Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use este artículo para corregir resultados de inicio de sesión inesperados relacionados con el acceso condicional comprobando los mensajes de error y los registros de inicio de sesión de Microsoft Entra.
Selección de "todas" las consecuencias
El marco de acceso condicional proporciona una gran flexibilidad de configuración. Pero esta flexibilidad significa que debe revisar cuidadosamente cada directiva de configuración antes de publicarla para evitar resultados no deseados. En este contexto, preste especial atención a las asignaciones que afectan a conjuntos completos, como todos los usuarios, grupos o recursos.
No use las siguientes configuraciones:
Para todos los usuarios, todos los recursos:
- Bloquear el acceso : esta configuración bloquea toda la organización.
- Requerir que el dispositivo esté marcado como compatible : para los usuarios que aún no han inscrito sus dispositivos, esta directiva bloquea todo el acceso, incluido el acceso al portal de Intune. Si es administrador sin un dispositivo inscrito, esta directiva le impide volver a entrar para cambiar la directiva.
- Requerir un dispositivo unido a un dominio Microsoft Entra híbrido - esta directiva también puede bloquear el acceso a todos los usuarios de su organización si no tienen un dispositivo unido a un dominio Microsoft Entra híbrido.
- Requerir una directiva de protección de aplicaciones: dicha directiva también puede bloquear el acceso para todos los usuarios de su organización si no cuenta con una política de Intune. Si usted es un administrador sin una aplicación cliente que tenga una directiva de protección de aplicaciones de Intune, esta directiva le impide regresar a portales como Intune y Azure.
Para todos los usuarios, todos los recursos, todas las plataformas de dispositivos:
- Bloquear acceso: esta configuración bloquea a toda la organización.
Interrupción de inicio de sesión del acceso condicional
Compruebe el mensaje de error que aparece. Si inicia sesión con un explorador web, la página de error suele tener información detallada. Esta información suele describir el problema y sugiere una solución.
En este error, el mensaje indica que solo puede usar la aplicación desde dispositivos o aplicaciones cliente que cumplen la directiva de administración de dispositivos móviles de su empresa. Aquí, la aplicación y el dispositivo no cumplen la directiva.
Eventos de inicio de sesión de Microsoft Entra
Para obtener información detallada sobre la interrupción del inicio de sesión, revise los eventos de inicio de sesión de Microsoft Entra para ver qué directiva o directivas de acceso condicional se han aplicado y por qué.
Para obtener más información sobre el problema, haga clic en Más detalles en la página inicial del error. Al hacer clic en Más detalles se muestra información de resolución de problemas que resulta útil al buscar en los eventos de inicio de sesión de Microsoft Entra el evento de error concreto que ha visto el usuario o al abrir un incidente de soporte técnico con Microsoft.
Siga estos pasos para averiguar qué directiva o directivas de acceso condicional se han aplicado y por qué.
Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
Vaya a Entra ID>, luego a Supervisión y salud>, y por último a Registros de inicio de sesión.
Busque el evento del inicio de sesión que se va a revisar. Agregue o quite filtros y columnas para filtrar la información innecesaria.
- Restrinja el ámbito agregando filtros como:
- Id. de correlación si hay algún evento específico que haya que investigar.
- Acceso condicional para ver el mensaje de error y de confirmación asociados a la directiva. Defina el ámbito del filtro para mostrar solo los errores a fin de limitar los resultados.
- Nombre de usuario para consultar la información relativa a usuarios específicos.
- Fecha definida para el período de tiempo en cuestión.
- Recurso para ver información relacionada con el recurso al que se llama.
- Restrinja el ámbito agregando filtros como:
Después de buscar el evento de inicio de sesión que corresponde al error de inicio de sesión del usuario, seleccione la pestaña Acceso condicional . En la pestaña Acceso condicional se muestran las directivas o directivas específicas que provocaron la interrupción del inicio de sesión.
- La información de la pestaña Solución de problemas y soporte técnico podría proporcionar una razón clara sobre por qué se produjo un error de inicio de sesión, como un dispositivo que no cumple los requisitos de cumplimiento.
- Para seguir investigando, explore en profundidad la configuración de las directivas haciendo clic en el nombre de la directiva. Al hacer clic en el nombre de la directiva se muestra la interfaz de usuario de configuración de la directiva seleccionada para revisarla y editarla.
