Condividi tramite

Risoluzione dei problemi di accesso con l'accesso condizionale

  • Articolo

Le informazioni contenute in questo articolo possono essere usate per risolvere i risultati di accesso imprevisti relativi all'accesso condizionale usando i messaggi di errore e i log di accesso di Microsoft Entra.

Selezionare "tutte" le conseguenze

Il framework di accesso condizionale offre ottima flessibilità di configurazione. L'elevata flessibilità, tuttavia, comporta la necessità di esaminare attentamente ogni criterio di configurazione prima del rilascio per evitare risultati indesiderati. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.

Le organizzazioni devono evitare le configurazioni seguenti:

Per tutti gli utenti, tutte le risorse:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.
  • Richiedi che i dispositivi siano contrassegnati come conformi: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, incluso l'accesso al portale di Intune. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso per la modifica dei criteri.
  • Richiedi dispositivo aggiunto al dominio Microsoft Entra ibrido: questo criterio di blocco dell'accesso può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se questi non hanno un dispositivo aggiunto a Microsoft Entra ibrido.
  • Richiedi criterio di protezione delle app: questo criterio di blocco dell'accesso può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se non sono disponibili criteri di Intune. A un amministratore senza un'applicazione client con criteri di protezione delle app di Intune questo criterio impedisce di tornare ai portali, ad esempio quelli di Intune e Azure.

Per tutti gli utenti, tutte le risorse, tutte le piattaforme per dispositivi:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.

Interruzione dell'accesso con accesso condizionale

La prima cosa da fare è esaminare il messaggio di errore visualizzato. Per i problemi di accesso quando si usa un Web browser, la pagina di errore stessa contiene informazioni dettagliate. Queste informazioni da sole possono descrivere il problema e suggerire una soluzione.

Screenshot che mostra un errore di accesso in cui è richiesto un dispositivo conforme.

Nell'errore qui sopra il messaggio indica che è possibile accedere all'applicazione solo da dispositivi o applicazioni client che soddisfano i criteri di gestione dei dispositivi mobili della società. In questo caso, l'applicazione e il dispositivo non soddisfano tali criteri.

Eventi di accesso a Microsoft Entra

Il secondo metodo per ottenere informazioni dettagliate sull'interruzione dell'accesso consiste nell'esaminare gli eventi di accesso di Microsoft Entra per vedere quali criteri di accesso condizionale sono stati applicati e perché.

Per ulteriori informazioni sul problema, selezionare Altri dettagli nella pagina iniziale dell'errore. Facendo clic su Altri dettagli, vengono visualizzate informazioni per la risoluzione dei problemi che risultano utili quando si cerca l'evento di errore specifico visualizzato dall'utente negli eventi di accesso di Microsoft Entra o quando si apre un evento di supporto con Microsoft.

Screenshot che mostra Altri dettagli in un accesso al Web browser interrotto da un accesso condizionale.

Per individuare i criteri di accesso condizionale applicati e il motivo di tale applicazione, eseguire le operazioni seguenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Identità>Monitoraggio e integrità>Log di accesso.

  3. Individuare l'evento corrispondente all'accesso da esaminare. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.

    1. Restringere l'ambito aggiungendo filtri come:
      1. ID di correlazione quando si deve cercare la causa di un evento specifico.
      2. Accesso condizionale per verificare l'esito positivo e negativo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
      3. Nome utente per visualizzare le informazioni correlate a utenti specifici.
      4. Data nell'ambito dell'intervallo di tempo in questione.

    Selezione che mostra la selezione del filtro per l'accesso condizionale nel log degli accessi.

  4. Dopo aver individuato l'evento di accesso corrispondente all'errore di accesso dell'utente, selezionare la scheda Accesso condizionale, che visualizza i criteri specifici che hanno causato l'interruzione dell'accesso.

    1. Le informazioni riportate nella scheda Risoluzione dei problemi e supporto possono indicare un motivo chiaro per l'errore di accesso, ad esempio il fatto che il dispositivo non soddisfaceva i requisiti di conformità.
    2. Per un'analisi più approfondita, eseguire il drill-down della configurazione dei criteri facendo clic su Nome criterio. Selezionando Nome criterio, viene visualizzata l'interfaccia utente di configurazione per i criteri selezionati per la revisione e la modifica.
    3. I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.

I criteri non funzionano come previsto

Se si selezionano i puntini di sospensione sul lato destro dei criteri in un evento di accesso vengono visualizzati i dettagli dei criteri. Questa opzione fornisce agli amministratori informazioni aggiuntive sui motivi per cui un criterio è stato applicato correttamente oppure no.

Screenshot che mostra i dettagli dei criteri di accesso condizionale al fine di comprendere perché un criterio è stato applicato o meno.

A sinistra si trovano i dettagli raccolti all'accesso e a destra le informazioni dettagliate sulla conformità di tali dettagli ai requisiti dei criteri di accesso condizionale applicati. I criteri di accesso condizionale vengono applicati solo quando tutte le condizioni sono soddisfatte o non configurate.

Se le informazioni nell'evento non sono sufficienti per comprendere i risultati dell'accesso o modificare i criteri per ottenere i risultati desiderati, è possibile usare lo strumento di diagnostica di accesso. La diagnostica di accesso è disponibile in Informazioni di base>Evento di risoluzione dei problemi. Per altre informazioni sulla diagnostica di accesso, vedere l'articolo Informazioni sulla diagnostica di accesso in ID Microsoft Entra. È anche possibile usare lo strumento What If per risolvere i problemi dei criteri di accesso condizionale.

Se è necessario inviare un evento di supporto, specificare l'ID della richiesta, l'ora e la data dell'evento di accesso nei dettagli di invio dell'evento. Queste informazioni consentono al supporto tecnico Microsoft di trovare l'evento specifico che interessa all'utente.

Codici errore comuni relativi all'accesso condizionale

Codice errore di accesso Stringa di errore
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Altre informazioni sui codici errore sono disponibili nell'articolo Autenticazione di Microsoft Entra e codici errore relativi all'autorizzazione. I codici errore nell'elenco vengono visualizzati con un prefisso AADSTS seguito dal codice visualizzato nel browser, ad esempio AADSTS53002.

Dipendenze dei servizi

In alcuni scenari specifici, gli utenti sono bloccati perché sono presenti app cloud con dipendenze nelle risorse bloccate da criteri di accesso condizionale.

Per determinare la dipendenza del servizio, controllare il log di accesso per l'applicazione e la risorsa richiamata dall'accesso. Nello screenshot seguente l'applicazione chiamata è il Portale di Azure, ma la risorsa chiamata è l'API Gestione dei servizi di Windows Azure. Per risolvere questo scenario in modo appropriato, tutte le applicazioni e le risorse devono essere combinate in modo analogo nei criteri di accesso condizionale.

Screenshot che raffigura un log di accesso di esempio che mostra un'applicazione che chiama una risorsa. Questo scenario è noto anche come dipendenza del servizio.

Cosa fare se non è possibile accedere

Se non è possibile accedere a causa di un'impostazione errata in un criterio di accesso condizionale:

  • Controllare se siano presenti altri amministratori dell'organizzazione che non sono ancora stati bloccati. Un amministratore con accesso può disabilitare il criterio che impedisce l'accesso.
  • Se nessun amministratore dell'organizzazione può aggiornare il criterio, inviare una richiesta di supporto. Il supporto tecnico Microsoft può esaminare e, al momento della conferma, aggiornare i criteri di accesso condizionale che impediscono l'accesso.

Passaggi successivi