Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare questo articolo per correggere i risultati di accesso imprevisti correlati all'accesso condizionale controllando i messaggi di errore e i log di accesso di Microsoft Entra.
Selezionare "tutte" le conseguenze
Il framework di accesso condizionale offre una notevole flessibilità di configurazione. Tuttavia, questa flessibilità significa che è necessario esaminare attentamente ogni criterio di configurazione prima di rilasciarlo per evitare risultati indesiderati. In questo contesto, prestare particolare attenzione alle assegnazioni che influiscono su set completi come tutti gli utenti/gruppi/risorse.
Non usare le configurazioni seguenti:
Per tutti gli utenti, tutte le risorse:
- Blocca l'accesso: questa configurazione blocca l'intera organizzazione.
- Richiedi che il dispositivo sia contrassegnato come conforme : per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, incluso l'accesso al portale di Intune. Se si è un amministratore senza un dispositivo registrato, questo criterio impedisce di tornare indietro per modificare i criteri.
- Richiedi dispositivo associato a un dominio Microsoft Entra in modalità ibrida - Questa politica può bloccare anche l'accesso a tutti gli utenti dell'organizzazione se non hanno un dispositivo associato a un dominio Microsoft Entra in modalità ibrida.
- Richiedi criteri di protezione delle app: questo criterio può anche bloccare l'accesso per tutti gli utenti dell'organizzazione se non si hanno criteri di Intune. Se si è un amministratore senza un'app client con criteri di protezione delle app di Intune, questo criterio impedisce di tornare nei portali come Intune e Azure.
Per tutti gli utenti, tutte le risorse, tutte le piattaforme per dispositivi:
- Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione.
Interruzione dell'accesso condizionale
Controllare il messaggio di errore visualizzato. Se si esegue l'accesso con un Web browser, la pagina di errore contiene in genere informazioni dettagliate. Queste informazioni spesso descrivono il problema e suggeriscono una soluzione.
In questo errore, il messaggio indica che è possibile usare l'applicazione solo da dispositivi o applicazioni client che soddisfano i criteri di gestione dei dispositivi mobili dell'azienda. In questo caso, l'applicazione e il dispositivo non soddisfano i criteri.
Eventi di accesso a Microsoft Entra
Per ottenere informazioni dettagliate sull'interruzione dell'accesso, esaminare gli eventi di accesso a Microsoft Entra per capire quali criteri di accesso condizionale sono stati applicati e perché.
Per ulteriori informazioni sul problema, selezionare Altri dettagli nella pagina iniziale dell'errore. Facendo clic su Altri dettagli, vengono visualizzate informazioni per la risoluzione dei problemi che risultano utili quando si cerca l'evento di errore specifico visualizzato dall'utente negli eventi di accesso di Microsoft Entra o quando si apre un evento di supporto con Microsoft.
Seguire questa procedura per scoprire quali criteri o criteri di accesso condizionale sono stati applicati e perché.
Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno Lettore report .
Passare a Entra ID>Monitoraggio e integrità>Registri degli accessi.
Individuare l'evento corrispondente all'accesso da esaminare. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.
- Restringere l'ambito aggiungendo filtri come:
- ID di correlazione quando si deve cercare la causa di un evento specifico.
- Accesso condizionale per verificare l'esito positivo e negativo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
- Nome utente per visualizzare le informazioni correlate a utenti specifici.
- Data riferita all'intervallo di tempo in questione.
- Risorsa per visualizzare le informazioni correlate alla risorsa chiamata.
- Restringere l'ambito aggiungendo filtri come:
Dopo aver trovato l'evento di accesso corrispondente all'errore di accesso dell'utente, selezionare la scheda accesso condizionale. La scheda Accesso condizionale mostra i criteri o i criteri specifici che hanno causato l'interruzione dell'accesso.
- Le informazioni riportate nella scheda Risoluzione dei problemi e supporto possono indicare un motivo chiaro per l'errore di accesso, ad esempio il fatto che il dispositivo non soddisfaceva i requisiti di conformità.
- Per un'analisi più approfondita, eseguire il drill-down della configurazione dei criteri facendo clic su Nome criterio. Selezionando Nome criterio, viene visualizzata l'interfaccia utente di configurazione per i criteri selezionati per la revisione e la modifica.
- I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.
