Partilhar via

Resolução de problemas de sessão com o Acesso Condicional

Use este artigo para corrigir resultados de entrada inesperados relacionados ao Acesso Condicional verificando mensagens de erro e logs de entrada do Microsoft Entra.

Selecione "todas" as consequências

A estrutura de Acesso Condicional oferece muita flexibilidade de configuração. Mas essa flexibilidade significa que você precisa revisar cuidadosamente cada política de configuração antes de liberá-la para evitar resultados indesejados. Neste contexto, preste especial atenção às atribuições que afetam conjuntos completos, como todos os usuários / grupos / recursos.

Não use as seguintes configurações:

Para todos os utilizadores, todos os recursos:

  • Bloquear acesso - Esta configuração bloqueia toda a organização.
  • Exigir que o dispositivo seja marcado como compatível - Para usuários que ainda não registraram seus dispositivos, esta política bloqueia todo o acesso, incluindo o acesso ao portal do Intune. Se for um administrador sem um dispositivo inscrito, esta política impede que volte a entrar para alterar a política.
  • Exigir dispositivo híbrido associado ao domínio Microsoft Entra - Esta política também pode bloquear o acesso de todos os utilizadores na sua organização se não tiverem um dispositivo associado híbrido do Microsoft Entra.
  • Exigir política de proteção de aplicações - Esta política também pode bloquear o acesso de todos os utilizadores na sua organização se não tiver uma política do Intune. Se for um administrador sem uma aplicação cliente que tenha uma política de proteção de aplicações do Intune, esta política bloqueia-o de voltar a portais como o Intune e o Azure.

Para todos os usuários, todos os recursos, todas as plataformas de dispositivos:

  • Bloquear acesso - Esta configuração bloqueia toda a sua organização.

Interrupção no início de sessão do Acesso Condicional

Verifique a mensagem de erro que aparece. Se você estiver entrando com um navegador da Web, a página de erro geralmente tem informações detalhadas. Essas informações geralmente descrevem o problema e sugerem uma solução.

Captura de ecrã de um erro de início de sessão que indica que é necessário um dispositivo compatível.

Nesse erro, a mensagem diz que você só pode usar o aplicativo de dispositivos ou aplicativos cliente que atendam à política de gerenciamento de dispositivos móveis da sua empresa. Aqui, o aplicativo e o dispositivo não atendem à política.

Eventos de início de sessão no Microsoft Entra

Para obter informações detalhadas sobre a interrupção de início de sessão, reveja os eventos de início de sessão do Microsoft Entra para ver: que política ou políticas de Acesso Condicional foram aplicadas e porquê.

Mais informações podem ser encontradas sobre o problema clicando em Mais detalhes na página de erro inicial. Clicar em Mais Detalhes revela informações de solução de problemas que são úteis ao pesquisar os eventos de entrada do Microsoft Entra para o evento de falha específico que o usuário viu ou ao abrir um incidente de suporte com a Microsoft.

Captura de ecrã a mostrar mais detalhes de um início de sessão no browser interrompido pelo Acesso Condicional.

Siga estas etapas para descobrir qual política ou políticas de Acesso Condicional aplicadas e por quê.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

  2. Navegue até Entra ID>Monitorização e estado de funcionamento>Registos de entrada.

  3. Encontre o evento de login para rever. Adicione ou remova filtros e colunas para filtrar informações desnecessárias.

    1. Reduza o escopo adicionando filtros como:
      1. ID de correlação quando você tem um evento específico para investigar.
      2. Acesso condicional para ver o fracasso e o sucesso da política. Defina o âmbito do filtro para mostrar apenas falhas para limitar os resultados.
      3. Nome de usuário para ver informações relacionadas a usuários específicos.
      4. Data definida para o período em questão.
      5. Recurso para ver informações relacionadas ao recurso chamado.

    Captura de ecrã que mostra a seleção do filtro Acesso Condicional no registo de início de sessão.

  4. Depois de localizar o evento de início de sessão que corresponde à falha de início de sessão do utilizador, selecione o separador Acesso Condicional. O separador Acesso Condicional mostra a política ou políticas específicas que resultaram na interrupção do início de sessão.

    1. As informações na guia Solução de problemas e suporte podem fornecer um motivo claro pelo qual uma entrada falhou, como um dispositivo que não atendeu aos requisitos de conformidade.
    2. Para investigar mais, faça uma busca detalhada na configuração das políticas clicando no Nome da política. Clicar no Nome da política mostra a interface do usuário de configuração da política para a política selecionada para revisão e edição.
    3. Os detalhes do usuário cliente e do dispositivo que foram usados para a avaliação da política de Acesso Condicional também estão disponíveis nas guias Informações Básicas, Local, Informaçõesdo Dispositivo, Detalhes de Autenticação e Detalhes Adicionais do evento de entrada.

