Beheben von Anmeldeproblemen bei bedingtem Zugriff

Anhand der Informationen in diesem Artikel und mithilfe von Fehlermeldungen und dem Azure AD-Anmeldeprotokoll können Sie Probleme bei unerwarteten Anmeldeergebnissen im Zusammenhang mit dem bedingten Zugriff beheben.

Auswählen von Konsequenzen vom Typ „Alle“

Das Framework für bedingten Zugriff bietet Ihnen mehr Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden. Achten Sie in diesem Fall besonders auf Zuweisungen, die sich auf komplette Sätze auswirken, z.B. alle Benutzer/Gruppen/Cloud-Apps.

Organisationen sollten die folgenden Konfigurationen vermeiden:

Für alle Benutzer, alle Cloud-Apps:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.
  • Markieren des Geräts als kompatibel erforderlich: Für Benutzer, die ihre Geräte noch nicht registriert haben, blockiert diese Richtlinie den gesamten Zugriff, einschließlich des Zugriffs auf das Intune-Portal. Wenn Sie ein Administrator ohne registriertes Gerät sind, verhindert diese Richtlinie auch, dass Sie in das Azure-Portal zurückkehren und die Richtlinie ändern können.
  • Require Hybrid Azure AD domain joined device (In Azure AD Hybrid-Domäne eingebundenes Gerät erforderlich): Diese Richtlinie blockiert potenziell den Zugriff für alle Benutzer in Ihrer Organisation, wenn sie nicht über in Azure AD Hybrid eingebundene Geräte verfügen.
  • App-Schutzrichtlinie erforderlich: Diese Richtlinie zum Blockieren des Zugriffs kann potenziell auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn Sie nicht über eine Intune-Richtlinie verfügen. Wenn Sie als Administrator nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.

Für alle Benutzer, alle Cloud-Apps, alle Geräteplattformen:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.

Unterbrechung der Anmeldung bei bedingtem Zugriff

Die erste Möglichkeit besteht darin, die angezeigte Fehlermeldung zu überprüfen. Bei Problemen mit der Anmeldung über einen Webbrowser enthält die eigentliche Fehlerseite ausführliche Informationen. Diese Informationen können lediglich das Problem beschreiben und eine Lösung vorschlagen.

Anmeldefehler – kompatibles Gerät erforderlich

Die Meldung für den obigen Fehler besagt, dass der Zugriff auf die Anwendung nur von Geräten oder Clientanwendungen erfolgen kann, welche die Richtlinie für die Verwaltung mobiler Geräte im Unternehmen erfüllen. In diesem Fall erfüllen die Anwendung und das Gerät diese Richtlinie nicht.

Azure AD-Anmeldeereignisse

Die zweite Methode zum Abrufen detaillierter Informationen zu der Anmeldeunterbrechung besteht darin, die Azure AD-Anmeldeereignisse zu überprüfen, um festzustellen, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

Weitere Informationen zu diesem Problem erhalten Sie, wenn Sie auf der ersten Fehlerseite auf Weitere Informationen klicken. Durch das Klicken auf Weitere Informationen werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Azure AD-Anmeldeereignisse für ein bestimmtes Fehlerereignis, das dem Benutzer angezeigt wurde, oder beim Öffnen eines Supportfalls bei Microsoft hilfreich sein können.

Weitere Informationen zu einer unterbrochenen Anmeldung im Webbrowser bei bedingtem Zugriff

Gehen Sie wie folgt vor, um herauszufinden, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

  1. Melden Sie sich als globaler Administrator, Sicherheitsadministrator oder globaler Leser im Azure-Portal an.

  2. Navigieren Sie zu Azure Active Directory>Anmeldungen.

  3. Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.

    1. Fügen Sie Filter hinzu, um den Bereich einzugrenzen:
      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.
      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
      3. Benutzername zum Anzeigen von Informationen zu bestimmten Benutzern.
      4. Datum zur Festlegung des fraglichen Zeitraums.

    Auswählen des Filters für den bedingten Zugriff im Anmeldeprotokoll

  4. Wenn Sie das Anmeldeereignis, das dem Anmeldefehler des Benutzers entspricht, gefunden haben, wählen Sie die Registerkarte Bedingter Zugriff aus. Auf der Registerkarte „Bedingter Zugriff“ wird die spezielle Richtlinie (ggf. auch mehrere Richtlinien) angezeigt, die zur Unterbrechung der Anmeldung geführt hat.

