Bagikan melalui

Memecahkan masalah masuk dengan Akses Bersyarat

Gunakan artikel ini untuk memperbaiki hasil masuk tak terduga yang terkait dengan Akses Bersyarat dengan memeriksa pesan kesalahan dan log masuk Microsoft Entra.

Pilih "semua" konsekuensi

Kerangka kerja Akses Bersyarat memberi Anda banyak fleksibilitas konfigurasi. Tetapi fleksibilitas ini berarti Anda perlu meninjau setiap kebijakan konfigurasi dengan hati-hati sebelum merilisnya untuk menghindari hasil yang tidak diinginkan. Dalam konteks ini, beri perhatian khusus pada penugasan yang memengaruhi set lengkap seperti semua pengguna / grup / sumber daya.

Jangan gunakan konfigurasi berikut:

Untuk semua pengguna, semua sumber daya:

  • Blokir akses - Konfigurasi ini memblokir seluruh organisasi.
  • Mengharuskan perangkat ditandai sebagai sesuai - Untuk pengguna yang belum mendaftarkan perangkat mereka, kebijakan ini memblokir semua akses, termasuk akses ke portal Intune. Jika Anda adalah admin tanpa perangkat terdaftar, kebijakan ini memblokir Anda untuk kembali masuk untuk mengubah kebijakan.
  • Memerlukan perangkat gabungan domain Microsoft Entra Hibrid - Kebijakan ini juga dapat memblokir akses untuk semua pengguna di organisasi Anda jika mereka tidak memiliki perangkat gabungan hibrid Microsoft Entra.
  • Memerlukan kebijakan perlindungan aplikasi - Kebijakan ini juga dapat memblokir akses untuk semua pengguna di organisasi Anda jika Anda tidak memiliki kebijakan Intune. Jika Anda adalah admin tanpa aplikasi klien yang memiliki kebijakan perlindungan aplikasi Intune, kebijakan ini memblokir Anda untuk kembali ke portal seperti Intune dan Azure.

Untuk semua pengguna, semua sumber daya, semua platform perangkat:

  • Blokir akses - Konfigurasi ini memblokir seluruh organisasi Anda.

Gangguan saat masuk karena Akses Bersyarat

Periksa pesan kesalahan yang muncul. Jika Anda masuk dengan browser web, halaman kesalahan biasanya memiliki informasi terperinci. Informasi ini sering menjelaskan masalah dan menyarankan solusi.

Cuplikan layar kesalahan saat masuk yang menyatakan perangkat patuh diperlukan.

Dalam kesalahan ini, pesan mengatakan Anda hanya dapat menggunakan aplikasi dari perangkat atau aplikasi klien yang memenuhi kebijakan manajemen perangkat seluler perusahaan Anda. Di sini, aplikasi dan perangkat tidak memenuhi kebijakan.

Aktivitas masuk Microsoft Entra

Untuk mendapatkan informasi terperinci tentang gangguan masuk, tinjau peristiwa masuk Microsoft Entra untuk melihat kebijakan atau kebijakan Akses Bersyarat mana yang diterapkan dan alasannya.

Informasi lebih lanjut dapat ditemukan tentang masalah dengan mengklik Detail Selengkapnya di halaman kesalahan awal. Mengklik Detail Selengkapnya mengungkapkan informasi pemecahan masalah yang berguna saat mencari peristiwa masuk Microsoft Entra untuk peristiwa kegagalan tertentu yang dilihat pengguna atau saat membuka insiden dukungan dengan Microsoft.

Cuplikan layar memperlihatkan detail selengkapnya dari akses bersyarat yang terganggu masuk browser web.

Ikuti langkah-langkah ini untuk mengetahui kebijakan akses bersyarat mana yang berlaku dan alasannya.

  1. Masuk ke pusat admin Microsoft Entra sebagai minimal Pembaca Laporan.

  2. Telusuri ke Entra IDPemantauan & kesehatanlog Masuk.

  3. Temukan peristiwa masuk untuk ditinjau. Tambahkan atau hapus filter dan kolom untuk memfilter informasi yang tidak diperlukan.

    1. Persempit cakupan dengan menambahkan filter seperti:
      1. ID korelasi saat Anda memiliki peristiwa tertentu untuk diselidiki.
      2. Akses Bersyarat untuk melihat kegagalan dan keberhasilan kebijakan. Atur filter Anda untuk hanya memperlihatkan kesalahan demi membatasi hasil.
      3. Nama pengguna untuk melihat informasi yang terkait dengan pengguna tertentu.
      4. Tanggal dibatasi pada jangka waktu yang dimaksud.
      5. Sumber daya untuk melihat informasi yang terkait dengan sumber daya yang disebut.

    Cuplikan layar memperlihatkan memilih filter Akses Bersyarat di log masuk.

  4. Setelah menemukan peristiwa masuk yang sesuai dengan kegagalan masuk pengguna, pilih tab Akses Bersyarat . Tab Akses Bersyarat memperlihatkan kebijakan atau kebijakan tertentu yang mengakibatkan gangguan masuk.

    1. Informasi di tab Pemecahan Masalah dan dukungan mungkin memberikan alasan yang jelas mengapa proses masuk gagal seperti perangkat yang tidak memenuhi persyaratan kepatuhan.
    2. Untuk menyelidiki lebih lanjut, telusuri paling detail konfigurasi kebijakan dengan mengklik Nama Kebijakan. Mengklik Nama Kebijakan memperlihatkan antarmuka pengguna konfigurasi kebijakan untuk kebijakan yang dipilih untuk ditinjau dan diedit.
    3. Detail pengguna dan perangkat klien yang digunakan untuk penilaian kebijakan Akses Bersyarat juga tersedia di tab Info Dasar, Lokasi, Info Perangkat, Detail Autentikasi, dan Detail Tambahan dari peristiwa masuk.

