Anmeldediagnose für Microsoft Entra-Szenarien

Mit der Anmeldediagnose für Microsoft Entra ID können Sie analysieren, was bei einem Anmeldeversuch passiert ist, und Empfehlungen zur Behebung von Problemen erhalten, ohne den Microsoft-Support einzubeziehen.

In diesem Artikel erhalten Sie eine Übersicht über die Typen von Szenarien, die Sie identifizieren und lösen können, wenn Sie dieses Tool verwenden.

So greifen Sie auf die Anmeldediagnose zu

Es gibt drei Möglichkeiten, auf das Anmeldediagnosetool zuzugreifen: über den Bereich „Diagnostizieren und Beheben von Problemen“, über die Microsoft Entra-Anmeldeprotokolle und beim Erstellen einer neuen Supportanfrage. Weitere Informationen finden Sie unter Verwenden der Anmeldediagnose.

Bedingter Zugriff

Richtlinien für den bedingten Zugriff werden verwendet, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten. Da Richtlinien für bedingten Zugriff verwendet werden können, um den Zugriff auf Ressourcen zu gewähren oder zu blockieren, tauchen sie häufig in der Anmeldediagnose auf.

• Blockiert durch bedingten Zugriff

  • Ihre Richtlinien für bedingten Zugriff haben verhindert, dass sich der Benutzer anmeldet.

• Fehler beim bedingten Zugriff

  • Möglicherweise sind Ihre Richtlinien für bedingten Zugriff zu streng.
  • Überprüfen Sie Ihre Konfigurationen auf vollständige Gruppen von Benutzern, Gruppen und Anwendungen.
  • Stellen Sie sicher, dass Sie die Auswirkungen von Zugriffsbeschränkungen bestimmter Gerätetypen kennen.

• Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) bei bedingtem Zugriff

  • Ihre Richtlinien für bedingten Zugriff haben den MFA-Prozess für den Benutzer ausgelöst.

• B2B blockiert die Anmeldung aufgrund des bedingten Zugriffs:

  • Sie haben eine Richtlinie für bedingten Zugriff erstellt, um die Anmeldung externer Identitäten zu blockieren.

Mehrstufige Authentifizierung

Es gibt mehrere MFA-bezogene Ereignisse, die Sie mithilfe des Anmeldediagnosetools beheben können.

Mehrstufige Authentifizierung (MFA) aufgrund sonstiger Anforderungen erforderlich

Wenn in den Ergebnissen der Anmeldediagnose die Multi-Faktor-Authentifizierung aus einer anderen Anforderung als dem bedingten Zugriff angezeigt wurde, ist sie möglicherweise benutzerbasiert aktiviert. Es wird empfohlen, die benutzerbasierte MFA in einen bedingten Zugriff zu konvertieren. Die Anmeldediagnose enthält Details zur Quelle der MFA-Unterbrechung und zum Ergebnis der Interaktion.

MFA „Proofup“

Zu einem weiteren häufigen Szenario kommt es, wenn MFA Anmeldeversuche unterbricht. Wenn Sie die Anmeldediagnose ausführen, werden In den Diagnoseergebnissen Informationen zum „Proofup“ bereitgestellt. Dieser Fehler wird angezeigt, wenn Benutzer die MFA zum ersten Mal einrichten und das Setup nicht abschließen, oder ihre Konfiguration nicht im Vorfeld eingerichtet wurde.

Korrekte und inkorrekte Anmeldeinformationen

Manchmal geben Benutzer einfach die falschen Anmeldeinformationen ein. Das Anmeldediagnosetool kann dabei helfen, zwischen menschlichem Fehler und anderen Problemen zu unterscheiden.

Erfolgreiche Anmeldung

In manchen Fällen möchten Sie wissen, ob Anmeldeereignisse nicht durch bedingten Zugriff oder MFA unterbrochen werden, obwohl das der Fall sein sollte. Das Anmeldediagnosetool enthält Details zu Anmeldeereignissen, die hätten unterbrochen werden sollen, aber nicht unterbrochen wurden.

