Udostępnij za pośrednictwem

Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego

Skorzystaj z tego artykułu, aby naprawić nieoczekiwane wyniki logowania związane z dostępem warunkowym, sprawdzając komunikaty o błędach i dzienniki logowania firmy Microsoft Entra.

Wybierz "wszystkie" konsekwencje

Platforma dostępu warunkowego zapewnia dużą elastyczność konfiguracji. Jednak ta elastyczność oznacza, że należy dokładnie przejrzeć poszczególne zasady konfiguracji przed ich udostępnieniem, aby uniknąć niepożądanych wyników. W tym kontekście należy zwrócić szczególną uwagę na przypisania, które mają wpływ na pełne zestawy, takie jak wszyscy użytkownicy / grupy / zasoby.

Nie używaj następujących konfiguracji:

Dla wszystkich użytkowników wszystkie zasoby:

  • Blokuj dostęp — ta konfiguracja blokuje całą organizację.
  • Wymagaj, aby urządzenie było oznaczone jako zgodne — w przypadku użytkowników, którzy jeszcze nie zarejestrowali swoich urządzeń, te zasady blokują cały dostęp, w tym dostęp do portalu usługi Intune. Jeśli jesteś administratorem bez zarejestrowanego urządzenia, ta polityka blokuje ci możliwość ponownego zalogowania się w celu zmiany ustawień.
  • Wymagaj urządzenia przyłączonego hybrydowo do domeny firmy Microsoft Entra — te zasady mogą również blokować dostęp dla wszystkich użytkowników w organizacji, jeśli nie mają urządzenia dołączonego hybrydowo do firmy Microsoft Entra.
  • Wymagaj zasad ochrony aplikacji — te zasady mogą również blokować dostęp dla wszystkich użytkowników w organizacji, jeśli nie masz zasad usługi Intune. Jeśli jesteś administratorem bez aplikacji klienckiej z zasadami ochrony aplikacji usługi Intune, te zasady uniemożliwiają powrót do portali, takich jak usługa Intune i platforma Azure.

Dla wszystkich użytkowników wszystkie zasoby, wszystkie platformy urządzeń:

  • Blokuj dostęp — ta konfiguracja blokuje całą organizację.

Przerwanie logowania dla dostępu warunkowego

Sprawdź wyświetlany komunikat o błędzie. Jeśli logujesz się za pomocą przeglądarki internetowej, strona błędu zwykle zawiera szczegółowe informacje. Te informacje często opisują problem i sugerują rozwiązanie.

Zrzut ekranu przedstawiający błąd logowania informujący, że wymagane jest zgodne urządzenie.

W tym błędzie komunikat informuje, że można używać aplikacji tylko z urządzeń lub aplikacji klienckich spełniających zasady zarządzania urządzeniami przenośnymi w firmie. W tym miejscu aplikacja i urządzenie nie spełniają zasad.

Zdarzenia logowania w usłudze Microsoft Entra

Aby uzyskać szczegółowe informacje na temat przerwy w logowaniu, zapoznaj się ze zdarzeniami logowania w usłudze Microsoft Entra, aby zobaczyć, które zasady dostępu warunkowego lub zasady zostały zastosowane i dlaczego.

Więcej informacji na temat problemu można znaleźć, klikając pozycję Więcej szczegółów na początkowej stronie błędu. Kliknięcie pozycji Więcej szczegółów umożliwia wyświetlenie informacji o rozwiązywaniu problemów, które są przydatne podczas wyszukiwania zdarzeń logowania w usłudze Microsoft Entra pod kątem konkretnego zdarzenia niepowodzenia, które użytkownik zobaczył lub podczas otwierania zdarzenia pomocy technicznej w firmie Microsoft.

Zrzut ekranu przedstawiający więcej szczegółów z przerwanego logowania do przeglądarki internetowej z dostępem warunkowym.

