Solucionando problemas de conexão com acesso condicional

As informações deste artigo podem ser utilizadas para solucionar problemas de resultados inesperados de entrada relacionados ao acesso condicional usando mensagens de erro e logs de entrada do Microsoft Entra.

Selecionar “todas” as consequências

A estrutura de acesso condicional fornece uma excelente flexibilidade de configuração. No entanto, uma grande flexibilidade também significa que é necessário examinar cuidadosamente cada política de configuração, antes de liberá-la, para evitar resultados indesejáveis. Nesse contexto, preste atenção especial às atribuições que afetam conjuntos completos, como todos os usuários/grupos/aplicativos de nuvem.

As organizações devem evitar as seguintes configurações:

Para todos os usuários, todos os recursos:

  • Bloquear o acesso – essa configuração bloqueia toda a organização.
  • Exigir que um dispositivo seja marcado como em conformidade – Para usuários que ainda não registraram os dispositivos, essa política bloqueia todos os acessos, incluindo ao portal do Intune. Se você for um administrador sem um dispositivo registrado, esta política impedirá que você volte para alterar a política.
  • Exigir dispositivo ingressado no domínio do Microsoft Entra AD híbrido – Essa política de bloqueio de acesso também tem o potencial de bloquear o acesso a todos os usuários em sua organização, caso eles não tenham um dispositivo ingressado no Microsoft Entra híbrido.
  • Exigir política de proteção de aplicativo – essa política de bloqueio de acesso também tem o potencial de bloquear o acesso a todos os usuários em sua organização, caso você não tenha uma política do Intune. Se você é administrador e não tem um aplicativo cliente com uma política de proteção de aplicativo do Intune, essa política impedirá que você volte para portais como o Intune e o Azure.

Para todos os usuários, todos os recursos, todas as plataformas de dispositivos:

  • Bloquear o acesso – essa configuração bloqueia toda a organização.

Interrupção de entrada da Acesso condicional

A primeira forma é examinando a mensagem de erro que aparece. Para problemas de entrada ao usar um navegador da Web, a página de erro em si traz informações detalhadas. Só essas informações já podem descrever qual é o problema e sugerir uma solução.

Captura de tela mostrando um erro de entrada em que um dispositivo em conformidade é necessário.

No erro acima, a mensagem informa que o aplicativo só pode ser acessado por dispositivos ou aplicativos cliente que atendam à política de gerenciamento de dispositivo móvel da empresa. Nesse caso, o aplicativo e o dispositivo não atendem a essa política.

Eventos de entrada do Microsoft Entra

O segundo método para obter informações detalhadas sobre a interrupção de entrada é examinando os eventos de entrada do Microsoft Entra para ver quais políticas de Acesso condicional foram aplicadas e por quê.

Encontre mais informações sobre o problema clicando em Mais Detalhes na página de erro inicial. Ao clicar em Mais detalhes serão mostradas informações de solução de problemas que são úteis ao pesquisar eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.

Captura da tela mostrando os detalhes de um logon de navegador da Web interrompida pelo Acesso Condicional.

Para descobrir quais políticas de Acesso Condicional foram aplicadas e por quê, faça o seguinte.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

  2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.

  3. Localize o evento de entrada a ser analisado. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.

    1. Restrinja o escopo adicionando filtros como:
      1. ID de correlação quando houver um evento específico para investigar.
      2. Acesso Condicional para ver a falha e o êxito da política. Crie um escopo para o filtro para mostrar apenas as falhas e limitar os resultados.
      3. Nome de usuário para ver informações relacionadas a usuários específicos.
      4. Data do escopo, para o período em questão.

    Captura de tela mostrando a seleção do filtro de acesso condicional para o log de entrada.

  4. Depois que o evento de entrada que corresponde à falha de entrada do usuário for encontrado, selecione a guia Acesso Condicional. A guia Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção da entrada.

    1. As informações na guia Solução de problemas e suporte podem apresentar um motivo claro da falha de uma entrada, como um dispositivo que não atendeu aos requisitos de conformidade.
    2. Para uma investigação ainda mais profunda, faça uma busca detalhada na configuração das políticas clicando no Nome da Política. Ao clicar no Nome da Política, será exibida a interface do usuário de configuração da política selecionada para revisão e edição.
    3. O usuário cliente e os detalhes do dispositivo que foram usados para a avaliação da política de Acesso Condicional também estão disponíveis nas guias Informações Básicas, Localização, Informações do Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de entrada.

A política não está funcionando conforme o esperado

Ao selecionar as reticências no lado direito da política em um evento de entrada, são apresentados os detalhes da política. Essa opção fornece aos administradores informações adicionais sobre por que uma política foi aplicada com êxito ou não.

Captura de tela mostrando detalhes da Política de Acesso Condicional para ver por que a política foi aplicada ou não.

O lado esquerdo fornece detalhes coletados na entrada e o lado direito fornece detalhes sobre se esses detalhes atendem aos requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso condicional se aplicam somente quando todas as condições são satisfeitas ou não estão configuradas.

Se as informações no evento não forem suficientes para entender os resultados de entrada ou para ajustar a política a fim de obter os resultados desejados, a ferramenta de diagnóstico de entrada poderá ser utilizada. O diagnóstico de entrada pode ser encontrado em Informações básicas>Solucionar evento. Para obter mais informações sobre o diagnóstico de entrada, confira o artigo Qual é o diagnóstico de entrada no Microsoft Entra ID. Você também pode usar a ferramenta What If para solucionar problemas de políticas de Acesso Condicional.

Se precisar enviar um incidente de suporte, forneça a ID da solicitação e a hora e data do evento de entrada nos detalhes de envio do incidente. Essas informações permitem que o suporte da Microsoft encontre o evento preocupante.

Códigos de erro comuns do Acesso Condicional

Código de erro de entrada Cadeia de Caracteres de Erro
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Mais informações sobre códigos de erro podem ser encontradas no artigo Códigos de erro de autenticação e autorização do Microsoft Entra. Os códigos de erro na lista aparecem com um prefixo de AADSTS seguido pelo código visto no navegador, por exemplo, AADSTS53002.

Dependências de serviço

Em alguns cenários específicos, os usuários são bloqueados porque há aplicativos de nuvem com dependências em recursos bloqueados pela política de Acesso Condicional.

Para determinar a dependência do serviço, verifique o log de entrada para o aplicativo e o recurso chamado pela entrada. Na captura de tela a seguir, o aplicativo chamado é o Portal do Azure, mas o recurso chamado é a API de Gerenciamento de Serviços do Microsoft Azure. Para direcionar esse cenário adequadamente, todos os aplicativos e recursos devem ser combinados da mesma forma na política de Acesso Condicional.

Captura de tela que mostra um log de entrada de exemplo exibindo um Aplicativo chamando um Recurso. Esse cenário também é conhecido como uma dependência de serviço.

O que fazer se você estiver bloqueado?

Se você estiver bloqueado devido a uma configuração incorreta em uma política de acesso condicional:

  • Verifique se existem outros administradores em sua organização que ainda não estão bloqueados. Um administrador com acesso pode desabilitar a política que está afetando seu login.
  • Se nenhum dos administradores de sua organização puder atualizar a política, envie uma solicitação de suporte. O suporte da Microsoft pode analisar e, após a confirmação, atualizar as políticas de Acesso Condicional que estão impedindo o acesso.

Próximas etapas