Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Symptome
Bedingter Zugriff ist ein Microsoft Entra-Feature, das sicherstellt, dass Geräte, die auf Unternehmensressourcen zugreifen, ordnungsgemäß verwaltet und gesichert sind. Wenn Richtlinien für bedingten Zugriff auf den Microsoft Teams-Dienst angewendet werden, müssen Android-Geräte, die auf Teams zugreifen, die Richtlinien einhalten. Solche Geräte umfassen Teams-Smartphones, Teams-Displays, Teams-Panels und Teams-Räume auf Android-Geräten. Andernfalls hindert der bedingte Zugriff Benutzer daran, sich bei der Teams-App auf den Geräten anzumelden oder zu verwenden.
Wenn diese Richtlinien angewendet werden, treten möglicherweise mindestens eine der folgenden Probleme auf nicht kompatiblen Geräten auf:
- Die Geräte können sich nicht bei Teams anmelden, oder sie bleiben in Anmeldeschleifen hängen.
- Die Geräte melden sich automatisch zufällig bei Teams ab.
- Microsoft Teams reagiert nicht mehr (einfriert).
Ursache
Diese Probleme können aus folgenden Gründen auftreten:
Nicht unterstützte Richtlinien für bedingten Zugriff oder Intune-Gerätekompatibilitätsrichtlinieneinstellungen
Wenn ein Gerät als nicht konform gekennzeichnet ist, beendet der Microsoft Entra Tokenausstellende Dienst die Verlängerung der Token für das Geräteobjekt oder widerruft sogar das Token. In diesem Fall kann das Gerät kein aktualisiertes Authentifizierungstoken abrufen und muss sich abmelden.
Verwenden Sie das Intune Device Compliance-Dashboard, um den Compliancestatus Ihrer Geräte zu überprüfen.
Die Einstellung für die Anmeldehäufigkeit
Diese Einstellung erzwingt die regelmäßige erneute Authentifizierung. Diese Aktion kann dazu führen, dass sich die Geräte zufällig abmelden, je nachdem, wie viele Ihrer Richtlinien für bedingten Zugriff unterschiedliche Anmeldefrequenzen festgelegt haben. Immer wenn eine erneute Authentifizierung auftritt, wird das Token widerrufen und ein neues Geräteobjekt unter dem Benutzerkonto erstellt. Wenn die Anzahl der Geräteobjekte den Microsoft Entra-Gerätegrenzwert oder den Intune-Gerätegrenzwert überschreitet, kann sich der Benutzer nicht bei dem Gerät anmelden.
Die Nutzungsbedingungen (ToU) und die MFA-Richtlinien für bedingten Zugriff, wenn beide verwendet werden
Weitere Informationen finden Sie unter Bekannte Probleme mit Teams-Telefonen.
Beschluss
Wenn Sie Probleme mit bedingtem Zugriff beheben, überprüfen Sie zunächst die Anmeldedetails des betroffenen Benutzers. Stellen Sie sicher, dass das Gerät Richtlinienanforderungen erfüllt. Diese Prüfungen können entweder über automatisierte Tools oder manuell durchgeführt werden, wie in den folgenden Abschnitten beschrieben.
Da Microsoft Teams-Android-Geräte zur Intune AOSP-Geräteverwaltung wechseln, können Administratoren Geräteattribute (z. B. device.displayName) in den Filtern für bedingten Zugriff nutzen. Mit dieser Praxis können Richtlinien präziser ausgerichtet werden, basierend auf der Benennung von Geräten.
Das device.displayName Attribut ist besonders nützlich, da es die Geräteherstellerinformationen frühzeitig im Anmeldevorgang enthält, auch bevor Intune die vollständige Registrierung abgeschlossen hat. Nachdem die Registrierung des Geräts abgeschlossen ist, meldet Intune auch zusätzliche Eigenschaften (z. B. aktualisierter Anzeigename, Make-, Model- und Compliancestatus) an Microsoft Entra. Da diese Berichterstellung zeitaufwendig ist, hilft die Verwendung von displayName in Ihren Filterregeln, sicherzustellen, dass Geräte zu Beginn des Prozesses ordnungsgemäß übereinstimmen.
Automatisierte Prüfungen
Um die automatische Option zu verwenden, führen Sie den Microsoft Teams Rooms Anmelde-Konnektivitätstest im Tool Microsoft Remote Connectivity Analyzer aus. Dieses Tool hilft Ihnen bei der Behandlung von Konnektivitätsproblemen, die sich auf Teams auswirken. Der Verbindungstest führt Überprüfungen durch, um die Berechtigungen eines bestimmten Benutzers für die Anmeldung bei Teams mithilfe eines Teams-Räume-Geräts zu überprüfen.