Wykonaj następujące kroki, aby dowiedzieć się, które zasady dostępu warunkowego lub zasady zostały zastosowane i dlaczego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako przynajmniej Czytelnik raportów.

  2. Przejdź do Entra ID Monitorowanie & zdrowie Dzienniki logowania.

  3. Znajdź zdarzenie dla zalogowania do przejrzenia. Dodaj lub usuń filtry i kolumny, aby odfiltrować niepotrzebne informacje.

    1. Zawęź zakres, dodając filtry, takie jak:
      1. Identyfikator korelacji, gdy masz określone zdarzenie do zbadania.
      2. Dostęp warunkowy, aby sprawdzić niepowodzenie i powodzenie zasad. Określ zakres filtra, aby wyświetlić tylko błędy, aby ograniczyć wyniki.
      3. Nazwa użytkownika, aby wyświetlić informacje związane z określonymi użytkownikami.
      4. Data ograniczająca zakres do danego przedziału czasu.
      5. Zasób umożliwiający wyświetlanie informacji związanych z wywoływanym zasobem.

    Zrzut ekranu przedstawiający wybieranie filtru Dostępu warunkowego w dzienniku logowania.

  4. Po znalezieniu zdarzenia logowania odpowiadającego niepowodzeniu logowania użytkownika wybierz kartę dostęp warunkowy. Karta Dostęp warunkowy zawiera określone zasady lub zasady, które spowodowały przerwanie logowania.

    1. Informacje na karcie Rozwiązywanie problemów i obsługa techniczna mogą zawierać jasny powód, dla którego logowanie nie powiodło się, takie jak urządzenie, które nie spełnia wymagań dotyczących zgodności.
    2. Aby dokładniej zbadać, przejdź do szczegółów konfiguracji zasad, klikając pozycję Nazwa zasad. Kliknięcie Nazwa zasad powoduje wyświetlenie interfejsu użytkownika konfiguracji dla wybranej zasady, umożliwiając jej przeglądanie i edytowanie.
    3. Szczegóły użytkownika klienta i urządzenia, które zostały użyte do oceny zasad dostępu warunkowego, są również dostępne na kartach Informacje podstawowe, Lokalizacja, Informacje o urządzeniu, Szczegóły uwierzytelniania i Dodatkowe szczegóły zdarzenia logowania.

Zasady nie działają zgodnie z oczekiwaniami

Wybierz ikonę wielokropka po prawej stronie polityki w przypadku zdarzenia logowania, aby wyświetlić szczegóły polityki. Ta opcja zapewnia administratorom więcej informacji o tym, dlaczego zasady zostały zastosowane lub nie.

Zrzut ekranu przedstawiający szczegóły zasad dostępu warunkowego, aby zobaczyć, dlaczego zasady zostały zastosowane lub nie.

Po lewej stronie znajdują się szczegółowe informacje zebrane podczas logowania, a po prawej stronie szczegółowe informacje o tym, czy te szczegóły spełniają wymagania zastosowanych zasad dostępu warunkowego. Zasady dostępu warunkowego mają zastosowanie tylko wtedy, gdy wszystkie warunki są spełnione lub nie są skonfigurowane.

Jeśli informacje zawarte w zdarzeniu nie wystarczają do zrozumienia wyników logowania lub dostosowania zasad w celu osiągnięcia pożądanych wyników, skorzystaj z narzędzia diagnostycznego logowania. Diagnostyka logowania znajduje się w obszarze Podstawowe informacje>Rozwiązywanie problemów dotyczących zdarzenia. Aby uzyskać więcej informacji na temat diagnostyki logowania, zobacz Co to jest diagnostyka logowania w usłudze Microsoft Entra ID. Możesz również użyć narzędzia "What If" do rozwiązywania problemów z zasadami dostępu warunkowego.

Jeśli musisz przesłać zgłoszenie do wsparcia technicznego, dołącz identyfikator żądania, godzinę i datę ze zdarzenia logowania w szczegółach zgłoszenia. Te informacje pomagają działowi wsparcia technicznego Microsoftu odnaleźć konkretne zdarzenie, które Cię interesuje.

