Beheben von Anmeldeproblemen bei bedingtem Zugriff

  • Artikel

Anhand der Informationen in diesem Artikel und mithilfe von Fehlermeldungen und dem Microsoft Entra-Anmeldeprotokoll können Sie Probleme bei unerwarteten Anmeldeergebnissen im Zusammenhang mit dem bedingten Zugriff beheben.

Auswählen von Konsequenzen vom Typ „Alle“

Das Framework für bedingten Zugriff bietet Ihnen mehr Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden. Achten Sie in diesem Fall besonders auf Zuweisungen, die sich auf komplette Sätze auswirken, z.B. alle Benutzer/Gruppen/Cloud-Apps.

Organisationen sollten die folgenden Konfigurationen vermeiden:

Für alle Benutzer, alle Cloud-Apps:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.
  • Markieren des Geräts als kompatibel erforderlich: Für Benutzer, die ihre Geräte noch nicht registriert haben, blockiert diese Richtlinie den gesamten Zugriff, einschließlich des Zugriffs auf das Intune-Portal. Wenn Sie ein Administrator ohne registriertes Gerät sind, verhindert diese Richtlinie auch, dass Sie zurückkehren und die Richtlinie ändern können.
  • Hybrid in Microsoft Entra-Domain eingebundenes Gerät erforderlich: Diese Richtlinie blockiert potenziell den Zugriff für alle Benutzer in Ihrer Organisation, wenn sie nicht über hybrid in Microsoft Entra eingebundene Geräte verfügen.
  • App-Schutzrichtlinie erforderlich: Diese Richtlinie zum Blockieren des Zugriffs kann potenziell auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn Sie nicht über eine Intune-Richtlinie verfügen. Wenn Sie als Administrator nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.

Für alle Benutzer, alle Cloud-Apps, alle Geräteplattformen:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.

Unterbrechung der Anmeldung bei bedingtem Zugriff

Die erste Möglichkeit besteht darin, die angezeigte Fehlermeldung zu überprüfen. Bei Problemen mit der Anmeldung über einen Webbrowser enthält die eigentliche Fehlerseite ausführliche Informationen. Diese Informationen können lediglich das Problem beschreiben und eine Lösung vorschlagen.

Screenshot zeigt einen Anmeldefehler, wenn ein kompatibles Gerät erforderlich ist.

Die Meldung für den obigen Fehler besagt, dass der Zugriff auf die Anwendung nur von Geräten oder Clientanwendungen erfolgen kann, welche die Richtlinie für die Verwaltung mobiler Geräte im Unternehmen erfüllen. In diesem Fall erfüllen die Anwendung und das Gerät diese Richtlinie nicht.

Microsoft Entra-Anmeldeereignisse

Die zweite Methode zum Abrufen detaillierter Informationen zu der Anmeldeunterbrechung besteht darin, die Microsoft Entra-Anmeldeereignisse zu überprüfen, um festzustellen, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

Weitere Informationen zu diesem Problem erhalten Sie, wenn Sie auf der ersten Fehlerseite auf Weitere Informationen klicken. Durch das Klicken auf Weitere Details werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Microsoft Entra-Anmeldeereignisse für ein bestimmtes Fehlerereignis, das dem Benutzer angezeigt wurde, oder beim Öffnen eines Supportfalls bei Microsoft hilfreich sind.

Screenshot zeigt weitere Details zu einer unterbrochenen Webbrowseranmeldung bei bedingtem Zugriff.

Gehen Sie wie folgt vor, um herauszufinden, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.

  2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.

  3. Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.

    1. Beschränken Sie den Bereich, indem Sie Filter wie die folgenden hinzufügen:
      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.
      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
      3. Benutzername zum Anzeigen von Informationen zu bestimmten Benutzern.
      4. Datum zur Festlegung des fraglichen Zeitraums.

    Screenshot zeigt das Auswählen des Filters für den bedingten Zugriff im Anmeldeprotokoll.

  4. Wenn Sie das Anmeldeereignis, das dem Anmeldefehler des Benutzers entspricht, gefunden haben, wählen Sie die Registerkarte Bedingter Zugriff aus. Die Registerkarte „Bedingter Zugriff“ zeigt die spezielle Richtlinie (ggf. auch mehrere Richtlinien) an, die zur Unterbrechung der Anmeldung geführt hat.

