Cómo usar los registros de seguimiento de Fiddler para MFA en Microsoft 365 y Microsoft Entra ID

  • Artículo
  • Se aplica a:
    Azure Active Directory, Microsoft 365

Resumen

En este artículo se presenta el registro de seguimiento de Fiddler para los siguientes escenarios de autenticación multifactor (MFA):

  • Escenarios de MFA de trabajo
  • Cuando el teléfono está fuera de cobertura o no se selecciona el teléfono
  • Cuando se desencadena la alerta de fraude para bloquear la cuenta en la nube
  • Para una cuenta bloqueada
  • Cuando se usa MFA para cuentas administradas

Más información

Si una cuenta de usuario está federada, el usuario se redirige al servidor de token de servicio (STS) para la autenticación y para login.microsoftonline.com, y el token SAML lo emite el STS. Si el usuario está administrado, login.microsoftonline.com autentica al usuario mediante la contraseña del usuario.

MFA se inicia después de que Microsoft Entra ID o STS hayan comprobado la contraseña del usuario. La SANeeded=1 cookie se establece si el usuario está habilitado para la autenticación MFA en El directorio de Microsoft 365 o Azure. La comunicación entre el cliente y login.microsoftonline.com después de la autenticación de contraseña de usuario es similar a la siguiente:

POST https://login.microsoftonline.com/login.srf HTTP/1.1
Host: login.microsoftonline.com

HTTP/1.1 302 Encontrado

Set-Cookie: SANeeded=1; domain=login.microsoftonline.com; secure= ;p ath=/; HTTPOnly= ; version=1

Escenario 1: Escenarios de MFA de trabajo

La cookie SANeeded=1 se establece después de la autenticación con contraseña. A continuación, el tráfico de red se redirige al punto de conexión: https://login.microsoftonline.com/StrongAuthCheck.srfy se solicitan los métodos de autenticación disponibles.

Captura de pantalla de los métodos de autenticación disponibles.

MFA comienza con BeginAuth y, a continuación, la llamada telefónica se desencadena en el back-end al proveedor de servicios telefónicos.

Captura de pantalla que muestra que M F A comienza con el método BeginAuth.

Una vez iniciada la autorización de MFA, el cliente comienza a consultar el mismo punto de conexión para el método EndAuth cada 10 segundos para comprobar si se ha completado la autenticación. Hasta que se haya seleccionado y comprobado la llamada, resultvalue se devuelve como AuthenticationPending.

Captura de pantalla que muestra que ResultValue está establecido en AuthenticationPending.

Cuando se haya seleccionado y comprobado el teléfono, la respuesta para la siguiente consulta de EndAuth será ResultValue of Success. Además, el usuario ha completado la autenticación de Mulitifactor. También la cookie Set-Cookie : SANeeded=xxxxxxx se establece en la respuesta, que se proporciona al punto de conexión : login.srf para completar la autenticación.

Captura de pantalla que muestra login.srf para completar la autenticación.

Escenario 2: Cuando el teléfono está fuera de cobertura o no se selecciona el teléfono

Cuando el teléfono no se selecciona y comprueba en 60 segundos después de realizar la llamada, ResultValue se establece como UserVoiceAuthFailedPhoneUnreachable. En la siguiente consulta del método EndAuth, se devuelve UserVoiceAuthFailedPhoneUnreachable, como se muestra en Fiddler.

Captura de pantalla que muestra que ResultValue está establecido en UserVoiceAuthFailedPhoneUnreachable.

Escenario 3: Cuando se desencadena la alerta de fraude para bloquear la cuenta en la nube

Cuando no se ha seleccionado el teléfono y se publica una alerta de fraude en 60 segundos después de realizar la llamada, ResultValue se establece como AuthenticationMethodFailed. En la siguiente consulta del método EndAuth, se devuelve una respuesta AuthenticationMethodFailed, como se muestra en Fiddler.

Captura de pantalla que muestra que ResultValue está establecido en AuthenticationMethodFailed.

Escenario 4: Para una cuenta bloqueada

Si el usuario está bloqueado, ResultValue se establece como UserIsBlocked. En la primera consulta del método EndAuth, se devuelve, UserIsBlocked como se muestra en Fiddler.

Captura de pantalla que muestra que ResultValue está establecido en UserIsBlocked.

Solución: en un escenario de Azure MFA con una suscripción de Azure, puede desbloquear iniciando sesión primero en manage.windowsazure.com. A continuación, seleccione Usuarios de directorio > y Administrarla configuración del servicioMulti Factor Authentication>. Al final de la página, seleccione Ir al portal. Ahora, seleccione Bloquear o desbloquear usuarios para buscar la lista de usuarios bloqueados.

Si MFA está habilitado a través de Microsoft 365, abra un caso de soporte técnico con Microsoft para desbloquearlo.

Escenario 5: MFA para cuentas administradas

En esta situación, la autenticación sigue siendo la misma, pero los puntos de conexión son https://login.microsoftonline.com/common/SAS/BeginAuth y https://login.microsoftonline.com/common/SAS/EndAuth en lugar de https://login.microsoftonline.com/StrongAuthCheck.srf como para las cuentas federadas.