Iniciar uma sessão no Visual Studio com contas que exigem MFA (autenticação multifator)

Neste artigo, você aprenderá a usar o Visual Studio com contas que exigem MFA (autenticação multifator).

Por que habilitar políticas de MFA?

Ao colaborar com usuários convidados externos, é recomendável proteger seus aplicativos e seus dados com políticas de AC (acesso condicional), como a MFA (autenticação multifator).

Depois de habilitados, os usuários convidados precisarão de mais do que apenas um nome de usuário e uma senha para acessar seus recursos e precisarão atender a requisitos de segurança adicionais. As políticas de MFA podem ser impostas no nível de locatário, aplicativo ou usuário convidado individual, da mesma maneira que são habilitadas para membros da própria organização.

Observação

Versões do Visual Studio anteriores à 16.6 podem ter experiências de autenticação degradadas quando usadas com contas que habilitaram políticas de AC, como a MFA, e estão associadas a dois ou mais locatários.

Esses problemas podem fazer com que sua instância do Visual Studio solicite a reautenticação várias vezes por dia. Talvez seja necessário inserir novamente suas credenciais para locatários autenticados anteriormente, mesmo durante a mesma sessão do Visual Studio.

Usando o Visual Studio com políticas de MFA

Você pode acessar recursos protegidos por políticas de AC, como MFA no Visual Studio. Para usar esse fluxo de trabalho aprimorado, você precisará aceitar usar o navegador da Web padrão do sistema como mecanismo para adicionar e autenticar novamente as contas do Visual Studio.

Com o Visual Studio 2022 versão 17.11, o agente de autenticação do Windows agora é o fluxo de trabalho padrão para adicionar e reautenticar contas no Visual Studio.

O agente de autenticação do Windows usa o Gerenciador de Contas da Web (WAM) e oferece muitos benefícios, como segurança, suporte aprimorado a MFA e integração perfeita entre as contas adicionadas ao SO e ao Visual Studio. Usar o WAM como o mecanismo de autenticação no Visual Studio facilita o acesso a recursos protegidos por meio de políticas de autoridade de certificação, como MFA.

Selecione o agente de autenticação da Web na lista suspensa.

Se tiver problemas com o uso do WAM, recomendamos que você use o navegador da Web do sistema como alternativa para adicionar e autenticar novamente contas do Visual Studio.

Aviso

Deixar de usar esse fluxo de trabalho pode gerar uma experiência degradada, resultando em vários prompts de autenticação adicionais ao adicionar ou autenticar novamente contas do Visual Studio.

Usar o agente de autenticação do Windows

Para começar a usar o WAM como o mecanismo de autenticação no Visual Studio:

  1. Atualizar para Visual Studio 2022 versão 17.11 ou posterior.

  2. Selecione uma conta na caixa de diálogo WAM quando solicitado. Se sua conta não estiver listada, adicione-a usando Adicionar uma conta.

    Adicione uma conta usando o fluxo de trabalho do agente de autenticação do Windows.

Você pode gerenciar suas contas na caixa de diálogoConfigurações da Conta no Visual Studio.

Usar o WAM (Gerenciador de Contas do Windows) como o mecanismo de autenticação no Visual Studio é o fluxo de trabalho recomendado para adicionar e autenticar novamente contas. No entanto, se tiver algum problema com o uso do WAM, você pode alternar para o uso do navegador da Web do sistema.

Habilitando o navegador da Web do sistema

Observação

Para obter a melhor experiência, recomendamos que você limpe os dados do navegador da Web padrão do sistema antes de prosseguir com esse fluxo de trabalho. Além disso, se você tiver contas corporativas ou de estudante em suas configurações do Windows 10, em Acessar trabalho ou escola, verifique se elas estão autenticadas corretamente.

