Cómo usar los registros de seguimiento de Fiddler para MFA en Microsoft 365 y Microsoft Entra ID
Resumen
En este artículo se presenta el registro de seguimiento de Fiddler para los siguientes escenarios de autenticación multifactor (MFA):
- Escenarios de MFA de trabajo
- Cuando el teléfono está fuera de cobertura o no se selecciona el teléfono
- Cuando se desencadena la alerta de fraude para bloquear la cuenta en la nube
- Para una cuenta bloqueada
- Cuando se usa MFA para cuentas administradas
Más información
Si una cuenta de usuario está federada, el usuario se redirige al servidor de token de servicio (STS) para la autenticación y para login.microsoftonline.com, y el token SAML lo emite el STS. Si el usuario está administrado, login.microsoftonline.com autentica al usuario mediante la contraseña del usuario.
MFA se inicia después de que Microsoft Entra ID o STS hayan comprobado la contraseña del usuario. La SANeeded=1
cookie se establece si el usuario está habilitado para la autenticación MFA en El directorio de Microsoft 365 o Azure. La comunicación entre el cliente y login.microsoftonline.com después de la autenticación de contraseña de usuario es similar a la siguiente:
POST
https://login.microsoftonline.com/login.srf
HTTP/1.1
Host: login.microsoftonline.comHTTP/1.1 302 Encontrado
Set-Cookie: SANeeded=1; domain=login.microsoftonline.com; secure= ;p ath=/; HTTPOnly= ; version=1
Escenario 1: Escenarios de MFA de trabajo
La cookie SANeeded=1 se establece después de la autenticación con contraseña. A continuación, el tráfico de red se redirige al punto de conexión: https://login.microsoftonline.com/StrongAuthCheck.srf
y se solicitan los métodos de autenticación disponibles.
MFA comienza con BeginAuth y, a continuación, la llamada telefónica se desencadena en el back-end al proveedor de servicios telefónicos.
Una vez iniciada la autorización de MFA, el cliente comienza a consultar el mismo punto de conexión para el método EndAuth cada 10 segundos para comprobar si se ha completado la autenticación. Hasta que se haya seleccionado y comprobado la llamada, resultvalue se devuelve como AuthenticationPending
.
Cuando se haya seleccionado y comprobado el teléfono, la respuesta para la siguiente consulta de EndAuth será ResultValue of Success. Además, el usuario ha completado la autenticación de Mulitifactor. También la cookie Set-Cookie : SANeeded=xxxxxxx se establece en la respuesta, que se proporciona al punto de conexión : login.srf para completar la autenticación.
Escenario 2: Cuando el teléfono está fuera de cobertura o no se selecciona el teléfono
Cuando el teléfono no se selecciona y comprueba en 60 segundos después de realizar la llamada, ResultValue se establece como UserVoiceAuthFailedPhoneUnreachable
. En la siguiente consulta del método EndAuth, se devuelve UserVoiceAuthFailedPhoneUnreachable, como se muestra en Fiddler.
Escenario 3: Cuando se desencadena la alerta de fraude para bloquear la cuenta en la nube
Cuando no se ha seleccionado el teléfono y se publica una alerta de fraude en 60 segundos después de realizar la llamada, ResultValue se establece como AuthenticationMethodFailed. En la siguiente consulta del método EndAuth, se devuelve una respuesta AuthenticationMethodFailed, como se muestra en Fiddler.
Escenario 4: Para una cuenta bloqueada
Si el usuario está bloqueado, ResultValue se establece como UserIsBlocked
. En la primera consulta del método EndAuth, se devuelve, UserIsBlocked
como se muestra en Fiddler.
Solución: en un escenario de Azure MFA con una suscripción de Azure, puede desbloquear iniciando sesión primero en manage.windowsazure.com. A continuación, seleccione Usuarios de directorio > y Administrarla configuración del servicioMulti Factor Authentication>. Al final de la página, seleccione Ir al portal. Ahora, seleccione Bloquear o desbloquear usuarios para buscar la lista de usuarios bloqueados.
Si MFA está habilitado a través de Microsoft 365, abra un caso de soporte técnico con Microsoft para desbloquearlo.
Escenario 5: MFA para cuentas administradas
En esta situación, la autenticación sigue siendo la misma, pero los puntos de conexión son https://login.microsoftonline.com/common/SAS/BeginAuth y https://login.microsoftonline.com/common/SAS/EndAuth en lugar de https://login.microsoftonline.com/StrongAuthCheck.srf
como para las cuentas federadas.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de