Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego
Informacje zawarte w tym artykule mogą służyć do rozwiązywania problemów z nieoczekiwanymi wynikami logowania związanymi z dostępem warunkowym przy użyciu komunikatów o błędach i dzienników logowania firmy Microsoft Entra.
Wybierz "wszystkie" konsekwencje
Struktura dostępu warunkowego zapewnia dużą elastyczność konfiguracji. Jednak duża elastyczność oznacza również, że należy dokładnie przejrzeć konfigurację poszczególnych zasad przed ich wdrożeniem, aby uniknąć niepożądanych skutków. W tym kontekście należy zwrócić szczególną uwagę na przypisania wpływające na kompletne zestawy, takie jak wszyscy użytkownicy / grupy / aplikacje w chmurze.
Organizacje powinny unikać następujących konfiguracji:
Dla wszystkich użytkowników, wszystkich aplikacji w chmurze:
- Blokuj dostęp — ta konfiguracja blokuje całą organizację.
- Wymagaj, aby urządzenie było oznaczone jako zgodne — w przypadku użytkowników, którzy jeszcze nie zarejestrowali swoich urządzeń, te zasady blokują cały dostęp, w tym dostęp do portalu Intune. Jeśli jesteś administratorem bez zarejestrowanego urządzenia, te zasady blokują możliwość powrotu w celu zmiany zasad.
- Wymagaj urządzenia przyłączonego hybrydowo do domeny usługi Microsoft Entra — te zasady blokowania dostępu mają również potencjał blokowania dostępu dla wszystkich użytkowników w organizacji, jeśli nie mają urządzenia przyłączonego hybrydowo do usługi Microsoft Entra.
- Wymagaj zasad ochrony aplikacji — te zasady blokowania dostępu mają również potencjał blokowania dostępu dla wszystkich użytkowników w organizacji w przypadku braku zasad usługi Intune. Jeśli jesteś administratorem bez aplikacji klienckiej, która ma zasady ochrony aplikacji Intune, zasady te blokują możliwość powrotu do portali takich jak Intune i Azure.
Dla wszystkich użytkowników, wszystkich aplikacji w chmurze, wszystkich platform urządzeń:
- Blokuj dostęp — ta konfiguracja blokuje całą organizację.
Przerywanie logowania dostępu warunkowego
Pierwszym sposobem jest przeanalizowanie wyświetlanego komunikatu o błędzie. W przypadku problemów z logowaniem podczas korzystania z przeglądarki internetowej sama strona błędu zawiera szczegółowe informacje. Te informacje mogą opisywać, czym jest problem i które mogą sugerować rozwiązanie.
W przypadku powyższego błędu komunikat stwierdza, że aplikacja może być dostępna tylko z urządzeń lub aplikacji klienckich spełniających zasady zarządzania urządzeniami przenośnymi firmy. W tym przypadku aplikacja i urządzenie nie spełniają tych zasad.
Zdarzenia logowania w usłudze Microsoft Entra
Drugą metodą uzyskiwania szczegółowych informacji na temat przerywania logowania jest przejrzenie zdarzeń logowania usługi Microsoft Entra, aby zobaczyć, które zasady lub zasady dostępu warunkowego zostały zastosowane i dlaczego.
Więcej informacji na temat problemu można znaleźć, klikając pozycję Więcej szczegółów na początkowej stronie błędu. Kliknięcie pozycji Więcej szczegółów umożliwia wyświetlenie informacji o rozwiązywaniu problemów, które są przydatne podczas wyszukiwania zdarzeń logowania w usłudze Microsoft Entra pod kątem konkretnego zdarzenia niepowodzenia, które użytkownik zobaczył lub podczas otwierania zdarzenia pomocy technicznej w firmie Microsoft.
Aby dowiedzieć się, która zasada lub zasady dostępu warunkowego zostały zastosowane i dlaczego wykonaj następujące czynności.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
Znajdź zdarzenie logowania do przejrzenia. Dodaj lub usuń filtry i kolumny, aby odfiltrować niepotrzebne informacje.
- Zawęź zakres, dodając filtry, takie jak:
- Identyfikator korelacji, gdy masz określone zdarzenie do zbadania.
- Dostęp warunkowy w celu wyświetlenia niepowodzenia i powodzenia zasad. Określ zakres filtra, aby wyświetlić tylko błędy, aby ograniczyć wyniki.
- Nazwa użytkownika, aby wyświetlić informacje związane z określonymi użytkownikami.
- Data ograniczająca zakres do danego przedziału czasu.