Para habilitar o fluxo de trabalho do navegador da Web do sistema, vá até a caixa de diálogo de Opções do Visual Studio (Opções de > Ferramentas…), selecione a guia Contas e selecione Navegador da web do sistema a partir do menu suspenso Adicione e autentique novamente contas usando:.

Selecionar o navegador da Web do sistema no menu.

Entrar em contas adicionais com políticas de MFA

Depois que o fluxo de trabalho do navegador da Web do sistema for habilitado, você poderá entrar ou adicionar contas ao Visual Studio como faria normalmente, por meio da caixa de diálogo Configurações da Conta (Arquivo > Configurações da Conta...).

Você pode entrar ou adicionar contas ao Visual Studio por meio doe Cartão de Perfil ou a caixa de diálogo Configurações da conta (Serviço de > contas de arquivo…).

Agente de autenticação do Windows

Depois que o fluxo de trabalho do agente de autenticação do Windows estiver habilitado, você poderá fazer logon ou adicionar contas ao Visual Studio como faria normalmente. O Gerenciador de Contas da Web (WAM) simplifica a experiência de iniciar uma sessão, permitindo que os usuários façam logon com contas já conhecidas do Windows, como a conta que iniciou a sessão do Windows.

Adicione outras contas ao Visual Studio com o fluxo de trabalho do agente de autenticação do Windows.

Navegador da Web do sistema

Depois que o fluxo de trabalho do navegador da web do sistema estiver habilitado, você poderá fazer logon ou adicionar contas ao Visual Studio como faria normalmente.

Adicione uma nova conta de personalização ao Visual Studio.

Essa ação abrirá o navegador da Web padrão do sistema, solicitará que você entre em sua conta e validará qualquer política de MFA necessária.

Durante o processo de entrada, você pode receber um prompt adicional solicitando que permaneça conectado. Esse prompt provavelmente aparecerá na segunda vez que uma conta for usada para entrar. Para minimizar a necessidade de inserir novamente as credenciais, recomendamos que você selecione Sim, pois isso garante que as credenciais sejam preservadas entre as sessões do navegador.

Permanecer conectado?

Com base em suas atividades de desenvolvimento e na configuração de recursos, você ainda pode receber um prompt para inserir novamente as credenciais durante a sessão. Isso pode ocorrer quando você adiciona um novo recurso ou tenta acessar um recurso sem ter atendido anteriormente aos requisitos de autorização de CA/MFA.

Reautenticando uma conta

Se houver um problema com a conta, o Visual Studio poderá solicitar que você insira novamente as credenciais de conta.

Captura de tela mostrando a conta que precisa ser reautenticada.

Clicar em Inserir novamente suas credenciais abrirá o navegador da Web padrão do sistema e tentará atualizar automaticamente as credenciais. Se não tiver êxito, você será solicitado a entrar em sua conta e a validar qualquer política de CA/MFA necessária.

Se a sua conta estiver associada a vários diretórios ativos do Azure e tiver um problema de acesso com um ou mais deles, a caixa de diálogo Redigite suas credenciais mostrará os diretórios afetados e os códigos de erro AADSTS associados.

Você poderá desativar a seleção de todos os diretórios que não deseja autenticar novamente e continuar uma operação de entrada regular com o diretório base, bem como todos os locatários convidados que permanecerem selecionados. Os diretórios desmarcados não estarão acessíveis para uso futuro até que o filtro da conta seja removido.

Reautenticar sua conta do Visual Studio.

Observação

Para obter a melhor experiência, mantenha o navegador aberto até que todas as políticas de CA/MFA sejam validadas para seus recursos. Fechar o navegador poderá resultar na perda do estado de MFA criado e pode gerar prompts de autorização adicionais.

Solucionar problemas de conexão

Problemas de CA/MFA

Se você estiver enfrentando problemas de CA/MFA e/ou não conseguir fazer logon mesmo usando o navegador da Web do sistema, tente as seguintes etapas para resolver o problema:

  1. Saia da conta no Visual Studio.
  2. Selecione Ferramentas>Opções>Contas> Desmarque Autenticar em todos os Azure Active Directories.
  3. Entre novamente.