Gesperrtes Konto

Bein einem weiteren gängigen Szenario versucht ein Benutzer zu oft, sich mit falschen Anmeldeinformationen anzumelden. Dieser Fehler tritt auf, wenn zu viele kennwortbasierte Anmeldeversuche mit falschen Anmeldeinformationen aufgetreten sind. Das Diagnoseergebnis stellt Informationen für den Administrator bereit, um zu bestimmen, woher die Versuche stammen und ob es sich um legitime Anmeldeversuche eines Benutzers handelt. Das Ausführen der Anmeldediagnose liefert Details zu den Apps, zur Anzahl der Versuche, zum verwendeten Gerät, zum Betriebssystem und zur IP-Adresse. Weitere Informationen finden Sie unter Microsoft Entra Smart Lockout.

Ungültiger Benutzername oder ungültiges Kennwort

Wenn ein Benutzer versucht hat, sich mit einem ungültigen Benutzernamen oder Kennwort anzumelden, hilft die Anmeldediagnose dem Administrator dabei, die Ursache des Problems zu ermitteln. Die Quelle könnte ein Benutzer sein, der falsche Anmeldeinformationen eingibt, oder ein Client und/oder eine Anwendung, der/die ein altes Kennwort zwischengespeichert hat und erneut übermittelt. Die Anmeldediagnose liefert Details zu den Apps, zur Anzahl der Versuche, zum verwendeten Gerät, zum Betriebssystem und zur IP-Adresse.

Unternehmens-Apps

In Unternehmensanwendungen gibt es zwei Punkte, an denen Probleme auftreten können:

• Die Anwendungskonfiguration des Identitätsanbieters (Microsoft Entra ID)
• Die Konfiguration des Dienstanbieters (Anwendungsdienst, auch als SaaS-Anwendung bezeichnet)

Bei der Diagnose für diese Probleme wird geklärt, welche Seite des Problems zur Lösung untersucht werden sollte und was zu tun ist.

Enterprise-Apps-Dienstanbieter

Wenn der Fehler aufgetreten ist, als ein Benutzer versucht hat, sich bei einer Anwendung anzumelden, ist die Anmeldung aufgrund eines Problems mit der Dienstanbieterseite (Anwendung) des Anmeldeflows fehlgeschlagen. Probleme, die von der Anmeldediagnose erkannt werden, müssen in der Regel durch Ändern der Konfiguration oder Beheben von Problemen im Anwendungsdienst gelöst werden. Eine Lösung für dieses Szenario besteht darin, dass Sie sich beim anderen Dienst anmelden und eine Konfiguration gemäß den Diagnoseleitfäden ändern.

Enterprise-Apps-Konfiguration

Eine Anmeldung kann aufgrund eines Anwendungskonfigurationsproblems für die Microsoft Entra ID-Seite der Anwendung fehlgeschlagen. In solchen Situationen erfordert eine Lösung das Überprüfen und Aktualisieren der Konfiguration der Anwendung auf der Unternehmensanwendungsseite der Anwendung.

Andere Szenarien

Das Diagnosetool für Anmeldungen kann in verschiedenen Szenarien verwendet werden.

Sicherheitsstandards

Anmeldeereignisse können aufgrund von Einstellungen für Sicherheitsstandards unterbrochen werden. Mithilfe von Sicherheitsstandards werden für Ihre Organisation die bewährten Sicherheitsmethoden erzwungen. Eine bewährte Methode besteht darin, die Konfiguration und Nutzung der Multi-Faktor-Authentifizierung zu erzwingen, um zu verhindern, dass Kennwort-Spray-Angriffe, Replay-Angriffe und Phishing-Versuche erfolgreich sind.

Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?.

