Compartilhar via

Entradas sinalizadas do Microsoft Entra

  • Artigo

Como administrador de TI, você deseja resolver os problemas de entrada assim que possível para desbloquear seus usuários. Devido à quantidade de dados disponíveis no log de entrada, localizar as informações corretas pode ser um desafio.

Este artigo apresenta uma visão geral do recurso de entradas sinalizadas que pode melhorar significativamente o tempo necessário para resolver problemas de entrada de usuários, facilitando a localização dos problemas relacionados.

O que são credenciais sinalizadas?

Os eventos de entrada do Microsoft Entra são essenciais para entender o que aconteceu com as credenciais do usuário e as configurações de autenticação em seu locatário. No entanto, o Microsoft Entra ID processa mais de oito bilhões de autenticações por dia, o que pode resultar em tantos eventos de conexão que os administradores podem achar difícil encontrar aqueles que importam.

O recurso de entradas sinalizadas destina-se a melhorar a taxa sinal-ruído para entradas de usuário que exigem seu suporte. O recurso permite que os usuários aumentem a conscientização sobre os erros de login com os quais precisam de ajuda. Os administradores e os funcionários do suporte técnico também se beneficiam de encontrar os eventos certos com mais eficiência. Os eventos de entrada sinalizada contêm as mesmas informações que outros eventos de entrada, mas também indicam que um usuário sinalizou o evento para revisão.

Você pode usar as entradas sinalizadas para:

  • Capacite os usuários a indicar proativamente quais erros de entrada exigem suporte de administrador de TI.

  • Simplifique o processo de localização de erros de entrada.

  • Habilite a equipe de suporte técnico a encontrar erros de entrada sem que o usuário final precise fazer nada além de sinalizar o evento.

Como ele funciona

Quando os usuários se deparam com um erro de entrada, eles podem escolher habilitar a sinalização. Nos próximos 20 minutos, qualquer evento de conexão desse usuário, no mesmo navegador e dispositivo cliente ou computador, é exibido como Sinalizado para revisão: sim nos logs de entrada. Após 20 minutos, a sinalização será desligada automaticamente.

Usuário: como sinalizar um erro

  1. O usuário se depara com um erro durante a conexão.

  2. O usuário seleciona Exibir detalhes na página de erro.

  3. Na seção Detalhes da solução de problemas, o usuário seleciona Habilitar sinalização.

    • O texto muda para Desativar sinalização e a sinalização agora está habilitada.
    • O usuário deve usar o mesmo navegador e cliente ou os eventos não serão sinalizados.

    Captura de tela das mensagens de erro na página de entrada do Microsoft Entra ID.

  4. Abra uma nova janela do navegador (no mesmo aplicativo de navegador) e tente a mesma credencial que falhou.

Se o erro de entrada for reproduzido, o diagnóstico sinalizado será enviado para os logs de entrada.

Administrador: encontrar eventos sinalizados nos relatórios

Os logs de entrada podem levar vários minutos para que os eventos de entrada sinalizados apareçam.

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.

  2. Navegue até Identidade>Monitoramento e integridade>Logs de entrada.

  3. Abra o menu Adicionar filtros e selecione Sinalizado para revisão. Todos os eventos sinalizados são mostrados.

    Captura de tela dos logs de entrada do Microsoft Entra ID com o filtro Sinalizado para revisão selecionado.

  4. Se necessário, aplique outros filtros para refinar a exibição do evento.

  5. Selecione o evento para analisar o que aconteceu.

Administrador ou Desenvolvedor: encontrar eventos sinalizados usando o Microsoft Graph

Você pode encontrar entradas sinalizadas usando a API do Microsoft Graph. Para obter mais informações, confira a documentação do Microsoft Graph do tipo de recurso de entrada.

Mostrar todas as entradas sinalizadas:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

As credenciais sinalizadas consultam um usuário específico pelo UPN (por exemplo, user@contoso.com):

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Consulta de entradas sinalizadas para um usuário específico e data maior que:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Who pode criar entradas sinalizadas?

Qualquer usuário que entrar no Microsoft Entra ID pode sinalizar entradas para análise, incluindo usuários membros e convidados.

Quem pode examinar as entradas sinalizadas?

A revisão de eventos de entrada sinalizados exige permissões para ler os eventos do relatório de entradas no centro de administração do Microsoft Entra. Para obter mais informações, consulte Como acessar os logs de atividades.

O que você deve saber

Embora os nomes sejam semelhantes, as entradas sinalizadas e as entradas suspeitas são funcionalidades diferentes:

  • As entradas sinalizadas são eventos de erro de conexão para os quais os usuários estão solicitando assistência.
  • Uma entrada suspeita é uma funcionalidade do Microsoft Entra ID Protection. Para obter mais informações, confira O que é o Microsoft Entra ID Protection?.

Próximas etapas