Observação

Após essas etapas, você provavelmente poderá fazer logon, mas a conta será colocada em um estado filtrado. Enquanto estiver em um estado filtrado, somente o locatário e os recursos padrão da conta estarão disponíveis. Todos os outros locatários e recursos do Microsoft Entra ficarão inacessíveis, mas você poderá adicioná-los manualmente.

Problemas de pré-autorização

Captura de tela de uma caixa de diálogo de erro de pré-autorização.

Começando no Visual Studio 2022 versão 17.5, se você vir a caixa de diálogo de erro anterior, tente as seguintes etapas para resolver o problema:

  1. Saia da conta no Visual Studio.
  2. Entre novamente.
  3. Crie um tíquete Relatar um Problema explicando a atividade que você estava executando e/ou o recurso que estava tentando acessar antes de encontrar o problema.

Observação

Criar um tíquete nos ajudará a identificar áreas problemáticas e a fornecer os logs necessários para investigar e resolver o problema.

Gerenciador de Contas da Web (WAM)

Se você se deparar com erros ao usar o fluxo de trabalho do agente de autenticação do Windows para iniciar uma sessão no Visual Studio, siga a ação listada na caixa de diálogo do erro para resolver ou relatar o problema. Use os links da caixa de diálogo para saber mais sobre o erro ou para ver os logs de erros.

Erro de TPM (Trusted Platform Module)

Por exemplo, se vir o diálogo de erro a seguir, você poderá tentar resolver o problema seguindo as instruções na solução de problemas de TPM.

Captura de tela de uma caixa de diálogo de erro do WAM com a opção de alterar mecanismo de autenticação para resolver o erro.

Se precisar alternar para um mecanismo de autenticação diferente do Windows Broker, você poderá alternar seguindo as instruções para habilitar o navegador da Web do sistema. Se essas instruções não funcionarem e você tiver um contrato de suporte, abra um tíquete de suporte no Suporte técnico

Como recusar o uso de um locatário específico do Microsoft Entra no Visual Studio

O Visual Studio 2019 versão 16.6 e superior oferece a flexibilidade de filtrar locatários individualmente ou globalmente, ocultando-os efetivamente do Visual Studio. A filtragem elimina a necessidade de autenticar com esse locatário, mas também significa que você não poderá acessar nenhum recurso associado.

Essa funcionalidade é útil quando você tem vários locatários, mas deseja otimizar o ambiente de desenvolvimento direcionando um subconjunto específico. Ela também pode ajudar em instâncias em que você não pode validar uma política específica de CA/MFA, pois pode filtrar o locatário responsável.

Como filtrar todos os locatários

Para filtrar globalmente todos os locatários, abra a caixa de diálogo Configurações da Conta (Arquivo > Configurações da Conta... > Opções de conta) e desmarque a caixa de seleção Autenticar em todos os Azure Active Directories.

Desmarcar essa opção garante que você se autenticará apenas com o locatário padrão da conta. Isso também significa que você não poderá acessar nenhum recurso associado a outros locatários em que sua conta pode ser um convidado.

Como filtrar locatários individuais

Para filtrar locatários associados à sua conta do Visual Studio, abra a caixa de diálogo Configurações da Conta (Arquivo > Configurações da Conta...) e clique em Aplicar filtro.

Aplicar filtro.

A caixa de diálogo Filtrar conta será exibida, permitindo que você selecione quais locatários deseja usar com sua conta.

Selecionar conta para filtrar.

Após você desmarcar o locatário a ser filtrado, as caixas de diálogo Configurações da Conta e a Filtrar conta mostrarão o estado filtrado.