    1. Die Informationen auf der Registerkarte Problembehandlung und Support geben möglicherweise eindeutig Auskunft darüber, warum bei der Anmeldung ein Fehler aufgetreten ist (z. B. ein Gerät, das die Konformitätsanforderungen nicht erfüllt).
    2. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird für die ausgewählte Richtlinie die Benutzeroberfläche für die Richtlinienkonfiguration angezeigt. Hier können Sie die Richtlinie überprüfen und bearbeiten.
    3. Der Clientbenutzer und die Gerätedetails, die für die Bewertung der Richtlinie für bedingten Zugriff verwendet wurden, sind auch auf den Registerkarten Grundlegende Infos, Standort, Geräteinformationen, Authentifizierungsdetails und Weitere Details des Anmeldeereignisses verfügbar.

Richtlinie funktioniert nicht wie beabsichtigt

Wenn Sie in einem Anmeldeereignis auf die drei Punkte rechts neben der Richtlinie klicken, werden die Richtliniendetails angezeigt. Durch diese Option erhalten Administratoren zusätzliche Informationen zur Ursache für die erfolgreiche oder nicht erfolgreiche Anwendung einer Richtlinie.

Registerkarte „Bedingter Zugriff“ des Anmeldeereignisses

Richtliniendetails (Vorschau)

Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.

Wenn die im Ereignis angezeigten Informationen nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen und so die gewünschten Ergebnisse zu erhalten, kann das Tool zur Anmeldediagnose verwendet werden. Die Diagnose für die Anmeldung finden Sie unter Grundlegende Informationen>Problembehandlung des Ereignisses. Weitere Informationen zur Anmeldediagnose finden Sie im Artikel Was ist die Anmeldediagnose in Azure AD? Sie können außerdem das What If-Tool verwenden, um eine Problembehandlung für Richtlinien für bedingten Zugriff durchzuführen.

Geben Sie bei der Übermittlung des Vorfalls die Anforderungs-ID sowie Uhrzeit und Datum des Anmeldeereignisses in den Details an. Diese Informationen ermöglichen es dem Microsoft-Support, das betreffende Ereignis zu finden.

Gängige Feldercodes bei bedingtem Zugriff

Anmeldefehlercode Fehlerzeichenfolge
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Weitere Informationen zu Fehlercodes finden Sie im Artikel Fehlercodes für Azure AD-Authentifizierung und -Autorisierung. Fehlercodes in der Liste werden mit einem Präfix AADSTS gefolgt vom Code angezeigt, der im Browser angezeigt wird, z. B. AADSTS53002.

Dienstabhängigkeiten

In einigen spezifischen Szenarien werden Benutzer blockiert, weil Cloud-Apps mit Abhängigkeiten von Ressourcen vorliegen, die durch die Richtlinie für bedingten Zugriff blockiert werden.

Um die Dienstabhängigkeit zu ermitteln, überprüfen Sie das Anmeldeprotokoll für die Anwendung und Ressource, das von der Anmeldung aufgerufen wird. Im folgenden Screenshot wird die Anwendung Azure-Portal aufgerufen, die aufgerufene Ressource ist jedoch die Microsoft Azure-Dienstverwaltungs-API. Um dieses Szenario zu behandeln, sollten alle Anwendungen und Ressourcen in der Richtlinie für bedingten Zugriff ähnlich kombiniert werden.

Screenshot eines Beispielanmeldeprotokolls mit einer Anwendung, die eine Ressource aufruft. Dieses Szenario wird auch als Dienstabhängigkeit bezeichnet.

Was ist zu tun, wenn Ihr Zugriff auf das Azure-Portal gesperrt ist?

Wenn Ihr Zugriff auf das Azure-Portal aufgrund einer falschen Einstellung in einer Richtlinie für bedingten Zugriff gesperrt wurde, gehen Sie folgendermaßen vor:

  • Überprüfen Sie, ob weitere Administratoren in Ihrer Organisation vorhanden sind, die noch nicht gesperrt sind. Ein Administrator mit Zugriff auf das Azure-Portal kann die Richtlinie deaktivieren, die Ihre Anmeldung verhindert.
  • Wenn keiner der Administratoren in Ihrer Organisation die Richtlinie aktualisieren kann, übermitteln Sie eine Supportanfrage. Der Microsoft-Support kann Richtlinien für bedingten Zugriff, die den Zugriff verhindern, überprüfen und nach Bestätigung aktualisieren.

Nächste Schritte