- El usuario de cliente y los detalles del dispositivo usados para la evaluación de la directiva de acceso condicional también están disponibles en las pestañas Información básica, Ubicación, Información del dispositivo, Detalles de autenticación y Detalles adicionales del evento de inicio de sesión.
La directiva no funciona según lo previsto
Seleccione el icono de puntos suspensivos situado a la derecha de la política durante un evento de inicio de sesión para ver los detalles de la política. Esta opción proporciona a los administradores más información sobre por qué se aplicó o no una directiva.
En el lado izquierdo se proporcionan los detalles recopilados en el inicio de sesión y en el lado derecho se detalla si cumplen los requisitos de las directivas de acceso condicional aplicadas. Las directivas de acceso condicional solo se aplican cuando se cumplen todas las condiciones o no se han configurado.
Si la información del evento no es suficiente para comprender los resultados del inicio de sesión o ajustar la directiva para obtener los resultados deseados, use la herramienta de diagnóstico de inicio de sesión. El diagnóstico de inicio de sesión se encuentra en Información básica>Solucionar problemas de eventos. Para obtener más información sobre el diagnóstico de inicio de sesión, consulte ¿Qué es el diagnóstico de inicio de sesión en Microsoft Entra ID?. También puede usar la herramienta What If para solucionar problemas de directivas de acceso condicional.
Si necesita enviar un incidente de soporte técnico, incluya el identificador de solicitud, la hora y la fecha del evento de inicio de sesión en los detalles del incidente. Esta información ayuda al soporte técnico de Microsoft a encontrar el evento específico que le preocupa.
Códigos de error comunes del acceso condicional
| Código de error de inicio de sesión | Cadena de error |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | LaAplicaciónUsadaNoEsUnaAppAprobada |
| 53003 | BloqueadoPorAccesoCondicional |
| 53004 | ProofUpBlockedDueToRisk |
| 53009 | La aplicación debe aplicar directivas de protección de Intune |
Obtenga más información sobre los códigos de error en los códigos de error de autenticación y autorización de Microsoft Entra. Los códigos de error en la lista aparecen con un prefijo de AADSTS seguido del código que usted ve en el navegador, como AADSTS53002.
Dependencias del servicio
En algunos escenarios, los usuarios se bloquean porque las aplicaciones en la nube dependen de los recursos que bloquea una directiva de acceso condicional.
Para comprobar la dependencia del servicio, revise el registro de inicio de sesión para ver la aplicación y el recurso accedido durante el inicio de sesión. En la captura de pantalla siguiente, la aplicación es Azure Portal, pero el recurso es Azure Resource Manager. Para tener como destino este escenario, combine todas las aplicaciones y los recursos de la directiva de acceso condicional.
Informes de audiencias
Cuando un usuario inicia sesión en una aplicación como Microsoft Teams, realmente solicita acceso a varios recursos, como chat de Teams, calendario de Outlook, documentos de Excel, etc. Aunque es posible que los usuarios piensen que solo inician sesión en el cliente de Teams, las directivas de acceso condicional se aplican en todos estos recursos. Por ejemplo, si un administrador restringe el acceso a SharePoint o a sitios específicos de SharePoint, la directiva se aplica incluso cuando el usuario cree que solo inicia sesión en Teams.
Los informes de audiencia en los registros de inicio de sesión permiten a los administradores ver todos los recursos solicitados como parte de un evento de inicio de sesión. Esto aparece como Audiencia en la sección Recurso para todas las directivas habilitadas o de tipo solo informe.
Los administradores encuentran Audiencia en los registros de inicio de sesión después de seleccionar una directiva en la pestaña Acceso condicional.
Los administradores usan el informe de audiencia para entender por qué se aplica o no una directiva de CA a un evento de inicio de sesión. Por ejemplo, una directiva se aplica a un evento de inicio de sesión específico porque una de las audiencias de la lista se encuentra dentro del alcance de la directiva.
Qué hacer si está bloqueado
Si está bloqueado debido a una configuración incorrecta en una directiva de acceso condicional:
- Compruebe si hay otros administradores de la organización que aún no están bloqueados. Un administrador con acceso puede desactivar la política que está afectando tu inicio de sesión.
- Si ningún administrador de la organización puede actualizar la directiva, envíe una solicitud de soporte técnico. El equipo de soporte técnico de Microsoft revisa y, después de confirmar, actualiza las políticas de acceso condicional que impiden el acceso.