Captura de tela mostrando o estado do locatário filtrado nas caixas de diálogo Configurações da Conta e Filtrar Conta

Erros de rede com o Visual Studio

Durante a entrada, o Visual Studio pode enfrentar erros relacionados à rede que geralmente não são problemas do produto Visual Studio e podem precisar ser investigados pelo suporte de TI local.

Erro "Autorização de proxy necessária"

Se seu computador ou organização usa medidas de segurança, como um firewall ou um servidor proxy, verifique se você está seguindo os requisitos para usar o Visual Studio por trás de um proxy ou um firewall.

Erros de SSL

Os erros de SSL podem vir de várias formas. Alguns exemplos são:

  • "A conexão subjacente estava fechada"
  • "Não foi possível estabelecer a conexão SSL"
  • "Não foi possível criar o canal de segurança de SSL/TLS"
  • "Uma conexão existente foi fechada à força pelo host remoto." (Isso também pode ser causado por firewalls bloqueando a conexão)
  • "A conexão subjacente estava fechada: ocorreu um erro inesperado em um envio"

Esses erros podem ser causados pelo seguinte:

  1. Proxy corporativo ou firewall bloqueando certas versões do TLS
  2. O TLS 1.3 está habilitado no computador, mas a rede não dá suporte a ele. Você pode tentar desabilitar o TLS 1.3 no computador para testar se esse é o caso.
  3. Política de grupo que restringe quais algoritmos SSL são permitidos e essa lista permitida não corresponde ao que o servidor espera.

Os seguintes recursos podem ser úteis para solucionar problemas de SSL:

Desabilitar o TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000

Erros de conexão recusada

"Não foi possível estabelecer nenhuma conexão porque o computador de destino a recusou ativamente"

Esse erro significa que quando o Visual Studio estava tentando fazer uma conexão com um ponto de extremidade da Internet, o computador recusou a conexão.

Causas Comuns:

  • Se o endereço "127.0.0.1" estiver na mensagem de erro, isso significa que uma conexão com um servidor proxy local foi tentada, mas o servidor proxy local não estava em execução.

  • Conexão VPN - tente se desconectar de qualquer VPN e tente a conexão novamente. Se isso funcionar, você deverá entrar em contato com o provedor de VPN ou com o administrador da rede. Isso inclui VPN corporativa ou serviços VPN de terceiros.

  • DNS - a pesquisa de domínio em seu computador foi resolvida para um endereço que não aponta para o servidor esperado. Isso significa que a conexão está indo para um computador diferente, não executando os serviços esperados e recusando a conexão. Para depurar esse problema, você poderá usar ferramentas como o NsLookup e compará-lo com os Intervalos de IP e Marcas de Serviço do Azure.

  • IPV6 - alguns computadores têm o IPV6 habilitado, mas a rede não dá suporte ao protocolo. Nesse caso, você pode ver uma mensagem de conexão recusada porque não foi possível encontrar o servidor. Tente desabilitar o IPV6 no computador para ver se a conexão funciona.

  • Problemas de SSL - consulte Erros de SSL.

  • Proxy ou firewalls na rede - se houver um proxy ou firewall na rede, ele será o primeiro dispositivo com o qual a conexão tentará se comunicar e poderá ser aquele que recusará a conexão. Você pode determinar se o firewall ou o servidor proxy está bloqueando as conexões perguntando ao administrador da rede. Como alternativa, observar os rastreamentos de rede pode indicar para qual computador a conexão está sendo feita e identificar quem a está recusando. Se for um endereço de rede interno, significa que o proxy ou firewall bloqueou a conexão. Se for um endereço IP externo, isso geralmente significa problemas de DNS, IPV6 ou SSL.

Os problemas relacionados à rede normalmente estão relacionados à configuração do computador ou da rede, e não ao Visual Studio. A Comunidade de Desenvolvedores pode fornecer algum suporte, mas está focada em recursos do Visual Studio em vez de configuração de computador. Para suporte específico de rede, a Comunidade de Suporte da Microsoft ou o Suporte técnico podem ser úteis.