Sdílet prostřednictvím

Řešení potíží s přihlášením s podmíněným přístupem

Tento článek slouží k opravě neočekávaných výsledků přihlašování souvisejících s podmíněným přístupem kontrolou chybových zpráv a protokolů přihlašování Microsoft Entra.

Vyberte všechny důsledky.

Architektura podmíněného přístupu poskytuje spoustu flexibility konfigurace. Tato flexibilita ale znamená, že před vydáním každé zásady konfigurace je potřeba pečlivě zkontrolovat, abyste se vyhnuli nežádoucím výsledkům. V tomto kontextu věnujte zvláštní pozornost přiřazeným úkolům, které ovlivňují celé sady, jako všem uživatelům, skupinám nebo prostředkům.

Nepoužívejte následující konfigurace:

Pro všechny uživatele všechny prostředky:

  • Blokovat přístup – Tato konfigurace blokuje celou organizaci.
  • Vyžadovat, aby zařízení bylo označené jako vyhovující – pro uživatele, kteří ještě nezaregistrovali svá zařízení, tato zásada blokuje veškerý přístup, včetně přístupu k portálu Intune. Pokud jste správce bez zaregistrovaného zařízení, tato zásada vám znemožňuje přístup k jejímu změně.
  • Vyžadovat hybridní zařízení připojené k doméně Microsoft Entra – Tato zásada může blokovat přístup pro všechny uživatele ve vaší organizaci, pokud nemají zařízení připojené k hybridnímu připojení Microsoft Entra.
  • Vyžadovat zásady ochrany aplikací – Tato zásada může také blokovat přístup pro všechny uživatele ve vaší organizaci, pokud zásady Intune nemáte. Pokud jste správce bez klientské aplikace, která má zásady ochrany aplikací Intune, tato zásada vám brání v návratu k portálům, jako je Intune a Azure.

Pro všechny uživatele všechny prostředky, všechny platformy zařízení:

  • Blokovat přístup – Tato konfigurace blokuje celou organizaci.

Přerušení přihlášení s využitím podmíněného přístupu

Zkontrolujte chybovou zprávu, která se zobrazí. Pokud se přihlašujete pomocí webového prohlížeče, chybová stránka obvykle obsahuje podrobné informace. Tyto informace často popisují problém a navrhují řešení.

Snímek obrazovky s chybou přihlášení s informací, že je zařízení vyhovující předpisům povinné

V této chybě se zobrazí zpráva, že aplikaci můžete používat jenom ze zařízení nebo klientských aplikací, které splňují zásady správy mobilních zařízení vaší společnosti. V této části aplikace a zařízení nevyhovují zásadám.

Události přihlášení ve službě Microsoft Entra

Pokud chcete získat podrobné informace o přerušení přihlašování, projděte si události přihlášení Microsoft Entra a zjistěte, které zásady podmíněného přístupu se použily a proč.

Další informace o problému najdete kliknutím na Další podrobnosti na úvodní chybové stránce. Kliknutím na Další podrobnosti zobrazíte informace o řešení potíží, které jsou užitečné při vyhledávání událostí přihlášení Microsoft Entra pro konkrétní událost selhání, kterou uživatel viděl nebo při otevření incidentu podpory u Microsoftu.

Snímek obrazovky s podrobnostmi o přerušení přihlášení ve webovém prohlížeči podmíněným přístupem.

Pomocí těchto kroků zjistíte, které zásady podmíněného přístupu nebo zásady se použijí a proč.

  1. Přihlaste se do Centra pro správu Microsoft Entra minimálně jako čtenář sestav.

  2. Přejděte do Entra ID>Monitorování a stav>Protokoly přihlášení.

  3. Vyhledejte přihlašovací událost, kterou chcete zkontrolovat. Přidáním nebo odebráním filtrů a sloupců vyfiltrujte nepotřebné informace.

    1. Zužte rozsah přidáním filtrů, jako jsou:
      1. ID korelace , když máte konkrétní událost, která se má prošetřit.
      2. Podmíněný přístup pro zobrazení selhání a úspěchu zásad. Nastavte rozsah filtru tak, aby se zobrazila pouze selhání (a tedy méně výsledků).
      3. Uživatelské jméno pro zobrazení informací souvisejících s konkrétními uživateli
      4. Datum vymezené na daný časový rámec.
      5. Zdroj pro zobrazení informací souvisejících s volaným zdrojem.

    Snímek obrazovky znázorňující výběr filtru podmíněného přístupu v protokolu přihlašování

  4. Po vyhledání události přihlášení, která odpovídá selhání přihlášení uživatele, vyberte kartu Podmíněný přístup . Na kartě Podmíněný přístup se zobrazují konkrétní zásady nebo zásady, které způsobily přerušení přihlášení.

    1. Informace na kartě Řešení potíží a podpory můžou poskytnout jasný důvod, proč přihlášení selhalo, například zařízení, které nesplňuje požadavky na dodržování předpisů.
    2. Pokud chcete prozkoumat další informace, přejděte k podrobnostem o konfiguraci zásad kliknutím na název zásady. Kliknutím na název zásady zobrazíte uživatelské rozhraní konfigurace zásad pro vybranou zásadu pro kontrolu a úpravy.
    3. Podrobnosti ouživatelích a zařízeních, které se použily pro posouzení zásad podmíněného přístupu, jsou k dispozici také na kartách Základní informace, Umístění, Informace o zařízení, Podrobnosti o ověřování a Další podrobnosti události přihlášení.