    1. Die Informationen auf der Registerkarte Problembehandlung und Support geben möglicherweise eindeutig Auskunft darüber, warum bei der Anmeldung ein Fehler aufgetreten ist (z. B. ein Gerät, das die Konformitätsanforderungen nicht erfüllt).
    2. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird die Benutzeroberfläche für die Richtlinienkonfiguration für die ausgewählte Richtlinie angezeigt, um diese zu überprüfen und zu bearbeiten.
    3. Der Clientbenutzer und die Gerätedetails, die für die Bewertung der Richtlinie für bedingten Zugriff verwendet wurden, sind auch auf den Registerkarten Grundlegende Infos, Standort, Geräteinformationen, Authentifizierungsdetails und Weitere Details des Anmeldeereignisses verfügbar.

Richtlinie funktioniert nicht wie beabsichtigt

Wenn Sie in einem Anmeldeereignis auf die drei Punkte rechts neben der Richtlinie klicken, werden die Richtliniendetails angezeigt. Durch diese Option erhalten Administratoren zusätzliche Informationen zur Ursache für die erfolgreiche oder nicht erfolgreiche Anwendung einer Richtlinie.

Screenshot der Details zur Richtlinie für bedingten Zugriff, um zu sehen, warum die Richtlinie angewendet wurde oder nicht.

Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.

Wenn die im Ereignis angezeigten Informationen nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen und so die gewünschten Ergebnisse zu erhalten, kann das Tool zur Anmeldediagnose verwendet werden. Die Diagnose für die Anmeldung finden Sie unter Grundlegende Informationen>Problembehandlung des Ereignisses. Weitere Informationen zur Anmeldediagnose finden Sie im Artikel Was ist die Anmeldediagnose in Microsoft Entra ID. Sie können außerdem das What If-Tool verwenden, um eine Problembehandlung für Richtlinien für bedingten Zugriff durchzuführen.

Geben Sie bei der Übermittlung des Vorfalls die Anforderungs-ID sowie Uhrzeit und Datum des Anmeldeereignisses in den Details an. Diese Informationen ermöglichen es dem Microsoft-Support, das betreffende Ereignis zu finden, das Ihnen Sorgen bereitet.

Gängige Feldercodes bei bedingtem Zugriff

Anmeldefehlercode Fehlerzeichenfolge
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Weitere Informationen zu Fehlercodes finden Sie im Artikel Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung. Fehlercodes in der Liste werden mit einem Präfix AADSTS gefolgt vom Code angezeigt, der im Browser angezeigt wird, z. B. AADSTS53002.

Dienstabhängigkeiten

In einigen spezifischen Szenarien werden Benutzer blockiert, weil Cloud-Apps mit Abhängigkeiten von Ressourcen vorhanden sind, die durch die Richtlinie für bedingten Zugriff blockiert werden.

Um die Dienstabhängigkeit zu ermitteln, überprüfen Sie das Anmeldeprotokoll für die Anwendung und Ressource, das von der Anmeldung aufgerufen wird. Im folgenden Screenshot wird die Anwendung Azure-Portal aufgerufen, die aufgerufene Ressource ist jedoch die Microsoft Azure-Dienstverwaltungs-API. Um dieses Szenario zu behandeln, sollten alle Anwendungen und Ressourcen in der Richtlinie für bedingten Zugriff ähnlich kombiniert werden.

Screenshot eines Beispielanmeldeprotokolls mit einer Anwendung, die eine Ressource aufruft. Dieses Szenario wird auch als Dienstabhängigkeit bezeichnet.

Schritte bei gesperrtem Zugriff

Wenn Ihr Zugriff aufgrund einer falschen Einstellung in einer Richtlinie für bedingten Zugriff gesperrt wurde, gehen Sie folgendermaßen vor:

  • Überprüfen Sie, ob weitere Administratoren in Ihrer Organisation vorhanden sind, die noch nicht gesperrt sind. Ein Administrator mit Zugriff kann die Richtlinie deaktivieren, die Ihre Anmeldung verhindert.
  • Wenn keiner der Administratoren in Ihrer Organisation die Richtlinie aktualisieren kann, übermitteln Sie eine Supportanfrage. Der Microsoft-Support kann Richtlinien für bedingten Zugriff, die den Zugriff verhindern, überprüfen und nach Bestätigung aktualisieren.

Nächste Schritte