplicativo. Os administradores podem comparar o número de IPs incompatíveis detectados com o número total de entradas durante um período de tempo especificado.

Para desbloquear usuários, os administradores podem adicionar endereços IP específicos a um local nomeado confiável.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso condicional>Localizações nomeadas. Aqui você pode criar ou atualizar locais de IPs confiáveis.

Observação

Antes de adicionar um endereço IP como um local nomeado confiável, confirme se o endereço IP realmente pertence à organização pretendida.

Para obter mais informações sobre locais nomeados, consulte o artigo Usando a condição de localização.