Typowe kody błędów związane z dostępem warunkowym

Kod błędu logowania Ciąg błędu
53000 Urządzenie Niezgodne
53001 UrządzenieNieDołączoneDoDomeny
53002 Aplikacja używana nie jest zatwierdzoną aplikacją
53003 Zablokowane przez dostęp warunkowy
53004 ProofUp zablokowany z powodu ryzyka
53009 Aplikacja musi wymuszać zasady ochrony Intune

Dowiedz się więcej o kodach błędów w kodach błędów uwierzytelniania i autoryzacji firmy Microsoft. Kody błędów na liście są wyświetlane z prefiksem AADSTS , po którym następuje kod widoczny w przeglądarce, na przykład AADSTS53002.

Zależności usługi

W niektórych scenariuszach użytkownicy są blokowani, ponieważ aplikacje w chmurze zależą od zasobów, które blokują zasady dostępu warunkowego.

Aby sprawdzić zależność usługi, przejrzyj dziennik logowania aplikacji i zasobu wywoływanego przez logowanie. Na poniższym zrzucie ekranu aplikacja to Azure Portal, ale zasób to Azure Resource Manager. Aby zastosować ten scenariusz, połącz wszystkie aplikacje i zasoby w zasadach dostępu warunkowego.

Zrzut ekranu przedstawiający dziennik logowania przedstawiający aplikację wywołującą zasób. Ten scenariusz jest również nazywany zależnością usługi.

Raportowanie odbiorców

Gdy użytkownik loguje się do aplikacji, takiej jak Microsoft Teams, w rzeczywistości żąda dostępu do wielu zasobów, takich jak czat w aplikacji Teams, kalendarz programu Outlook, dokumenty programu Excel i inne. Chociaż użytkownicy mogą myśleć, że logują się tylko do klienta usługi Teams, zasady dostępu warunkowego mają zastosowanie we wszystkich tych zasobach. Jeśli na przykład administrator ogranicza dostęp do witryn programu SharePoint lub określonych witryn programu SharePoint, zasady mają zastosowanie nawet wtedy, gdy użytkownik uważa, że loguje się tylko do usługi Teams.

Raportowanie odbiorców w dziennikach logowania umożliwia administratorom wyświetlanie wszystkich zasobów żądanych w ramach zdarzenia logowania. Jest to wyświetlane jako Audience w sekcji Zasób dla wszystkich zasad, które są włączone lub tylko raportują.

Zrzut ekranu przedstawiający wpis dziennika logowania przedstawiający szczegóły zasad dostępu warunkowego oraz rozszerzone informacje o zasobach i odbiorcach.

Administratorzy znajdą Publiczność w dziennikach logowania po wybraniu zasad na karcie Dostęp warunkowy.

Administratorzy używają raportu o odbiorcach, aby dowiedzieć się, dlaczego polityka dotycząca dostępu warunkowego ma zastosowanie lub nie ma zastosowania do zdarzenia logowania. Na przykład zasada dotyczy określonego wydarzenia logowania, ponieważ jeden z odbiorców na liście znajduje się w zakresie działania zasady.

Co zrobić, jeśli jesteś zamknięty na zewnątrz

Jeśli użytkownik jest zablokowany z powodu nieprawidłowego ustawienia w zasadach dostępu warunkowego:

  • Sprawdź, czy w organizacji są inni administratorzy, którzy nie są jeszcze blokowani. Administrator z dostępem może wyłączyć zasady wpływające na logowanie.
  • Jeśli żaden administrator w organizacji nie może zaktualizować zasad, prześlij wniosek o pomoc techniczną. Wsparcie techniczne Microsoftu dokonuje przeglądu i, po potwierdzeniu, aktualizuje zasady dostępu warunkowego, które uniemożliwiają dostęp.

Następne kroki