Problemen met aanmelden met behulp van voorwaardelijke toegang oplossen

  • Artikel

De informatie in dit artikel kan worden gebruikt om onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang op te lossen met behulp van foutberichten en Microsoft Entra-aanmeldingslogboeken.

Alle gevolgen selecteren

Het kader voor Voorwaardelijke toegang biedt u geweldige configuratieflexibiliteit. Geweldige flexibiliteit betekent echter ook dat u elk configuratiebeleid zorgvuldig moet controleren voordat u het vrijgeeft, om ongewenste resultaten te voorkomen. In deze context moet u speciale aandacht besteden aan toewijzingen die van invloed zijn op volledige sets, zoals alle gebruikers/groepen/cloud-apps.

Organisaties moeten de volgende configuraties vermijden:

Voor alle gebruikers, alle cloud-apps:

  • Toegang blokkeren: met deze configuratie blokkeert u uw hele organisatie.
  • Vereisen dat het apparaat is gemarkeerd als compatibel: voor gebruikers die hun apparaten nog niet hebben geregistreerd, blokkeert dit beleid alle toegang, inclusief toegang tot de Intune-portal. Als u beheerder bent zonder geregistreerd apparaat, blokkeert dit beleid dat u terugkomt om het beleid te wijzigen.
  • Hybride Microsoft Entra-apparaat vereisen dat lid is van een domein - deze beleidsblokkering biedt ook de mogelijkheid om toegang voor alle gebruikers in uw organisatie te blokkeren als ze geen hybride, aan Microsoft Entra gekoppeld apparaat hebben.
  • Beveiligingsbeleid voor apps vereisen: dit beleid biedt ook de mogelijkheid om de toegang voor alle gebruikers in uw organisatie te blokkeren als u geen Intune-beleid hebt. Als u beheerder bent zonder clienttoepassing met Intune app-beveiligingsbeleid, blokkeert dit beleid dat u weer toegang krijgt tot portalen, zoals Intune en Azure.

Voor alle gebruikers, alle cloud-apps, alle apparaatplatforms:

  • Toegang blokkeren: met deze configuratie blokkeert u uw hele organisatie.

Voorwaardelijke toegang onderbreken

De eerste manier is om het foutbericht te bekijken dat wordt weergegeven. Voor problemen met aanmelden bij het gebruik van een webbrowser bevat de foutpagina zelf gedetailleerde informatie. Deze informatie kan alleen beschrijven wat het probleem is en kan een oplossing voorstellen.

Schermopname van een aanmeldingsfout waarbij een compatibel apparaat is vereist.

In de bovenstaande fout wordt aangegeven dat de toepassing alleen toegankelijk is vanaf apparaten of clienttoepassingen die voldoen aan het beleid voor beheren van mobiele apparaten van het bedrijf. In dit geval voldoet de toepassing en het apparaat niet aan dat beleid.

Aanmeldingsgebeurtenissen van Microsoft Entra

De tweede methode voor gedetailleerde informatie over de onderbreking van de aanmelding is het controleren van de Microsoft Entra-aanmeldingsgebeurtenissen om te zien welk beleid of beleid voor voorwaardelijke toegang is toegepast en waarom.

Meer informatie vindt u over het probleem door te klikken op Meer details op de eerste foutpagina. Als u op Meer details klikt, wordt informatie over probleemoplossing weergegeven die nuttig is bij het doorzoeken van de aanmeldingsgebeurtenissen van Microsoft Entra voor de specifieke foutgebeurtenis die de gebruiker heeft gezien of bij het openen van een ondersteuningsincident met Microsoft.

Schermopname met meer informatie over een onderbroken webbrowser voor voorwaardelijke toegang.

Ga als volgt te werk om erachter te komen welk beleid of welke beleidsregels voor voorwaardelijke toegang zijn toegepast en waarom.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.

  2. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en -status>.

  3. Zoek de gebeurtenis voor de aanmelding die u wilt controleren. Filters en kolommen toevoegen of verwijderen om overbodige informatie uit te filteren.

    1. Beperk het bereik door filters toe te voegen, zoals:
      1. Correlatie-id wanneer u een specifieke gebeurtenis hebt om te onderzoeken.
      2. Voorwaardelijke toegang om beleidsfouten en geslaagde pogingen te zien. Bereik uw filter om alleen fouten weer te geven om de resultaten te beperken.
      3. Gebruikersnaam voor informatie met betrekking tot specifieke gebruikers.
      4. Datum die is bereikt tot de betreffende periode.

    Schermopname van het selecteren van het filter voor voorwaardelijke toegang in het aanmeldingslogboek.