A política não está a funcionar conforme pretendido

Selecione as reticências no lado direito da política em um evento de entrada para ver os detalhes da política. Essa opção fornece aos administradores mais informações sobre por que uma política foi aplicada ou não.

Captura de tela mostrando detalhes da Política de Acesso Condicional para ver por que a política foi aplicada ou não.

O lado esquerdo fornece detalhes recolhidos no início de sessão e o lado direito fornece detalhes sobre se esses detalhes satisfazem os requisitos das políticas de Acesso Condicional aplicadas. As políticas de Acesso Condicional só se aplicam quando todas as condições foram cumpridas ou não estão configuradas.

Se as informações fornecidas pelo evento não forem suficientes para compreender os resultados de início de sessão ou ajustar a política de acesso para obter os resultados pretendidos, utilize a ferramenta de diagnóstico de início de sessão. O diagnóstico de início de sessão está em Informações básicas>Evento de Resolução de Problemas. Para obter mais informações sobre o diagnóstico de entrada, consulte Qual é o diagnóstico de entrada no Microsoft Entra ID. Você também pode usar a ferramenta Analisar Cenários para solucionar problemas de políticas de Acesso Condicional.

Se você precisar enviar um incidente de suporte, inclua a ID da solicitação, a hora e a data do evento de entrada nos detalhes do incidente. Estas informações ajudam o suporte da Microsoft a encontrar o evento específico com o qual está preocupado.

Códigos de erro comuns de Acesso Condicional

Código de Erro de Início de Sessão Cadeia de Erro
53000 DispositivoNãoConforme
53001 DispositivoNãoPertenceAoDomínio
53002 AplicaçãoUtilizadaNãoÉUmaAplicaçãoAprovada
53003 BloqueadoPorAcessoCondicional
53004 ProvaBloqueadaDevidoARisco
53009 O aplicativo precisa aplicar políticas de proteção do Intune

Saiba mais sobre códigos de erro nos códigos de erro de autenticação e autorização do Microsoft Entra. Os códigos de erro na lista aparecem com um prefixo de AADSTS seguido pelo código que você vê no navegador, como AADSTS53002.

Dependências de serviço

Em alguns cenários, os usuários são bloqueados porque os aplicativos na nuvem dependem de recursos que uma política de Acesso Condicional bloqueia.

Para verificar a dependência do serviço, revise o log de entrada do aplicativo e do recurso chamados pelo login. Na captura de tela a seguir, o aplicativo é o Portal do Azure, mas o recurso é o Gerenciador de Recursos do Azure. Para abordar este cenário, combine todos os aplicativos e recursos na política de Acesso Condicional.

Captura de ecrã de um registo de início de sessão que mostra uma aplicação a chamar um recurso. Esse cenário também é conhecido como dependência de serviço.

Relatórios de audiência

Quando um usuário entra em um aplicativo como o Microsoft Teams, na verdade está solicitando acesso a vários recursos, como bate-papo do Teams, calendário do Outlook, documentos do Excel e muito mais. Embora os usuários possam pensar que estão apenas entrando no cliente do Teams, as políticas de Acesso Condicional se aplicam a todos esses recursos. Por exemplo, se um administrador restringir o acesso ao SharePoint ou a sites específicos do SharePoint, a política se aplicará mesmo quando o usuário achar que está entrando apenas no Teams.

Os relatórios de audiência nos registos de início de sessão permitem que os administradores vejam todos os recursos solicitados durante um evento de início de sessão. Isso aparece como Público na seção Recursos para todas as políticas habilitadas ou somente de relatório.

Captura de ecrã de uma entrada de registo de início de sessão que mostra detalhes da política de Acesso Condicional e informações expandidas sobre recursos e público.

Os administradores encontram Audiência nos registos de início de sessão depois de selecionar uma política no separador Acesso Condicional.

Os administradores usam o relatório de audiência para saber por que uma política de autoridade de certificação se aplica ou não a um evento de entrada. Por exemplo, uma política aplica-se a um evento de início de sessão específico porque um dos destinatários na lista está abrangido pela política.

O que fazer se estiver bloqueado

Se estiver bloqueado devido a uma definição incorreta numa política de Acesso Condicional:

  • Verifique se existem outros administradores na sua organização que ainda não estão bloqueados. Um administrador com acesso pode desativar a política que está a afetar o seu início de sessão.
  • Se nenhum administrador da sua organização puder atualizar a política, submeta um pedido de suporte. O suporte da Microsoft analisa e, depois de confirmar, atualiza as políticas de Acesso Condicional que impedem o acesso.

Próximos passos

  • Last updated on