Zásady nefungují podle očekávání

Výběrem elipsy na pravé straně zásady při události přihlášení zobrazíte její podrobnosti. Tato možnost poskytuje správcům další informace o tom, proč se zásada použila nebo ne.

Snímek obrazovky zobrazující podrobnosti o zásadách podmíněného přístupu a zjistěte, proč se zásady použily nebo ne.

Na levé straně najdete podrobnosti shromážděné při přihlášení a na pravé straně najdete podrobnosti o tom, jestli tyto údaje splňují požadavky použitých zásad podmíněného přístupu. Zásady podmíněného přístupu se použijí pouze v případě, že jsou všechny podmínky splněné nebo nejsou nakonfigurované.

Pokud informace v události nestačí k pochopení výsledků přihlášení nebo úpravě zásad tak, aby získaly požadované výsledky, použijte diagnostický nástroj pro přihlášení. Diagnostika přihlášení je pod Základními informacemi>Událost řešení potíží. Další informace o diagnostice přihlašování najdete v tématu Co je diagnostika přihlašování v Microsoft Entra ID. K řešení potíží se zásadami podmíněného přístupu můžete použít také nástroj What If.

Pokud potřebujete odeslat incident podpory, uveďte ID žádosti, čas a datum z události přihlášení do podrobností o incidentu. Tyto informace pomáhají podpoře Microsoftu najít konkrétní událost, o kterou máte obavy.

Běžné kódy chyb podmíněného přístupu

Kód chyby přihlášení Řetězec chyb
53000 Zařízení není v souladu
53001 Zařízení_Není_připojeno_k_domeně
53002 Použitá aplikace není schválená aplikace
53003 Blokováno podmíněným přístupem
53004 DůkazZablokovánKvůliRiziku
53009 Aplikace musí uplatnit zásady ochrany Intune.

Přečtěte si další informace o kódech chyb v kódech chyb microsoft Entra pro ověřování a autorizaci. Kódy chyb v seznamu se zobrazí s předponou AADSTS následovanou kódem, který vidíte v prohlížeči, například AADSTS53002.

Závislosti služeb

V některých scénářích jsou uživatelé blokovaní, protože cloudové aplikace závisí na prostředcích, které zásady podmíněného přístupu blokují.

Pokud chcete zkontrolovat závislost služby, prohlédněte si protokol přihlášení aplikací a prostředků vyvolaných přihlášením. Na následujícím snímku obrazovky je aplikace Azure Portal, ale prostředek je Azure Resource Manager. Chcete-li cílit na tento scénář, kombinujte všechny aplikace a prostředky v rámci zásady podmíněného přístupu.

Snímek obrazovky s přihlašovacím protokolem, který zobrazuje aplikaci volající prostředek. Tento scénář se také označuje jako závislost služby.

Zprávy o cílových skupinách

Když se uživatel přihlásí k aplikaci, jako je Microsoft Teams, ve skutečnosti žádá o přístup k více prostředkům, jako je chat Teams, outlookový kalendář, excelové dokumenty a další. I když si uživatelé můžou myslet, že se přihlašují jenom k klientovi Teams, zásady podmíněného přístupu se vztahují na všechny tyto prostředky. Pokud například správce omezuje přístup k SharePointu nebo konkrétním sharepointovým webům, platí tato zásada i v případě, že si uživatel myslí, že se přihlašuje jenom k Teams.

Zprávy o přihlášení v protokolech umožňují správcům zobrazit všechny prostředky požadované v rámci přihlašovacího procesu. Zobrazí se jako cílová skupina v sekci Prostředky pro všechny povolené nebo pouze sestavy zásady.

Snímek obrazovky s položkou protokolu přihlašování, která zobrazuje podrobnosti o zásadách podmíněného přístupu a rozšířené informace o prostředcích a cílové skupině

Správci najdou cílovou skupinu v protokolech přihlašování po výběru zásady na kartě Podmíněný přístup.

Správci používají přehled o publiku, aby se dozvěděli, proč se zásady podmíněného přístupu vztahují nebo nevztahují na událost přihlášení. Zásada se například vztahuje na konkrétní událost přihlášení, protože jedno z publik v seznamu spadá pod rozsah zásady.

Co dělat, když jste uzamčení

Pokud jste uzamčení kvůli nesprávnému nastavení v zásadách podmíněného přístupu:

  • Zkontrolujte, jestli ve vaší organizaci ještě nejsou blokovaní další správci. Správce s přístupem může zakázat zásady, které mají vliv na vaše přihlášení.
  • Pokud zásady nemůže aktualizovat žádný správce ve vaší organizaci, odešlete žádost o podporu. Microsoft podpora prověřuje zásady podmíněného přístupu, které brání přístupu, a po potvrzení je aktualizuje.

Další kroky

  • Last updated on