  4. Zodra de aanmeldingsgebeurtenis die overeenkomt met de aanmeldingsfout van de gebruiker is gevonden, selecteert u het tabblad Voorwaardelijke toegang . Op het tabblad Voorwaardelijke toegang ziet u het specifieke beleid of beleid dat heeft geresulteerd in een onderbreking van de aanmelding.

    1. Informatie op het tabblad Probleemoplossing en ondersteuning kan een duidelijke reden bieden waarom een aanmelding is mislukt, zoals een apparaat dat niet voldoet aan de nalevingsvereisten.
    2. Als u verder wilt onderzoeken, zoomt u in op de configuratie van het beleid door op de beleidsnaam te klikken. Als u op de beleidsnaam klikt, wordt de gebruikersinterface van de beleidsconfiguratie voor het geselecteerde beleid weergegeven voor controle en bewerking.
    3. De details van de clientgebruiker en het apparaat die zijn gebruikt voor de evaluatie van het beleid voor voorwaardelijke toegang, zijn ook beschikbaar op de tabbladen Basisgegevens, Locatie, Apparaatgegevens, Verificatiedetails en Aanvullende details van de aanmeldingsgebeurtenis.

Beleid werkt niet zoals bedoeld

Als u het beletselteken aan de rechterkant van het beleid in een aanmeldingsgebeurtenis selecteert, worden de beleidsgegevens weergegeven. Deze optie biedt beheerders aanvullende informatie over waarom een beleid al dan niet is toegepast.

Schermopname van beleidsdetails voor voorwaardelijke toegang om te zien waarom beleid is toegepast of niet.

Aan de linkerkant vindt u details die worden verzameld bij het aanmelden en aan de rechterkant vindt u details over of deze details voldoen aan de vereisten van het toegepaste beleid voor voorwaardelijke toegang. Beleid voor voorwaardelijke toegang is alleen van toepassing wanneer aan alle voorwaarden wordt voldaan of niet is geconfigureerd.

Als de informatie in de gebeurtenis niet voldoende is om de aanmeldingsresultaten te begrijpen of het beleid aan te passen om de gewenste resultaten te verkrijgen, kan het diagnostische hulpprogramma voor aanmelding worden gebruikt. De diagnostische aanmeldingsdiagnose vindt u onder Basisgegevens>Problemen met gebeurtenis oplossen. Zie het artikel Wat is de diagnostiek van aanmeldingen in Microsoft Entra ID? voor meer informatie over de diagnose van aanmeldingen. U kunt ook het hulpprogramma What If gebruiken om problemen met beleid voor voorwaardelijke toegang op te lossen.

Als u een ondersteuningsincident moet indienen, geeft u de aanvraag-id en -tijd en -datum op van de aanmeldingsgebeurtenis in de details bij het indienen van incidenten. Met deze informatie kan Microsoft Ondersteuning de specifieke gebeurtenis vinden waarover u zich zorgen maakt.

Veelvoorkomende foutcodes voor voorwaardelijke toegang

Foutcode voor aanmelding Fouttekenreeks
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Meer informatie over foutcodes vindt u in het artikel Microsoft Entra-foutcodes voor verificatie en autorisatie. Foutcodes in de lijst worden weergegeven met het voorvoegsel AADSTS gevolgd door de code die in de browser wordt weergegeven, bijvoorbeeld AADSTS53002.

Service-afhankelijkheden

In sommige specifieke scenario's worden gebruikers geblokkeerd omdat er cloud-apps zijn met afhankelijkheden van resources die worden geblokkeerd door beleid voor voorwaardelijke toegang.

Als u de serviceafhankelijkheid wilt bepalen, controleert u het aanmeldingslogboek voor de toepassing en de bron die door de aanmelding worden aangeroepen. In deze schermopname is de aangeroepen toepassing Azure Portal, maar de resource die wordt aangeroepen is Windows Azure Service Management API. Om dit scenario op de juiste manier in te richten, moeten alle toepassingen en bronnen op dezelfde manier worden gecombineerd in het beleid voor voorwaardelijke toegang.

Schermopname van een voorbeeld van een aanmeldingslogboek met een toepassing die een bron aanroept. Dit scenario staat ook bekend als een serviceafhankelijkheid.

Wat u moet doen als u niet beschikbaar bent

Als u bent vergrendeld vanwege een onjuiste instelling in een beleid voor voorwaardelijke toegang:

  • Controleer of andere beheerders in uw organisatie nog niet zijn geblokkeerd. Een beheerder met toegang kan het beleid uitschakelen dat van invloed is op uw aanmelding.
  • Als geen van de beheerders in uw organisatie het beleid kan bijwerken, dient u een ondersteuningsaanvraag in. Microsoft-ondersteuning kan het beleid voor voorwaardelijke toegang dat de toegang verhindert, controleren en bij bevestiging bijwerken.

Volgende stappen