Felsöka inloggningsproblem med villkorsstyrd åtkomst

Informationen i den här artikeln kan användas för att felsöka oväntade inloggningsresultat relaterade till villkorsstyrd åtkomst med hjälp av felmeddelanden och Azure AD inloggningslogg.

Välj "alla" konsekvenser

Ramverket för villkorsstyrd åtkomst ger dig en stor flexibilitet i konfigurationen. Men stor flexibilitet innebär också att du noggrant bör granska varje konfigurationsprincip innan du släpper den för att undvika oönskade resultat. I det här sammanhanget bör du ägna särskild uppmärksamhet åt tilldelningar som påverkar fullständiga uppsättningar, till exempel alla användare/grupper/molnappar.

Organisationer bör undvika följande konfigurationer:

För alla användare, alla molnappar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.
  • Kräv att enheten markeras som kompatibel – För användare som inte har registrerat sina enheter ännu blockerar den här principen all åtkomst, inklusive åtkomst till Intune-portalen. Om du är administratör utan en registrerad enhet blockerar den här principen dig från att komma tillbaka till Azure Portal för att ändra principen.
  • Kräv hybrid Azure AD domänansluten enhet – Den här principblockeringsåtkomsten kan också blockera åtkomst för alla användare i din organisation om de inte har en hybrid Azure AD ansluten enhet.
  • Kräv appskyddsprincip – Den här principblockeringsåtkomsten kan också blockera åtkomst för alla användare i din organisation om du inte har en Intune princip. Om du är administratör utan ett klientprogram som har en Intune appskyddsprincip blockerar den här principen dig från att komma tillbaka till portaler som Intune och Azure.

För alla användare, alla molnappar, alla enhetsplattformar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.

Avbrott vid inloggning med villkorsstyrd åtkomst

Det första sättet är att granska felmeddelandet som visas. För problem med att logga in när du använder en webbläsare har själva felsidan detaljerad information. Enbart den här informationen kan beskriva vad problemet är och som kan föreslå en lösning.

Inloggningsfel – kompatibel enhet krävs

I felet ovan visas meddelandet att programmet endast kan nås från enheter eller klientprogram som uppfyller företagets hanteringsprincip för mobila enheter. I det här fallet uppfyller inte programmet och enheten den principen.

Azure AD inloggningshändelser

Den andra metoden för att få detaljerad information om inloggningsavbrottet är att granska Azure AD inloggningshändelser för att se vilken princip eller principer för villkorsstyrd åtkomst som tillämpades och varför.

Mer information finns om problemet genom att klicka på Mer information på den första felsidan. Om du klickar på Mer information visas felsökningsinformation som är användbar när du söker i Azure AD inloggningshändelser efter den specifika felhändelse som användaren såg eller när en supportincident med Microsoft öppnades.

Mer information från en villkorlig åtkomst avbröt webbläsarinloggning.

Ta reda på vilken princip eller principer för villkorsstyrd åtkomst som tillämpas och varför göra följande.

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller global läsare.

  2. Bläddra till Azure ActiveDirectory-inloggningar>.

  3. Hitta händelsen för inloggningen som ska granskas. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.

    1. Lägg till filter för att begränsa omfånget:
      1. Korrelations-ID när du har en specifik händelse att undersöka.
      2. Villkorsstyrd åtkomst för att se principfel och lyckade. Omfång för filtret för att endast visa fel för att begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.

    Välja filtret Villkorlig åtkomst i inloggningsloggen

  4. När inloggningshändelsen som motsvarar användarens inloggningsfel har hittats väljer du fliken Villkorsstyrd åtkomst . Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.

    1. Information på fliken Felsökning och support kan ge en tydlig orsak till varför en inloggning misslyckades, till exempel en enhet som inte uppfyllde efterlevnadskraven.
    2. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. Om du klickar på Principnamn visas användargränssnittet för principkonfigurationen för den valda principen för granskning och redigering.
    3. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information i inloggningshändelsen.

Principen fungerar inte som den är avsedd

Om du väljer ellipsen till höger om principen i en inloggningshändelse visas principinformation. Det här alternativet ger administratörer ytterligare information om varför en princip har tillämpats eller inte.

Fliken Villkorsstyrd åtkomst för inloggningshändelse

Principinformation (förhandsversion)

Den vänstra sidan innehåller information som samlas in vid inloggningen och den högra sidan innehåller information om huruvida informationen uppfyller kraven i de tillämpade principerna för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst gäller endast när alla villkor är uppfyllda eller inte har konfigurerats.

Om informationen i händelsen inte räcker för att förstå inloggningsresultaten eller justera principen för att få önskade resultat kan inloggningsdiagnostikverktyget användas. Inloggningsdiagnostiken finns under Grundläggande information>Felsöka händelse. Mer information om inloggningsdiagnostik finns i artikeln Vad är inloggningsdiagnostik i Azure AD. Du kan också använda what if-verktyget för att felsöka principer för villkorsstyrd åtkomst.

Om du behöver skicka in en supportincident anger du begärande-ID och tid och datum från inloggningshändelsen i informationen om incidentöverföringen. Den här informationen gör att Microsoft-supporten kan hitta den specifika händelse som du är orolig för.

Vanliga felkoder för villkorsstyrd åtkomst

Felkod för inloggning Felsträng
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Mer information om felkoder finns i artikeln Azure AD felkoder för autentisering och auktorisering. Felkoder i listan visas med prefixet AADSTS följt av koden som visas i webbläsaren, till exempel AADSTS53002.

Tjänstberoenden

I vissa specifika scenarier blockeras användare eftersom det finns molnappar med beroenden på resurser som blockeras av principen för villkorsstyrd åtkomst.

Om du vill fastställa tjänstberoendet kontrollerar du inloggningsloggen för programmet och resursen som anropas av inloggningen. I följande skärmbild heter programmet Azure Portal, men resursen som heter är Windows Azure Service Management API. Om du vill rikta det här scenariot på rätt sätt bör alla program och resurser kombineras på samma sätt i principen för villkorsstyrd åtkomst.

Skärmbild som visar ett exempel på en inloggningslogg som visar ett program som anropar en resurs. Det här scenariot kallas även för ett tjänstberoende.

Vad gör du om du är utelåst från Azure Portal?

Om du är utelåst från Azure Portal på grund av en felaktig inställning i en princip för villkorsstyrd åtkomst:

  • Kontrollera att det finns andra administratörer i din organisation som inte har blockerats ännu. En administratör med åtkomst till Azure Portal kan inaktivera principen som påverkar inloggningen.
  • Om ingen av administratörerna i din organisation kan uppdatera principen skickar du en supportbegäran. Microsofts support kan granska och vid bekräftelse uppdatera de principer för villkorsstyrd åtkomst som förhindrar åtkomst.

Nästa steg