Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik dit artikel om onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang op te lossen door foutberichten en Aanmeldingslogboeken van Microsoft Entra te controleren.
Alle gevolgen selecteren
Het framework voor voorwaardelijke toegang biedt u veel flexibiliteit bij de configuratie. Maar deze flexibiliteit betekent dat u elk configuratiebeleid zorgvuldig moet controleren voordat u het uitbrengt om ongewenste resultaten te voorkomen. In deze context moet u speciale aandacht besteden aan toewijzingen die van invloed zijn op volledige sets, zoals alle gebruikers/ groepen/resources.
Gebruik de volgende configuraties niet:
Voor alle gebruikers, alle bronnen:
- Toegang blokkeren: met deze configuratie blokkeert u de hele organisatie.
- Vereisen dat het apparaat als compatibel wordt gemarkeerd . Voor gebruikers die hun apparaten nog niet hebben geregistreerd, blokkeert dit beleid alle toegang, inclusief toegang tot de Intune-portal. Als u een beheerder bent zonder een geregistreerd apparaat, verhindert dit beleid u om opnieuw toegang te krijgen om het beleid te wijzigen.
- Hybride Microsoft Entra-domein verbonden apparaat vereisen - Dit beleid kan ook de toegang blokkeren voor alle gebruikers in uw organisatie als ze geen hybride Microsoft Entra-verbonden apparaat hebben.
- Beveiligingsbeleid voor apps vereisen : dit beleid kan ook de toegang blokkeren voor alle gebruikers in uw organisatie als u geen Intune-beleid hebt. Als u een beheerder bent zonder een client-app die een Intune-app-beveiligingsbeleid heeft, blokkeert dit beleid dat u weer toegang krijgt tot portals zoals Intune en Azure.
Voor alle gebruikers, alle resources, alle apparaatplatformen:
- Toegang blokkeren: met deze configuratie blokkeert u uw hele organisatie.
Onderbreking bij aanmelden door voorwaardelijke toegang
Controleer het foutbericht dat wordt weergegeven. Als u zich aanmeldt met een webbrowser, bevat de foutpagina meestal gedetailleerde informatie. Deze informatie beschrijft het probleem vaak en stelt een oplossing voor.
In deze fout wordt aangegeven dat u de toepassing alleen kunt gebruiken vanaf apparaten of clienttoepassingen die voldoen aan het mobile device management-beleid van uw bedrijf. Hier voldoen de toepassing en het apparaat niet aan het beleid.
Inloggebeurtenissen van Microsoft Entra
Om gedetailleerde informatie over de onderbreking van de aanmelding te krijgen, raadpleeg de aanmeldingsgebeurtenissen van Microsoft Entra om te zien welke beleidsregels voor voorwaardelijke toegang zijn toegepast en waarom.
Meer informatie vindt u over het probleem door te klikken op Meer details op de eerste foutpagina. Als u op Meer details klikt, wordt informatie over probleemoplossing weergegeven die nuttig is bij het doorzoeken van de aanmeldingsgebeurtenissen van Microsoft Entra voor de specifieke foutgebeurtenis die de gebruiker heeft gezien of bij het openen van een ondersteuningsincident met Microsoft.
Volg deze stappen om erachter te komen welk beleid of beleid voor voorwaardelijke toegang is toegepast en waarom.
Meld u aan bij het Microsoft Entra-beheercentrum als u ten minste een lezer van rapportenbent.
Blader naar
Entra ID Bewaking & gezondheid Aanmeldingslogboeken .Zoek het evenement voor het inloggen om te beoordelen. Filters en kolommen toevoegen of verwijderen om overbodige informatie uit te filteren.
- Beperk het bereik door filters toe te voegen, zoals:
- Correlatie-id wanneer u een specifieke gebeurtenis hebt om te onderzoeken.
- Voorwaardelijke toegang om beleidsfouten en geslaagde pogingen te zien. Beperk uw filter om alleen fouten weer te geven en de resultaten te beperken.
- Gebruikersnaam voor informatie met betrekking tot specifieke gebruikers.
- Datum die betrekking heeft op de betreffende periode.
- Resource om informatie weer te geven die betrekking heeft op de aangeroepen resource.
- Beperk het bereik door filters toe te voegen, zoals:
Nadat u de aanmeldingsgebeurtenis hebt gevonden die overeenkomt met de aanmeldingsfout van de gebruiker, selecteert u het tabblad Voorwaardelijke toegang. Op het tabblad Voorwaardelijke toegang ziet u het specifieke beleid of beleid dat heeft geresulteerd in een onderbreking van de aanmelding.
- Informatie op het tabblad Probleemoplossing en ondersteuning kan een duidelijke reden bieden waarom een aanmelding is mislukt, zoals een apparaat dat niet voldoet aan de nalevingsvereisten.
- Als u verder wilt onderzoeken, zoomt u in op de configuratie van het beleid door op de beleidsnaam te klikken. Als u op de beleidsnaam klikt, wordt de gebruikersinterface van de beleidsconfiguratie voor het geselecteerde beleid weergegeven voor controle en bewerking.
- De details van de clientgebruiker en het apparaat die zijn gebruikt voor de evaluatie van het beleid voor voorwaardelijke toegang, zijn ook beschikbaar op de tabbladen Basisgegevens, Locatie, Apparaatgegevens, Verificatiedetails en Aanvullende details van de aanmeldingsgebeurtenis.
