Compartilhar via

Monitorar e solucionar problemas de avaliação de acesso contínuo

Os administradores podem monitorar e solucionar problemas de eventos de entrada em que a CAE (avaliação de acesso contínuo) é aplicada de várias maneiras.

Relatório de entrada de avaliação contínua de acesso

Os administradores podem monitorar as entradas do usuário em que a CAE (avaliação de acesso contínuo) é aplicada. Essas informações são encontradas nos logs de entrada do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra com a função de pelo menos Leitor de Segurança.
  2. Acesse Entra ID>Monitoramento e integridade>Logs de entrada.
  3. Aplique o filtro Token de CAE.

Captura de tela mostrando como adicionar um filtro ao log de entrada para ver onde o CAE está sendo aplicado ou não.

A partir daqui, os administradores recebem informações sobre os eventos de login dos usuários. Selecione qualquer opção de login para ver detalhes sobre a sessão, como quais políticas de Acesso Condicional foram aplicadas e se o CAE está habilitado.

Há várias solicitações de login para cada autenticação. Alguns estão na guia interativa, enquanto outros estão na guia não interativa. O CAE só está marcado como verdadeiro para uma das solicitações que pode estar na guia interativa ou não interativa. Os administradores devem verificar as duas guias para confirmar se a autenticação do usuário está habilitada ou não.

Procurando tentativas de entrada específicas

Os logs de entrada mostram eventos de êxito e falha. Use filtros para restringir sua pesquisa. Por exemplo, se um usuário entrar no Teams, aplique o filtro de aplicativo e defina-o como Teams. Talvez os administradores precisem verificar os logins de abas interativas e não interativas para localizar o login específico. Para restringir ainda mais a pesquisa, os administradores podem aplicar vários filtros.

Pastas de trabalho de avaliação contínua de acesso

A pasta de trabalho de insights de avaliação de acesso contínuo permite que os administradores exibam e monitorem os insights de uso do CAE para seus locatários. A tabela mostra tentativas de autenticação com incompatibilidades de IP. Esta pasta de trabalho está disponível como um modelo na categoria acesso condicional.

Acessando o modelo de pasta de trabalho do CAE

Você precisa concluir a integração do Log Analytics antes que as pastas de trabalho sejam mostradas. Para saber como transmitir logs de entrada do Microsoft Entra para um workspace do Log Analytics, consulte Integrar logs do Microsoft Entra com logs do Azure Monitor.

  1. Entre no Centro de administração do Microsoft Entra com a função de pelo menos Leitor de Segurança.
  2. Acesse o Entra ID>Monitoramento e Integridade>Pastas de trabalho.
  3. Em Modelos públicos, procure por Insights de avaliação contínua de acesso.

A pasta de trabalho Insights de avaliação contínua de acesso contém a seguinte tabela:

Possível incompatibilidade de endereço IP entre a ID do Microsoft Entra e o provedor de recursos

A possível incompatibilidade de endereço IP entre a ID do Microsoft Entra e a tabela do provedor de recursos permite que os administradores investiguem sessões em que o endereço IP detectado pela ID do Microsoft Entra não corresponde ao endereço IP detectado pelo provedor de recursos.

Esta tabela de pasta de trabalho realça esses cenários mostrando os respectivos endereços IP e se um token CAE foi emitido durante a sessão.

Insights de avaliação contínua de acesso por entrada

Os insights de avaliação contínua de acesso por página de entrada na pasta de trabalho conectam várias solicitações dos logs de entrada e exibem uma única solicitação em que um token CAE foi emitido.

Essa pasta de trabalho é útil, por exemplo, quando um usuário abre o Outlook na área de trabalho e tenta acessar recursos no Exchange Online. Essa ação de login pode ser mapeada para várias solicitações de login interativas e não interativas nos logs, dificultando a identificação de problemas.

Configuração de endereço IP

Seu provedor de identidade e provedores de recursos podem ver endereços IP diferentes. Essa incompatibilidade pode ocorrer devido aos seguintes motivos:

  • Sua rede implementa a divisão de túneis.
  • Seu provedor de recursos está usando um endereço IPv6 e a ID do Microsoft Entra está usando um endereço IPv4.
  • Devido às configurações de rede, a ID do Microsoft Entra vê um endereço IP do cliente e seu provedor de recursos vê um endereço IP diferente do cliente.

Se esse cenário existir em seu ambiente, para evitar loops infinitos, a ID do Microsoft Entra emitirá um token CAE de uma hora e não imporá a alteração de local do cliente durante esse período de uma hora. Mesmo nesse caso, a segurança é aprimorada em comparação com os tokens tradicionais de uma hora, pois ainda estamos avaliando os outros eventos além de eventos de alteração de local do cliente.

Os administradores podem exibir registros filtrados por intervalo de tempo e aplicativo e comparar o número de IPs incompatíveis detectados com o número total de entradas durante um período especificado.

Para desbloquear usuários, os administradores podem adicionar endereços IP específicos a um local nomeado confiável.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Localizações Nomeadas. Aqui você pode criar ou atualizar locais de IP confiáveis.

Observação

Antes de adicionar um endereço IP como um local nomeado confiável, confirme se o endereço IP pertence à organização pretendida.

Para obter mais informações sobre locais nomeados, consulte Usando a condição de localização.

Conteúdo relacionado