Einblicke in Fehlercode

Wenn ein Ereignis keine kontextbezogene Analyse in der Anmeldediagnose aufweist, wird möglicherweise eine aktualisierte Fehlercodeerklärung und relevanter Inhalt angezeigt. Die Fehlercode-Erkenntnisse enthalten detaillierten Text zum Szenario, zur Behebung des Problems und alle Inhalte, die in Bezug auf das Problem gelesen werden müssen.

Legacyauthentifizierung

Dieses Szenario umfasst ein Anmeldeereignis, das blockiert oder unterbrochen wurde, weil der Client versucht hat, die Legacy-Authentifizierung (oder Standardauthentifizierung) zu verwenden.

Als bewährte Sicherheitsmethode empfehlen wir Ihnen, Anmeldungen per Legacy-Authentifizierung zu verhindern. Bei Legacy-Authentifizierungsprotokollen, z. B. POP, SMTP, IMAP und MAPI, kann die MFA nicht erzwungen werden. Aus diesem Grund werden diese Protokolle bevorzugt für Angriffe auf Ihr Unternehmen genutzt.

Weitere Informationen finden Sie unter Gewusst wie: Blockieren der Legacyauthentifizierung bei Microsoft Entra ID mit bedingtem Zugriff.

Durch B2B blockierte Anmeldung aufgrund des bedingten Zugriffs

In diesem Diagnoseszenario wird eine blockierte oder unterbrochene Anmeldung entdeckt, da der Nutzer aus einer anderen Organisation stammt. Beispiel: Eine B2B-Anmeldung, bei der eine Richtlinie für bedingten Zugriff erfordert, dass das Gerät des Clients mit dem Ressourcenmandanten verknüpft ist.

Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.

Blockiert durch Benutzerrisikorichtlinie

In diesem Szenario blockiert die Identity Protection-Richtlinie einen Anmeldeversuch, da der Anmeldeversuch als riskant identifiziert wurde.

Weitere Informationen finden Sie unter Gewusst wie: Konfigurieren und Aktivieren von Richtlinien.

Passthrough-Authentifizierung

Da bei der Passtrough-Authentifizierung lokale und cloudbasierte Authentifizierungstechnologien integriert werden, kann es schwierig sein, die Ursache des Problems zu ermitteln. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.

In diesem Diagnoseszenario werden benutzerspezifische Anmeldeprobleme identifiziert, wenn als Authentifizierungsmethode die Passthrough-Authentifizierung (PTA) verwendet wird und ein PTA-spezifischer Fehler auftritt. Fehler aufgrund anderer Probleme werden auch dann ordnungsgemäß diagnostiziert, wenn die PTA-Authentifizierung verwendet wird.

In den Diagnoseergebnissen werden Kontextinformationen zum Fehler und zur Anmeldung des Benutzers angezeigt. Die Ergebnisse könnten auch andere Gründe für einen Fehler bei der Anmeldung und andere empfohlene Aktionen zur Behebung des Problems für den Administrator anzeigen. Weitere Informationen finden Sie unter Behandlung von Problemen bei der Microsoft Entra-Passthrough-Authentifizierung.

Nahtloses einmaliges Anmelden

Durch nahtloses einmaliges Anmelden wird die Kerberos-Authentifizierung in die Cloudauthentifizierung integriert. In diesem Szenario kommen zwei Authentifizierungsprotokolle zum Einsatz. Daher kann es schwierig sein, nachzuvollziehen, wo der Fehlerpunkt liegt, wenn Probleme bei der Anmeldung auftreten. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.

In diesem Diagnoseszenario werden der Kontext des Anmeldefehlers und die spezifische Fehlerursache untersucht. Die Diagnoseergebnisse können kontextbezogene Informationen zum Anmeldeversuch sowie empfohlene Aktionen enthalten, die der Administrator ausführen kann. Weitere Informationen finden Sie unter Problembehandlung für das nahtlose einmalige Anmelden von Microsoft Entra.