Kebijakan tidak berfungsi seperti yang diinginkan

Pilih elipsis di sisi kanan kebijakan dalam acara masuk untuk melihat detail kebijakan. Opsi ini memberi admin informasi lebih lanjut tentang mengapa kebijakan diterapkan atau tidak.

Cuplikan layar yang menunjukkan detail Kebijakan Akses Bersyarat untuk melihat alasan kebijakan diterapkan atau tidak.

Sisi kiri menyediakan detail yang dikumpulkan saat masuk dan sisi kanan memberikan detail apakah detail tersebut memenuhi persyaratan kebijakan Akses Bersyarat yang diterapkan. Kebijakan Akses Bersyarat hanya berlaku saat semua kondisi terpenuhi atau tidak dikonfigurasi.

Jika informasi dalam kejadian tidak cukup untuk memahami hasil login atau menyesuaikan kebijakan untuk mendapatkan hasil yang diinginkan, gunakan alat diagnostik login. Diagnostik masuk berada di bawah Dasar info>Peristiwa Pemecahan Masalah. Untuk informasi selengkapnya tentang diagnostik masuk, lihat Apa itu diagnostik masuk di ID Microsoft Entra. Anda juga dapat menggunakan fitur What If untuk memecahkan masalah kebijakan Akses Kondisional.

Jika Anda perlu melaporkan insiden dukungan, sertakan ID permintaan, waktu, dan tanggal dari sesi masuk dalam detail insiden. Informasi ini membantu dukungan Microsoft menemukan peristiwa tertentu yang Anda khawatirkan.

Kode kesalahan Akses Bersyarat yang Umum

Kode Kesalahan Masuk String Kesalahan
53000 PerangkatTidakSesuai
53001 PerangkatTidakTergabungDomain
53002 AplikasiyangDigunakanTidakDisetujui
53003 DiblokirOlehAksesBersyarat
53004 ProofUp Diblokir Karena Risiko
53009 Aplikasi perlu menerapkan kebijakan perlindungan Intune

Pelajari selengkapnya tentang kode kesalahan di kode kesalahan autentikasi dan otorisasi Microsoft Entra. Kode kesalahan dalam daftar muncul dengan awalan AADSTS diikuti oleh kode yang Anda lihat di browser, seperti AADSTS53002.

Dependensi layanan

Dalam beberapa skenario, pengguna diblokir karena aplikasi cloud bergantung pada sumber daya yang diblokir oleh kebijakan Akses Bersyariah.

Untuk memeriksa dependensi layanan, tinjau catatan masuk untuk aplikasi dan sumber daya yang digunakan saat masuk. Dalam cuplikan layar berikut, aplikasinya adalah Portal Microsoft Azure, tetapi sumber dayanya adalah Azure Resource Manager. Untuk menargetkan skenario ini, gabungkan semua aplikasi dan sumber daya dalam kebijakan Akses Bersyarat.

Cuplikan layar log masuk yang memperlihatkan aplikasi yang memanggil sumber daya. Skenario ini juga dikenal sebagai dependensi layanan.

Pelaporan Pemirsa

Saat pengguna masuk ke aplikasi seperti Microsoft Teams, mereka benar-benar meminta akses ke beberapa sumber daya, seperti obrolan Teams, kalender Outlook, dokumen Excel, dan lainnya. Meskipun pengguna mungkin berpikir mereka hanya masuk ke klien Teams, kebijakan Akses Bersyarat berlaku di semua sumber daya ini. Misalnya, jika admin membatasi akses ke SharePoint atau situs SharePoint tertentu, kebijakan berlaku bahkan ketika pengguna berpikir mereka hanya masuk ke Teams.

Pelaporan audiens dalam log masuk memungkinkan admin melihat semua sumber daya yang diminta sebagai bagian dari peristiwa masuk. Ini muncul sebagai Audiens di bagian Sumber Daya untuk semua kebijakan yang diaktifkan atau khusus laporan.

Cuplikan layar entri log masuk yang memperlihatkan detail kebijakan Akses Bersyarat dan informasi sumber daya dan audiens yang diperluas.

Admin menemukan Audiens di log masuk setelah memilih kebijakan pada tab Akses Bersyarat.

Para admin menggunakan laporan pengguna untuk mengetahui alasan kebijakan CA berlaku atau tidak berlaku untuk peristiwa masuk. Misalnya, kebijakan berlaku untuk peristiwa masuk tertentu karena salah satu audiens dalam daftar berada dalam cakupan kebijakan.

Apa yang harus dilakukan jika Anda terkunci

Jika Anda terkunci karena pengaturan yang salah dalam kebijakan Akses Bersyarat.

  • Periksa apakah ada admin lain di organisasi Anda yang belum diblokir. Admin dengan akses dapat menonaktifkan kebijakan yang memengaruhi proses login Anda.
  • Jika tidak ada admin di organisasi Anda yang dapat memperbarui kebijakan, kirimkan permintaan dukungan. Microsoft mendalami tinjauan dan, setelah mengonfirmasi, memperbarui kebijakan Akses Kondisional yang mencegah akses.

Langkah berikutnya