Felsöka inloggningsproblem med villkorsstyrd åtkomst

  • Artikel

Informationen i den här artikeln kan användas för att felsöka oväntade inloggningsresultat relaterade till villkorsstyrd åtkomst med hjälp av felmeddelanden och Microsoft Entra inloggningsloggar.

Välj "alla" konsekvenser

Med ramverket för villkorsstyrd åtkomst har du stor flexibilitet när du konfigurerar. Men stor flexibilitet innebär också att varje konfigurationsprincip måste granskas noga innan den distribueras för att undvika oönskade resultat. I det här sammanhanget bör du ägna särskild uppmärksamhet åt tilldelningar som påverkar fullständiga uppsättningar, till exempel alla användare/grupper/molnappar.

Organisationer bör undvika följande konfigurationer:

För alla användare, alla molnappar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.
  • Kräv att enheten är markerad som kompatibel – För användare som inte har registrerat sina enheter ännu blockerar den här principen all åtkomst, inklusive åtkomst till Intune-portalen. Om du är administratör utan en registrerad enhet hindrar den här principen dig från att komma in igen för att ändra principen.
  • Kräv hybrid Microsoft Entra domänansluten enhet – Den här principblockeringsåtkomsten kan också blockera åtkomst för alla användare i din organisation om de inte har en Microsoft Entra hybridansluten enhet.
  • Kräv appskyddsprincip – Den här principen för åtkomstblockering kan också blockera åtkomsten för alla användare i din organisation om du inte har en Intune-princip. Om du är administratör utan ett klientprogram som har en Intune-appskyddsprincip blockerar den här principen dig från att komma tillbaka till portaler som Intune och Azure.

För alla användare, alla molnappar, alla enhetsplattformar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.

Avbrott vid inloggning med villkorsstyrd åtkomst

Det första sättet är att granska felmeddelandet som visas. För problem med att logga in när du använder en webbläsare har själva felsidan detaljerad information. Den här informationen kan beskriva vad problemet är och du kan få förslag på en lösning.

Skärmbild som visar ett inloggningsfel där en kompatibel enhet krävs.

I felet ovan anger meddelandet att programmet endast kan nås från enheter eller klientprogram som uppfyller företagets princip för hantering av mobilenheter. I det här fallet uppfyller inte programmet och enheten den principen.

Microsoft Entra inloggningshändelser

Den andra metoden för att få detaljerad information om inloggningsavbrottet är att granska Microsoft Entra inloggningshändelser för att se vilken princip eller princip för villkorsstyrd åtkomst som tillämpades och varför.

Mer information finns om problemet genom att klicka på Mer information på den första felsidan. Om du klickar på Mer information visas felsökningsinformation som är användbar när du söker i Microsoft Entra inloggningshändelser efter den specifika felhändelse som användaren såg eller när en supportincident öppnades med Microsoft.

Skärmbild som visar mer information från en villkorlig åtkomst som avbrutit webbläsarinloggning.

Ta reda på vilken princip eller vilka principer för villkorsstyrd åtkomst som tillämpas och varför med hjälp av följande.

  1. Logga in på Microsoft Entra administrationscenter som minst en administratör för villkorlig åtkomst.

  2. Bläddra tillHälsologgar föridentitetsövervakning&>>.

  3. Leta upp händelsen för inloggningen som ska granskas. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.

    1. Lägg till filter för att begränsa omfånget:
      1. Korrelations-ID när du ska undersöka en specifik händelse.
      2. Villkorsstyrd åtkomst för att se principfel och framgång. Ange omfång för filtret för att endast visa fel och begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.

    Skärmbild som visar hur du väljer filtret Villkorlig åtkomst i inloggningsloggen.

  4. När inloggningshändelsen som motsvarar användarens inloggningsfel har hittats väljer du fliken Villkorsstyrd åtkomst . Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.

    1. Information på fliken Felsökning och support kan ge en tydlig orsak till varför en inloggning misslyckades, till exempel en enhet som inte uppfyllde efterlevnadskraven.
    2. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. Om du klickar på Principnamn visas användargränssnittet för principkonfigurationen för den valda principen för granskning och redigering.
    3. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information för inloggningshändelsen.

Principen fungerar inte som förväntat

Om du väljer ellipsen till höger om principen i en inloggningshändelse visas principinformationen. Det här alternativet ger administratörer ytterligare information om varför en princip har tillämpats eller inte.

Skärmbild som visar information om principer för villkorsstyrd åtkomst klickar du igenom för att se varför principen tillämpades eller inte.

Den vänstra sidan innehåller information som samlas in vid inloggningen och den högra sidan innehåller information om huruvida informationen uppfyller kraven i de tillämpade principerna för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst gäller endast när alla villkor uppfylls eller när de inte har konfigurerats.

Om informationen i händelsen inte räcker för att förstå inloggningsresultaten eller justera principen för att få önskade resultat kan inloggningsdiagnostikverktyget användas. Inloggningsdiagnostiken finns under Grundläggande information>Felsök händelse. Mer information om inloggningsdiagnostik finns i artikeln Vad är inloggningsdiagnostik i Microsoft Entra-ID. Du kan också felsöka principer för villkorsstyrd åtkomst med hjälp av What If-verktyget.

Om du behöver skicka in en supportincident anger du begärande-ID och tid och datum från inloggningshändelsen i incidentinformationen när du skickar in den. Med den här informationen kan Microsofts support hitta den specifika händelse som du är orolig för.

Vanliga felkoder för villkorsstyrd åtkomst

Felkod för inloggning Felsträng
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Mer information om felkoder finns i artikeln Microsoft Entra felkoder för autentisering och auktorisering. Felkoder i listan visas med prefixet AADSTS följt av koden som visas i webbläsaren, till exempel AADSTS53002.

Tjänstberoenden

I vissa specifika scenarier blockeras användarna eftersom det finns molnappar med beroenden på resurser som blockeras av principen för villkorsstyrd åtkomst.

Om du vill fastställa tjänstberoendet kontrollerar du inloggningsloggen för programmet och resursen som anropas av inloggningen. På följande skärmbild anropas programmet Azure-portalen, men resursen som anropas är Windows Azure Service Management-API. Om du vill rikta in dig på det här scenariot bör alla program och resurser kombineras på samma sätt i principen för villkorsstyrd åtkomst.

Skärmbild som visar ett exempel på en inloggningslogg som visar ett program som anropar en resurs. Det här scenariot kallas även för ett tjänstberoende.

Vad gör du om du är utelåst?

Om du är utelåst från på grund av en felaktig inställning i en princip för villkorsstyrd åtkomst:

  • Kontrollera om det finns andra administratörer i din organisation som inte har blockerats ännu. En administratör med åtkomst kan inaktivera principen som påverkar inloggningen.
  • Om ingen av administratörerna i din organisation kan uppdatera principen skickar du en supportbegäran. Microsofts support kan granska och vid bekräftelse uppdatera de principer för villkorsstyrd åtkomst som förhindrar åtkomst.

Nästa steg