Freigeben über

Beheben von Anmeldeproblemen bei bedingtem Zugriff

Verwenden Sie diesen Artikel, um unerwartete Anmeldeergebnisse im Zusammenhang mit bedingtem Zugriff mithilfe von Fehlermeldungen und Microsoft Entra-Anmeldeprotokollen zu beheben.

Auswählen von Konsequenzen vom Typ „Alle“

Das Framework für bedingten Zugriff bietet eine hohe Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden. Achten Sie in diesem Kontext besonders auf Zuordnungen, die sich auf komplette Sets wie alle Benutzer/Gruppen/Cloud-Apps auswirken.

Organisationen sollten die folgenden Konfigurationen vermeiden:

Für alle Benutzer, alle Ressourcen:

  • Zugriff blockieren – Diese Konfiguration blockiert die gesamte Organisation.
  • Erfordern, dass das Gerät als kompatibel gekennzeichnet ist – Für Benutzer, die ihre Geräte noch nicht registriert haben, blockiert diese Richtlinie den gesamten Zugriff einschließlich des Zugriffs auf das Intune-Portal. Wenn Sie ein Administrator ohne registriertes Gerät sind, verhindert diese Richtlinie auch, dass Sie zurückkehren und die Richtlinie ändern können.
  • Erfordern eines Microsoft Entra Hybridgerät, das mit der Domäne verbunden ist – Diese Richtlinie kann den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn sie nicht über ein Microsoft Entra-Hybridgerät verfügen, das mit der Domäne verbunden ist.
  • Erfordern einer App-Schutzrichtlinie – Diese Richtlinie hat auch das Potenzial, den Zugriff für alle Benutzer in Ihrer Organisation zu blockieren, wenn Sie keine Intune-Richtlinie haben. Wenn Sie als Administrator nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.

Für alle Benutzer, alle Ressourcen, alle Geräteplattformen:

  • Zugriff blockieren – Diese Konfiguration blockiert Ihre gesamte Organisation.

Unterbrechung der Anmeldung bei bedingtem Zugriff

Überprüfen Sie die angezeigte Fehlermeldung. Bei Problemen mit der Anmeldung über einen Webbrowser enthält die eigentliche Fehlerseite ausführliche Informationen. Diese Informationen allein können das Problem beschreiben und eine Lösung vorschlagen.

Screenshot eines Anmeldefehlers, bei dem ein kompatibles Gerät erforderlich ist.

Die Meldung für den obigen Fehler besagt, dass der Zugriff auf die Anwendung nur von Geräten oder Clientanwendungen erfolgen kann, welche die Richtlinie für die Verwaltung mobiler Geräte im Unternehmen erfüllen. In diesem Fall erfüllen die Anwendung und das Gerät die Richtlinie nicht.

Microsoft Entra-Anmeldeereignisse

Die zweite Methode zum Abrufen detaillierter Informationen zu der Anmeldeunterbrechung besteht darin, die Microsoft Entra-Anmeldeereignisse zu überprüfen, um festzustellen, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

Weitere Informationen finden Sie über das Problem, indem Sie auf der anfänglichen Fehlerseite auf "Weitere Details " klicken. Wenn Sie auf "Weitere Details " klicken, werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Microsoft Entra-Anmeldeereignisse nach dem spezifischen Fehlerereignis, das der Benutzer gesehen hat, oder beim Öffnen eines Supportvorfalls mit Microsoft hilfreich ist.

Screenshot mit weiteren Details zu einer unterbrochenen Anmeldung im Webbrowser bei bedingtem Zugriff.

Führen Sie die folgenden Schritte aus, um herauszufinden, welche Richtlinie oder Richtlinien für bedingten Zugriff angewendet wurden und warum.

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitSign-In-Protokollen.

  3. Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.

    1. Beschränken Sie den Bereich, indem Sie Filter wie die folgenden hinzufügen:
      1. Korrelations-ID wenn ein bestimmtes Ereignis untersucht werden soll.
      2. Bedingter Zugriff , um Richtlinienfehler und Erfolg anzuzeigen. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
      3. Benutzername , um Informationen zu bestimmten Benutzern anzuzeigen.
      4. Datumsbereich für den fraglichen Zeitrahmen.
      5. Ressource zum Anzeigen von Informationen im Zusammenhang mit der aufgerufenen Ressource.

    Screenshot der Auswahl des Filters für bedingten Zugriff im Anmeldeprotokoll.

  4. Nachdem Sie das Anmeldeereignis gefunden haben, das dem Anmeldefehler des Benutzers entspricht, wählen Sie die Registerkarte "Bedingter Zugriff " aus. Auf der Registerkarte "Bedingter Zugriff" werden die spezifischen Richtlinien oder Richtlinien angezeigt, die zu einer Anmeldeunterbrechung geführt haben.

