Problembehandlung bei Authentifizierungsstärke für bedingten Zugriff

  • Artikel

In diesem Artikel erfahren Sie, welche Fehler möglicherweise bei Verwendung des bedingten Zugriffs der Microsoft Entra-Authentifizierungsstärke auftreten, und wie Sie diese beheben können.

Ein Benutzer wird aufgefordert, sich mit einer anderen Methode anzumelden. Unerwarteterweise wird aber keine Methode angezeigt.

Für die Anmeldung muss die Authentifizierungsmethode wie folgt lauten:

  • Für den Benutzer registriert
  • Durch die Authentifizierungsmethodenrichtlinie aktiviert

Weitere Informationen finden Sie unter So funktioniert Authentifizierungsstärke für bedingten Zugriff.

So überprüfen Sie, ob eine Methode verwendet werden kann

  1. Überprüfen Sie, welche Authentifizierungsstärke erforderlich ist. Klicken Sie auf Sicherheit>Authentifizierungsmethoden>Authentifizierungsstärken.
  2. Überprüfen Sie, ob der Benutzer für eine erforderliche Methode aktiviert ist:
    1. Überprüfen Sie die Richtlinie für Authentifizierungsmethoden, um anzuzeigen, ob für den Benutzer eine Methode aktiviert ist, die für die Authentifizierungsstärke erforderlich ist. Klicken Sie auf Sicherheit>Authentifizierungsmethoden>Richtlinien.
    2. Überprüfen Sie bei Bedarf, ob der Mandant für eine Methode aktiviert ist, die für die Authentifizierungsstärke erforderlich ist. Klicken Sie auf Sicherheit>Multi-Faktor-Authentifizierung>Zusätzliche Einstellungen für die cloudbasierte Multi-Faktor-Authentifizierung.
  3. Überprüfen Sie, welche Authentifizierungsmethoden für den Benutzer in der Richtlinie für Authentifizierungsmethoden registriert sind. Klicken Sie auf Benutzer und Gruppen>Benutzername>Authentifizierungsmethoden.

Wenn der Benutzer oder die Benutzerin für eine aktivierte Methode registriert ist, die der Authentifizierungsstärke entspricht, muss er möglicherweise eine andere Methode verwenden, die nach der primären Authentifizierung nicht verfügbar ist, z. B. Windows Hello for Business. Weitere Informationen finden Sie unter Funktionsweise der einzelnen Authentifizierungsmethoden. Der Benutzer muss die Sitzung neu starten, Anmeldeoptionen und dann eine Methode auswählen, die für die Authentifizierungsstärke erforderlich ist.

Screenshot of how to choose another sign-in method.

Ein Benutzer kann nicht auf eine Ressource zugreifen.

Wenn für eine Authentifizierungsstärke eine Methode erforderlich ist, die ein Benutzer nicht verwenden kann, wird der Benutzer bei der Anmeldung blockiert. Um zu überprüfen, welche Methode für eine Authentifizierungsstärke erforderlich ist und für welche Methode der Benutzer registriert und aktiviert ist, führen Sie die Schritte im vorherigen Abschnitt aus.

Überprüfen der bei der Anmeldung erzwungenen Authentifizierungsstärke

Verwenden Sie das Anmeldeprotokoll, um nach weiteren Informationen zu der Anmeldung zu suchen:

  • Auf der Registerkarte Authentifizierungsdetails wird in der Spalte Anforderung der Name der Richtlinie für Authentifizierungsstärke angezeigt.

    Screenshot showing the authentication strength in the sign-in log.

  • Auf der Registerkarte Bedingter Zugriff können Sie sehen, welche Richtlinie für bedingten Zugriff angewendet wurde. Klicken Sie auf den Namen der Richtlinie, und suchen Sie nach Gewährungssteuerelemente, um die erzwungene Authentifizierungsstärke anzuzeigen.

    Screenshot showing the authentication strength under Conditional Access Policy details in the sign-in log.

Ein Benutzer kann während der Anmeldung keine neue Methode registrieren.

Einige Methoden können während der Anmeldung nicht registriert werden, oder es sind über die kombinierte Registrierung hinaus weitere Einrichtungsarbeiten erforderlich. Weitere Informationen finden Sie unter Registrieren von kennwortlosen Authentifizierungsmethoden.

Screenshot of a sign-in error when they are unable to register the method.

Nächste Schritte