Pemecahan masalah masuk dengan Akses Bersyarat
Informasi dalam artikel ini dapat digunakan untuk memecahkan masalah hasil masuk tak terduga yang terkait dengan Akses Bersyarat menggunakan pesan kesalahan dan log masuk Microsoft Entra.
Pilih "semua" konsekuensi
Kerangka kerja Akses Bersyarat memberi Anda fleksibilitas konfigurasi yang hebat. Namun, fleksibilitas tinggi juga berarti Anda harus meninjau setiap kebijakan konfigurasi dengan hati-hati sebelum merilisnya untuk menghindari hasil yang tidak diinginkan. Dalam konteks ini, Anda harus memberikan perhatian khusus pada tugas yang mempengaruhi set lengkap seperti semua pengguna / grup / aplikasi cloud.
Organisasi harus menghindari konfigurasi berikut:
Untuk semua pengguna, semua aplikasi cloud:
- Akses blokir - Konfigurasi ini memblokir seluruh organisasi Anda.
- Mengharuskan perangkat untuk ditandai sesuai - Bagi pengguna yang belum mendaftarkan perangkat mereka, kebijakan ini memblokir semua akses termasuk akses ke portal Intune. Jika Anda adalah administrator tanpa perangkat terdaftar, kebijakan ini memblokir Anda untuk kembali masuk untuk mengubah kebijakan.
- Memerlukan perangkat yang tergabung dengan domain Microsoft Entra Hibrid - Akses blokir kebijakan ini memiliki potensi untuk memblokir akses semua pengguna di organisasi Anda jika mereka tidak memiliki perangkat yang tergabung dengan Microsoft Entra hibrid.
- Mengharuskan kebijakan perlindungan aplikasi - Akses blok kebijakan ini juga berpotensi memblokir akses untuk semua pengguna di organisasi Anda jika Anda tidak memiliki kebijakan Intune. Jika Anda adalah administrator tanpa aplikasi klien yang memiliki kebijakan perlindungan aplikasi Intune, kebijakan ini memblokir Anda agar tidak kembali ke portal seperti Intune dan Azure.
Untuk semua pengguna, semua aplikasi cloud, semua platform perangkat:
- Akses blokir - Konfigurasi ini memblokir seluruh organisasi Anda.
Gangguan masuk Akses Bersyarat
Cara pertama adalah meninjau pesan kesalahan yang muncul. Untuk masalah masuk saat menggunakan browser web, halaman kesalahan itu sendiri memiliki informasi terperinci. Informasi ini saja dapat menjelaskan apa masalahnya dan dapat menyarankan solusi.
Dalam kesalahan di atas, pesan menyatakan bahwa aplikasi hanya dapat diakses dari perangkat atau aplikasi klien yang memenuhi kebijakan manajemen perangkat seluler perusahaan. Dalam hal ini, aplikasi dan perangkat tidak memenuhi kebijakan tersebut.
Aktivitas masuk Microsoft Entra
Metode kedua untuk mendapatkan informasi mendetail tentang gangguan masuk adalah meninjau aktivitas masuk Microsoft Entra untuk melihat kebijakan Akses Bersyarat atau kebijakan yang diterapkan beserta alasannya.
Informasi lebih lanjut tentang masalah dapat ditemukan dengan mengklik Detail Selengkapnya di halaman kesalahan awal. Mengklik Detail Selengkapnya mengungkapkan informasi pemecahan masalah yang berguna saat mencari peristiwa masuk Microsoft Entra untuk peristiwa kegagalan tertentu yang dilihat pengguna atau saat membuka insiden dukungan dengan Microsoft.
Untuk mengetahui kebijakan atau kebijakan Akses Bersyarat mana yang diterapkan dan mengapa, lakukan hal berikut.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
Telusuri ke Pemantauan Identitas>& log Masuk kesehatan.>
Temukan aktivitas masuk untuk ditinjau. Tambahkan atau hapus filter dan kolom untuk memfilter informasi yang tidak diperlukan.
- Persempit cakupan dengan menambahkan filter seperti:
- ID korelasi saat Anda memiliki aktivitas tertentu untuk diselidiki.
- Akses Bersyarat untuk melihat kegagalan dan keberhasilan kebijakan. Cakupkan filter Anda untuk memperlihatkan hanya kegagalan untuk membatasi hasil.
- Nama pengguna untuk melihat informasi yang terkait dengan pengguna tertentu.
- Tanggal tercakup dalam jangka waktu yang dimaksud.