I criteri non funzionano come previsto
Selezionare i puntini di sospensione sul lato destro della policy in un evento di accesso per visualizzare i dettagli della policy. Questa opzione offre agli amministratori altre informazioni sul motivo per cui un criterio è stato applicato o meno.
A sinistra si trovano i dettagli raccolti all'accesso e a destra le informazioni dettagliate sulla conformità di tali dettagli ai requisiti dei criteri di accesso condizionale applicati. I criteri di accesso condizionale vengono applicati solo quando tutte le condizioni sono soddisfatte o non configurate.
Se le informazioni nell'evento non sono sufficienti per comprendere i risultati dell'accesso o modificare i criteri per ottenere i risultati desiderati, usare lo strumento di diagnostica di accesso. La diagnostica di accesso è in Informazioni di base>Risoluzione dei problemi dell'evento. Per altre informazioni sulla diagnostica di accesso, vedere Che cos'è la diagnostica di accesso in Microsoft Entra ID. È anche possibile usare lo strumento What If per risolvere i problemi dei criteri di accesso condizionale.
Se è necessario inviare un incidente di supporto, includere l'ID della richiesta, l'ora e la data dell'evento di accesso nei dettagli dell'incidente. Queste informazioni aiutano il supporto tecnico Microsoft a trovare l'evento specifico a cui si è interessati.
Codici errore comuni relativi all'accesso condizionale
| Codice errore di accesso | Stringa di errore |
|---|---|
| 53000 | DispositivoNonConforme |
| 53001 | DispositivoNonCollegatoAlDominio |
| 53002 | L'applicazione utilizzata non è un'app approvata |
| 53003 | BloccatoDaAccessoCondizionale |
| 53004 | ProofUp bloccato a causa di rischio |
| 53009 | L'applicazione deve applicare i criteri di protezione di Intune |
Altre informazioni sui codici di errore in Codici di errore di Autenticazione e autorizzazione di Microsoft Entra. I codici di errore nell'elenco vengono visualizzati con un prefisso seguito AADSTS dal codice visualizzato nel browser, ad esempio AADSTS53002.
Dipendenze dei servizi
In alcuni scenari, gli utenti vengono bloccati perché le app cloud dipendono dalle risorse bloccate dai criteri di accesso condizionale.
Per controllare la dipendenza del servizio, esaminare il log di accesso per l'applicazione e la risorsa chiamata dall'accesso. Nello screenshot seguente l'applicazione è portale di Azure, ma la risorsa è Azure Resource Manager. Per indirizzare questo scenario, combinare tutte le applicazioni e le risorse nei criteri di accesso condizionale.
Reportistica del pubblico
Quando un utente accede a un'app come Microsoft Teams, richiede effettivamente l'accesso a più risorse, ad esempio chat di Teams, calendario di Outlook, documenti di Excel e altro ancora. Anche se gli utenti potrebbero pensare di accedere solo al client teams, i criteri di accesso condizionale si applicano a tutte queste risorse. Ad esempio, se un amministratore limita l'accesso a SharePoint o a siti di SharePoint specifici, i criteri si applicano anche quando l'utente ritiene di accedere solo a Teams.
La segnalazione dei destinatari nei log di accesso consente agli amministratori di visualizzare tutte le risorse richieste come parte di un evento di accesso. Viene visualizzato come Gruppo di destinatari nella sezione Risorsa per tutti i criteri abilitati o solo report.
Gli amministratori trovano Destinatari nei log di accesso dopo aver selezionato un criterio nella scheda Accesso condizionale.
Gli amministratori usano il report del gruppo di destinatari per scoprire perché un criterio della CA si applica o non si applica a un evento di accesso. Ad esempio, un criterio si applica a un evento di accesso specifico perché uno dei destinatari dell'elenco è nell'ambito dei criteri.
Cosa fare se non è possibile accedere
Se si è bloccati a causa di un'impostazione non corretta in un criterio di accesso condizionale:
- Controllare se sono presenti altri amministratori dell'organizzazione che non sono ancora bloccati. Un amministratore con accesso può disabilitare i criteri che influiscono sull'accesso.
- Se nessun amministratore dell'organizzazione può aggiornare i criteri, inviare una richiesta di supporto. Il supporto tecnico Microsoft esamina e, dopo la conferma, aggiorna i criteri di accesso condizionale che impediscono l'accesso.