Risoluzione dei problemi di accesso con l'accesso condizionale

  • Articolo

Le informazioni contenute in questo articolo possono essere usate per risolvere i problemi di risultati di accesso imprevisti correlati all'accesso condizionale tramite messaggi di errore e i log di accesso di Microsoft Entra.

Selezionare "tutte" conseguenze

Il framework di accesso condizionale offre ottima flessibilità di configurazione. L'elevata flessibilità, tuttavia, comporta la necessità di esaminare attentamente ogni criterio di configurazione prima del rilascio per evitare risultati indesiderati. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.

Le organizzazioni devono evitare le configurazioni seguenti:

Per tutti gli utenti e tutte le applicazioni cloud:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.
  • Richiedi che i dispositivi siano contrassegnati come conformi: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, incluso l'accesso al portale di Intune. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso per la modifica dei criteri.
  • Richiedi dispositivo aggiunto al dominio Microsoft Entra ibrido: questo criterio di blocco dell'accesso può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se questi non hanno un dispositivo aggiunto a Microsoft Entra ibrido.
  • Richiedi criterio di protezione delle app: questo criterio di blocco dell'accesso può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se non sono disponibili criteri di Intune. A un amministratore senza un'applicazione client con criteri di protezione delle app di Intune questo criterio impedisce di tornare ai portali, ad esempio quelli di Intune e Azure.

Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.

Interruzione dell'accesso con accesso condizionale

La prima cosa da fare è esaminare il messaggio di errore visualizzato. Per i problemi di accesso quando si usa un Web browser, la pagina di errore stessa contiene informazioni dettagliate. Queste informazioni da sole potrebbero descrivere il problema e possono suggerire una soluzione.

Screenshot che mostra un errore di accesso in cui è necessario un dispositivo conforme.

Nell'errore qui sopra il messaggio indica che è possibile accedere all'applicazione solo da dispositivi o applicazioni client che soddisfano i criteri di gestione dei dispositivi mobili della società. In questo caso, l'applicazione e il dispositivo non soddisfano tali criteri.

Eventi di accesso a Microsoft Entra

Il secondo metodo per ottenere informazioni dettagliate sull'interruzione dell'accesso consiste nell'esaminare gli eventi di accesso di Microsoft Entra per vedere quali criteri di accesso condizionale sono stati applicati e perché.

Per altre informazioni sul problema, fare clic su Altri dettagli nella pagina iniziale dell'errore. Facendo clic su Altri dettagli vengono visualizzate informazioni sulla risoluzione dei problemi utili durante la ricerca degli eventi di accesso di Microsoft Entra per l'evento di errore specifico visualizzato dall'utente o quando si apre un evento imprevisto di supporto con Microsoft.

Screenshot che mostra altri dettagli da un accesso al Web browser interrotto.

Per individuare i criteri di accesso condizionale applicati e il motivo di tale applicazione, eseguire le operazioni seguenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>

  3. Individuare l'evento corrispondente all'accesso da esaminare. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.

    1. Restringere l'ambito aggiungendo filtri come:
      1. ID di correlazione quando si deve cercare la causa di un evento specifico.
      2. Accesso condizionale per visualizzare l'errore e l'esito positivo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
      3. Nome utente per visualizzare le informazioni correlate a utenti specifici.
      4. Data nell'ambito dell'intervallo di tempo in questione.

    Screenshot che mostra la selezione del filtro accesso condizionale nel log di accesso.

  4. Dopo aver trovato l'evento di accesso corrispondente all'errore di accesso dell'utente, selezionare la scheda Accesso condizionale. La scheda Accesso condizionale mostra i criteri o i criteri specifici che hanno causato l'interruzione dell'accesso.

    1. Le informazioni nella scheda Risoluzione dei problemi e supporto potrebbero fornire un motivo chiaro per cui un accesso non è riuscito, ad esempio un dispositivo che non soddisfa i requisiti di conformità.
    2. Per approfondire l'analisi, eseguire il drill-down nella configurazione dei criteri facendo clic sul nome dei criteri. Facendo clic su Nome criterio viene visualizzata l'interfaccia utente di configurazione dei criteri per il criterio selezionato per la revisione e la modifica.
    3. I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.

I criteri non funzionano come previsto

Se si selezionano i puntini di sospensione sul lato destro dei criteri in un evento di accesso vengono visualizzati i dettagli dei criteri. Questa opzione fornisce agli amministratori informazioni aggiuntive sui motivi per cui un criterio è stato applicato correttamente oppure no.

Screenshot che mostra i dettagli dei criteri di accesso condizionale per vedere perché i criteri sono stati applicati o meno.

A sinistra si trovano i dettagli raccolti all'accesso e a destra le informazioni dettagliate sulla conformità di tali dettagli ai requisiti dei criteri di accesso condizionale applicati. I criteri di accesso condizionale vengono applicati solo quando tutte le condizioni sono soddisfatte o non configurate.

Se le informazioni nell'evento non sono sufficienti per comprendere i risultati dell'accesso o modificare i criteri per ottenere i risultati desiderati, è possibile usare lo strumento di diagnostica di accesso. La diagnostica di accesso è disponibile in Informazioni di base>Evento di risoluzione dei problemi. Per altre informazioni sulla diagnostica di accesso, vedere l'articolo Informazioni sulla diagnostica di accesso in ID Microsoft Entra. È anche possibile usare lo strumento What If per risolvere i problemi dei criteri di accesso condizionale.

Se è necessario inviare un evento di supporto, specificare l'ID della richiesta, l'ora e la data dell'evento di accesso nei dettagli di invio dell'evento. Queste informazioni consentono al supporto Tecnico Microsoft di trovare l'evento specifico di cui si è interessati.

Codici errore comuni relativi all'accesso condizionale

Codice errore di accesso Stringa di errore
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Altre informazioni sui codici errore sono disponibili nell'articolo Autenticazione di Microsoft Entra e codici errore relativi all'autorizzazione. I codici errore nell'elenco vengono visualizzati con un prefisso AADSTS seguito dal codice visualizzato nel browser, ad esempio AADSTS53002.

Dipendenze dei servizi

In alcuni scenari specifici, gli utenti vengono bloccati perché sono presenti app cloud con dipendenze dalle risorse bloccate dai criteri di accesso condizionale.

Per determinare la dipendenza del servizio, controllare il log di accesso per l'applicazione e la risorsa richiamata dall'accesso. Nello screenshot seguente l'applicazione chiamata è il Portale di Azure, ma la risorsa chiamata è l'API Gestione dei servizi di Windows Azure. Per risolvere questo scenario in modo appropriato, tutte le applicazioni e le risorse devono essere combinate in modo analogo nei criteri di accesso condizionale.

Screenshot che raffigura un log di accesso di esempio che mostra un'applicazione che chiama una risorsa. Questo scenario è noto anche come dipendenza del servizio.

Cosa fare se sei bloccato

Se l'opzione è bloccata a causa di un'impostazione non corretta in un criterio di accesso condizionale:

  • Controllare se siano presenti altri amministratori dell'organizzazione che non sono ancora stati bloccati. Un amministratore con accesso può disabilitare i criteri che influisce sull'accesso.
  • Se nessun amministratore dell'organizzazione può aggiornare il criterio, inviare una richiesta di supporto. Il supporto tecnico Microsoft può esaminare e, al momento della conferma, aggiornare i criteri di accesso condizionale che impediscono l'accesso.

Passaggi successivi