Beleid werkt niet zoals bedoeld
Selecteer het beletselteken aan de rechterkant van het beleid in een aanmeldingsgebeurtenis om beleidsdetails weer te geven. Deze optie geeft beheerders meer informatie over waarom een beleid is toegepast of niet.
Aan de linkerkant vindt u details die worden verzameld bij het aanmelden en aan de rechterkant vindt u details over of deze details voldoen aan de vereisten van het toegepaste beleid voor voorwaardelijke toegang. Beleid voor voorwaardelijke toegang is alleen van toepassing wanneer aan alle voorwaarden wordt voldaan of niet is geconfigureerd.
Als de informatie in de gebeurtenis niet voldoende is om de aanmeldingsresultaten te begrijpen of het beleid aan te passen om de gewenste resultaten te verkrijgen, gebruikt u het diagnostische hulpprogramma voor aanmelding. De aanmeldingsdiagnose bevindt zich onder Basisinfo>Problemen met evenementen oplossen. Zie voor meer informatie over de aanmelddiagnose in Microsoft Entra ID Wat is de aanmelddiagnose in Microsoft Entra ID. U kunt ook het hulpprogramma What If gebruiken om problemen met beleid voor voorwaardelijke toegang op te lossen.
Als u een ondersteuningsincident moet indienen, neemt u de aanvraag-id, tijd en datum op van de aanmeldingsgebeurtenis in de details van het incident. Deze informatie helpt Microsoft ondersteuning bij het vinden van de specifieke gebeurtenis waarover u zich zorgen maakt.
Veelvoorkomende foutcodes voor voorwaardelijke toegang
| Foutcode voor aanmelding | Foutmelding |
|---|---|
| 53000 | Niet-conform apparaat |
| 53001 | ApparaatNietAanDomeinGekoppeld |
| 53002 | De gebruikte applicatie is geen goedgekeurde app. |
| 53003 | GeblokkeerdDoorVoorwaardelijkeToegang |
| 53004 | ProofUpGeblokkeerdVanwegeRisico |
| 53009 | Toepassing moet Intune-beveiligingsbeleid afdwingen |
Meer informatie over foutcodes in Microsoft Entra-verificatie- en autorisatiefoutcodes. Foutcodes in de lijst worden weergegeven met een voorvoegsel gevolgd AADSTS door de code die u in de browser ziet, zoals AADSTS53002.
Service-afhankelijkheden
In sommige scenario's worden gebruikers geblokkeerd omdat cloud-apps afhankelijk zijn van resources die door beleid voor voorwaardelijke toegang worden geblokkeerd.
Als u de serviceafhankelijkheid wilt controleren, controleert u het aanmeldingslogboek voor de toepassing en resource die wordt aangeroepen door de aanmelding. In de volgende schermopname is de toepassing Azure Portal, maar de resource is Azure Resource Manager. Als u dit scenario wilt toepassen, combineert u alle toepassingen en resources in het beleid voor voorwaardelijke toegang.
Doelgroepenrapportage
Wanneer een gebruiker zich aanmeldt bij een app zoals Microsoft Teams, vraagt hij of zij toegang tot meerdere resources, zoals Teams-chat, Outlook-agenda, Excel-documenten en meer. Hoewel gebruikers denken dat ze zich alleen aanmelden bij de Teams-client, zijn beleidsregels voor voorwaardelijke toegang van toepassing op al deze resources. Als een beheerder bijvoorbeeld de toegang tot SharePoint- of specifieke SharePoint-sites beperkt, is het beleid van toepassing, zelfs wanneer de gebruiker denkt dat hij of zij zich alleen aanmeldt bij Teams.
Met rapportage van doelgroepen in de aanmeldingslogboeken kunnen beheerders alle resources zien die zijn aangevraagd als onderdeel van een aanmeldingsgebeurtenis. Dit wordt weergegeven als Doelgroep onder de sectie Hulpbronnen voor alle ingeschakelde beleidsregels of beleidsregels die alleen voor rapportage zijn.
Beheerders vinden doelgroep in de aanmeldingslogboeken nadat ze een beleid hebben geselecteerd op het tabblad Voorwaardelijke toegang.
Beheerders gebruiken het doelgroeprapport om te zien waarom een CA-beleid van toepassing is of niet van toepassing is op een aanmeldingsgebeurtenis. Een beleid is bijvoorbeeld van toepassing op een specifieke aanmeldingsgebeurtenis omdat een van de doelgroepen in de lijst binnen het bereik van het beleid valt.
Wat te doen als u bent buitengesloten
Als u bent vergrendeld vanwege een onjuiste instelling in een beleid voor voorwaardelijke toegang:
- Controleer of er nog andere beheerders in uw organisatie zijn die nog niet zijn geblokkeerd. Een beheerder met toegang kan het beleid uitschakelen dat van invloed is op uw aanmelding.
- Als er geen beheerder in uw organisatie het beleid kan bijwerken, dient u een ondersteuningsaanvraag in. Microsoft ondersteuning beoordeelt en bevestigt, waarna het de beleidsregels voor voorwaardelijke toegang bijwerkt die toegang verhinderen.