    1. Informationen auf der Registerkarte "Problembehandlung" und "Support " stellen möglicherweise einen eindeutigen Grund dafür bereit, warum eine Anmeldung fehlgeschlagen ist, z. B. ein Gerät, das die Complianceanforderungen nicht erfüllt hat.
    2. Um weiter zu untersuchen, klicken Sie auf den Richtliniennamen, um eine detaillierte Konfiguration der Richtlinien zu erhalten. Wenn Sie auf den Richtliniennamen klicken, wird die Benutzeroberfläche für die Richtlinienkonfiguration für die ausgewählte Richtlinie zur Überprüfung und Bearbeitung angezeigt.
    3. Die Clientbenutzer - und Gerätedetails , die für die Richtlinienbewertung für bedingten Zugriff verwendet wurden, sind auch in den Registerkarten "Grundlegende Informationen", "Standort", "Geräteinformationen", " Authentifizierungsdetails" und "Zusätzliche Details " des Anmeldeereignisses verfügbar.

Richtlinie funktioniert nicht wie beabsichtigt

Wenn Sie in einem Anmeldeereignis auf die drei Punkte rechts neben der Richtlinie klicken, werden die Richtliniendetails angezeigt. Durch diese Option erhalten Administratoren zusätzliche Informationen zur Ursache für die erfolgreiche oder nicht erfolgreiche Anwendung einer Richtlinie.

Screenshot mit Details zur Richtlinie für bedingten Zugriff, um zu sehen, warum die Richtlinie angewendet wurde oder nicht.

Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.

Wenn die Informationen im Ereignis nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen, um die gewünschten Ergebnisse zu erhalten, verwenden Sie das Anmeldediagnosetool. Die Anmeldediagnose befindet sich unter Grundlegende Informationen>Problembehandlungsereignis. Weitere Informationen zur Anmeldediagnose finden Sie unter What is the sign-in diagnostic in Microsoft Entra ID. Sie können auch das What If-Tool verwenden, um Probleme mit Richtlinien für bedingten Zugriff zu beheben.

Geben Sie bei der Übermittlung des Vorfalls die Anforderungs-ID sowie Uhrzeit und Datum des Anmeldeereignisses in den Details an. Diese Informationen ermöglichen es dem Microsoft-Support, das betreffende Ereignis zu finden, das Ihnen Sorgen bereitet.

Gängige Feldercodes bei bedingtem Zugriff

Anmeldefehlercode Fehlerzeichenfolge
53000 GerätNichtKonform
53001 GerätNichtDomänenverbunden
53002 VerwendeteAnwendungIstKeineZugelasseneApp
53003 Blockiert durch bedingten Zugriff
53004 ProofUp gesperrt aufgrund von Risiko
53009 Anwendung muss Intune-Schutzrichtlinien erzwingen

Weitere Informationen zu Fehlercodes finden Sie im Artikel Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes. Fehlercodes in der Liste werden mit einem Präfix AADSTS gefolgt vom Code angezeigt, der im Browser angezeigt wird, z. B. AADSTS53002.

Dienstabhängigkeiten

In einigen Szenarien werden Benutzer blockiert, da Cloud-Apps von Ressourcen abhängen, die durch die Richtlinie für bedingten Zugriff blockiert werden.

Um die Dienstabhängigkeit zu ermitteln, überprüfen Sie das Anmeldeprotokoll für die Anwendung und Ressource, das von der Anmeldung aufgerufen wird. Im folgenden Screenshot ist die aufgerufene Anwendung Azure-Portal , aber die aufgerufene Ressource ist die Windows Azure-Dienstverwaltungs-API. Um dieses Szenario zu behandeln, sollten alle Anwendungen und Ressourcen in der Richtlinie für bedingten Zugriff ähnlich kombiniert werden.

Screenshot eines Beispielanmeldungsprotokolls mit einer Anwendung, die eine Ressource aufruft. Dieses Szenario wird auch als Dienstabhängigkeit bezeichnet.

Schritte bei gesperrtem Zugriff

Wenn Sie aufgrund einer falschen Einstellung in einer Richtlinie für bedingten Zugriff gesperrt sind:

  • Überprüfen Sie, ob in Ihrer Organisation andere Administratoren vorhanden sind, die noch nicht blockiert sind. Ein Administrator mit Zugriff kann die Richtlinie deaktivieren, die Ihre Anmeldung verhindert.
  • Wenn keiner der Administratoren in Ihrer Organisation die Richtlinie aktualisieren kann, übermitteln Sie eine Supportanfrage. Der Microsoft-Support kann Richtlinien für bedingten Zugriff, die den Zugriff verhindern, überprüfen und nach Bestätigung aktualisieren.

Nächste Schritte