Hinweis
- Zum Ausführen des Microsoft Teams-Räume-Anmeldekonnektivitätstests ist ein globales Administratorkonto erforderlich.
- Das Microsoft Remote Connectivity Analyzer-Tool ist für die GCC- und GCC High Microsoft 365 Government-Umgebungen nicht verfügbar.
Führen Sie die folgenden Schritte aus, um den Verbindungstest auszuführen:
- Navigieren Sie in einem Webbrowser zum Microsoft Teams-Räume-Anmeldung-Verbindungstest.
- Melden Sie sich mit den Anmeldeinformationen eines globalen Administratorkontos an.
- Geben Sie den Benutzernamen für das Konto an, das nicht auf die Teams-Räume-App zugreifen kann.
- Wählen Sie im Feld "Geräteauswahl " einen Typ für das Gerät des betroffenen Benutzers aus.
- Geben Sie den angezeigten Überprüfungscode ein, und wählen Sie dann Überprüfen aus.
- Aktivieren Sie das Kontrollkästchen, um die Nutzungsbedingungen zu akzeptieren, und wählen Sie Test durchführen aus.
Nach Abschluss des Tests zeigt der Bildschirm Details zu allen durchgeführten Prüfungen an und zeigt an, ob der Test erfolgreich war, fehlgeschlagen oder erfolgreich war, aber einige Warnungen angezeigt wurden. Wenn Sie weitere Informationen zu Warnungen und Fehlern erhalten möchten und wie Sie diese beheben können, wählen Sie den bereitgestellten Link aus.
Manuelle Überprüfungen
Führen Sie die folgenden Schritte aus, um den Benutzerzugriff auf die Teams-App manuell zu überprüfen:
Wechseln Sie zu den Anmeldeprotokollen im Azure-Portal.
Wählen Sie die Registerkarte "Benutzeranmeldungen" (nicht interaktiv) aus.
Wählen Sie "Filter hinzufügen" aus, um die folgenden Filter hinzuzufügen:
- Status: Wählen Sie Fehler und dann Übernehmen aus.
- Anwendung: Geben Sie Teams ein, und wählen Sie dann "Übernehmen" aus.
Suchen Sie für die betroffenen Benutzernamen nach Elementen mit den folgenden Anwendungswerten :
- Microsoft Teams
- Microsoft Teams-Dienst
- Microsoft Teams – Geräteadministrator-Agent
Wählen Sie jedes Element aus, um Details zur fehlgeschlagenen Anmeldung anzuzeigen. In der Regel erhalten Sie weitere Informationen aus den folgenden Feldern auf der Registerkarte "Grundlegende Informationen ":
- Anmeldefehlercode
- Fehlerursache
- Zusätzliche Details
Wenn der Anmeldefehlercode mit der Compliance zu tun scheint, wählen Sie die Registerkarte " Bedingter Zugriff " aus, und suchen Sie dann nach Richtlinien, die ein Fehlerergebnis anzeigen.
Überprüfen Sie die Richtliniendetails.
Nachdem Sie die spezifische Richtlinie für den bedingten Zugriff identifiziert haben, die das Problem verursacht, können Sie Gerätefilter verwenden, um das betroffene Gerät aus der Richtlinie auszuschließen. Einige der häufig verwendeten Geräteeigenschaften in Gerätefiltern sind Hersteller und Modell. Diese Eigenschaften werden zusammen mit den Operatoren Contains, StartsWith und In verwendet.
Hinweis
- Gerätefilter gelten nur für Geräteobjekte, nicht für Benutzerkonten.
- Einige Attribute, z. B. Modell und Hersteller, können nur festgelegt werden, wenn Geräte in Intune registriert sind. Wenn Ihre Geräte nicht in Intune registriert sind, verwenden Sie Erweiterungsattribute.
- Überprüfen Sie jede Richtlinieneinstellung auf nicht unterstützte Einstellungen für Teams-Geräte.
Der folgende Screenshot zeigt einen Beispielgerätefilter.
Verweise
- Unterstützte Richtlinien für bedingten Zugriff und Intune-Gerätekompatibilität für Microsoft Teams-Räume und Microsoft Teams-Android-Geräte
- Übersicht über App-Schutzrichtlinien
- Bewährte Methoden für bedingten Zugriff und Compliance für Microsoft Teams-Räume
- Bewährte Authentifizierungsmethoden für die Verwaltung gemeinsam genutzter Geräte von Android-Geräten in Microsoft Teams
- Bekannte Probleme in Teams-Räumen und -Geräten
- Video: Intune Compliance & Bedingter Zugriff mit Microsoft Teams-Android-Geräten