- Zawęź zakres, dodając filtry, takie jak:
Po znalezieniu zdarzenia logowania odpowiadającego niepowodzeniu logowania użytkownika wybierz kartę Dostęp warunkowy. Karta Dostęp warunkowy zawiera określone zasady lub zasady, które spowodowały przerwanie logowania.
- Informacje na karcie Rozwiązywanie problemów i obsługa techniczna mogą zawierać jasny powód, dla którego logowanie nie powiodło się, takie jak urządzenie, które nie spełnia wymagań dotyczących zgodności.
- Aby dokładniej zbadać, przejdź do szczegółów konfiguracji zasad, klikając pozycję Nazwa zasad. Kliknięcie pozycji Nazwa zasad spowoduje wyświetlenie interfejsu użytkownika konfiguracji zasad dla wybranych zasad do przeglądania i edytowania.
- Szczegóły użytkownika klienta i urządzenia, które zostały użyte do oceny zasad dostępu warunkowego, są również dostępne na kartach Informacje podstawowe, Lokalizacja, Informacje o urządzeniu, Szczegóły uwierzytelniania i Dodatkowe szczegóły zdarzenia logowania.
Zasady nie działają zgodnie z oczekiwaniami
Wybranie wielokropka po prawej stronie zasad w zdarzeniu logowania umożliwia wyświetlenie szczegółów zasad. Ta opcja udostępnia administratorom dodatkowe informacje o tym, dlaczego zasady zostały zastosowane pomyślnie lub nie.
Po lewej stronie znajdują się szczegółowe informacje zebrane podczas logowania, a po prawej stronie szczegółowe informacje o tym, czy te szczegóły spełniają wymagania zastosowanych zasad dostępu warunkowego. Zasady dostępu warunkowego mają zastosowanie tylko wtedy, gdy wszystkie warunki są spełnione lub nie są skonfigurowane.
Jeśli informacje w zdarzeniu nie są wystarczające, aby zrozumieć wyniki logowania lub dostosować zasady w celu uzyskania pożądanych wyników, można użyć narzędzia diagnostycznego logowania. Diagnostyka logowania znajduje się w sekcji Podstawowe informacje>Rozwiązywanie problemów ze zdarzeniem. Aby uzyskać więcej informacji na temat diagnostyki logowania, zobacz artykuł Co to jest diagnostyka logowania w usłudze Microsoft Entra ID. Możesz również użyć narzędzia do analizy co-jeżeli do rozwiązywania problemów z zasadami dostępu warunkowego.
Jeśli musisz przesłać zdarzenie pomocy technicznej, podaj identyfikator żądania i godzinę i datę zdarzenia logowania w szczegółach przesyłania zdarzenia. Te informacje umożliwiają pomocy technicznej firmy Microsoft znalezienie konkretnego zdarzenia, którego dotyczysz.
Typowe kody błędów związane z dostępem warunkowym
| Kod błędu logowania | Ciąg błędu |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | ApplicationUsedIsNotAnApprovedApp |
| 53003 | BlockedByConditionalAccess |
| 53004 | ProofUpBlockedDueToRisk |
Więcej informacji o kodach błędów można znaleźć w artykule Kody błędów uwierzytelniania i autoryzacji w usłudze Microsoft Entra. Kody błędów na liście są wyświetlane z prefiksem AADSTS, po którym następuje kod widoczny w przeglądarce, na przykład AADSTS53002.
Zależności usługi
W niektórych konkretnych scenariuszach użytkownicy są blokowani, ponieważ istnieją aplikacje w chmurze z zależnościami od zasobów zablokowanych przez zasady dostępu warunkowego.
Aby określić zależność usługi, sprawdź dziennik logowania dla aplikacji i zasobu wywoływanych przez logowanie. Na poniższym zrzucie ekranu wywoływana aplikacja to Azure Portal, ale wywoływany zasób to Windows Azure Service Management API. Aby odpowiednio ukierunkować ten scenariusz, wszystkie aplikacje i zasoby powinny być analogicznie połączone w zasadach dostępu warunkowego.
Co zrobić, jeśli blokada została zablokowana
Jeśli użytkownik jest zablokowany z powodu nieprawidłowego ustawienia w zasadach dostępu warunkowego:
- Sprawdź, czy w organizacji są inni administratorzy, których dostęp nie jest jeszcze zablokowany. Administrator z dostępem może wyłączyć zasady wpływające na logowanie.
- Jeśli żaden z administratorów w organizacji nie może zaktualizować zasad, prześlij wniosek o pomoc techniczną. Pomoc techniczna firmy Microsoft może przejrzeć zasady dostępu warunkowego i zaktualizować te zasady, które uniemożliwiają dostęp.