- Persempit cakupan dengan menambahkan filter seperti:
Setelah peristiwa masuk yang sesuai dengan kegagalan masuk pengguna ditemukan pilih tab Akses Bersyarat. Tab Akses Bersyarat memperlihatkan kebijakan atau kebijakan tertentu yang mengakibatkan gangguan masuk.
- Informasi di tab Pemecahan Masalah dan dukungan mungkin memberikan alasan yang jelas mengapa proses masuk gagal seperti perangkat yang tidak memenuhi persyaratan kepatuhan.
- Untuk menyelidiki lebih lanjut, telusuri lebih lanjut konfigurasi kebijakan dengan mengklik Nama Kebijakan. Mengklik Nama Kebijakan memperlihatkan antarmuka pengguna konfigurasi kebijakan untuk kebijakan yang dipilih untuk ditinjau dan diedit.
- Pengguna Klien dan detail perangkat yang digunakan untuk penilaian kebijakan Akses Bersyarat juga tersedia di tab Info Dasar, Lokasi, Info Perangkat, Detail Autentikasi, dan Detail Tambahan dari aktivitas masuk.
Kebijakan tidak berfungsi seperti yang diinginkan
Memilih elipsis di sisi kanan kebijakan dalam aktivitas masuk memunculkan detail kebijakan. Opsi ini memberikan informasi tambahan kepada administrator tentang mengapa suatu kebijakan berhasil diterapkan atau tidak.
Sisi kiri menyediakan detail yang dikumpulkan saat masuk dan sisi kanan memberikan detail apakah detail tersebut memenuhi persyaratan kebijakan Akses Bersyarat yang diterapkan. Kebijakan Akses Bersyarat hanya berlaku saat semua kondisi terpenuhi atau tidak dikonfigurasi.
Jika informasi dalam peristiwa tersebut tidak cukup untuk memahami hasil kredensial masuk, atau menyesuaikan kebijakan untuk mendapatkan hasil yang diinginkan, alat diagnostik kredensial masuk dapat digunakan. Diagnostik kredensial masuk dapat ditemukan di Info dasar>Peristiwa Pemecahan Masalah. Untuk informasi selengkapnya tentang diagnostik aktivitas masuk, lihat artikel Apa itu diagnostik aktivitas masuk di Microsoft Entra ID. Anda juga dapat menggunakan alat What If untuk memecahkan masalah kebijakan Akses Bersyarat.
Jika Anda perlu mengirimkan insiden dukungan, berikan ID permintaan serta waktu dan tanggal dari peristiwa kredensial masuk di detail pengiriman insiden. Informasi ini memungkinkan dukungan Microsoft untuk menemukan peristiwa tertentu yang Anda khawatirkan.
Kode kesalahan Akses Bersyarat yang Umum
| Kode Kesalahan Masuk | Kesalahan string |
|---|---|
| 53000 | PerangkatTidakSesuai |
| 53001 | PerangkatTidakBerdomainJoin |
| 53002 | AplikasiyangDigunakanTidakDisetujui |
| 53003 | DiblokirOlehAksesBersyarat |
| 53004 | ProofUpDiblokirKarenaResiko |
Informasi selengkapnya tentang kode kesalahan dapat dilihat di artikel Kode kesalahan otorisasi dan autentikasi Microsoft Entra. Kode kesalahan dalam daftar muncul dengan prefiks AADSTS diikuti oleh kode yang terlihat di browser, misalnya AADSTS53002.
Dependensi layanan
Dalam beberapa skenario tertentu, pengguna diblokir karena ada aplikasi cloud dengan dependensi pada sumber daya yang diblokir oleh kebijakan Akses Bersyariah.
Untuk menentukan dependensi layanan, periksa log aktivitas masuk untuk aplikasi dan sumber daya yang dipanggil oleh aktivitas masuk. Pada cuplikan layar berikut, aplikasi yang dipanggil adalah Azure Portal tetapi sumber daya yang dipanggil adalah Windows Azure Service Management API. Untuk menargetkan skenario ini dengan tepat, semua aplikasi dan sumber daya harus digabungkan secara serupa dalam kebijakan Akses Bersyarat.
Apa yang harus dilakukan jika Anda terkunci
Jika Anda dikunci karena pengaturan yang salah dalam kebijakan Akses Bersyar:
- Periksa apakah ada administrator lain di organisasi Anda yang belum diblokir. Administrator dengan akses dapat menonaktifkan kebijakan yang memengaruhi proses masuk Anda.
- Jika tidak ada administrator di organisasi Anda yang dapat memperbarui kebijakan, kirim permintaan dukungan. Dukungan Microsoft dapat meninjau dan setelah mengkonfirmasi akan memperbarui kebijakan Akses Bersyarat yang mencegah akses.