Läs på engelska

Dela via

Felsökning av inloggningsproblem med villkorsstyrd åtkomst

  • Artikel

Använd den här artikeln om du vill felsöka oväntade inloggningsresultat relaterade till villkorsstyrd åtkomst med hjälp av felmeddelanden och Inloggningsloggar för Microsoft Entra.

Välj "alla" konsekvenser

Ramverket för villkorsstyrd åtkomst ger stor flexibilitet i konfigurationen. Men stor flexibilitet innebär även att varje konfigurationsprincip måste granskas noga innan den distribueras för att undvika oönskade resultat. I det här sammanhanget bör du ägna särskild uppmärksamhet åt tilldelningar som påverkar fullständiga uppsättningar, till exempel alla användare/grupper/molnappar.

Organisationer bör undvika följande konfigurationer:

För alla användare, alla resurser:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.
  • Kräv att enheten är markerad som kompatibel – För användare som inte har registrerat sina enheter ännu blockerar den här principen all åtkomst, inklusive åtkomst till Intune-portalen. Om du är en administratör utan en registrerad enhet blockerar den här principen dig från att komma tillbaka till Azure-portalen för att ändra principen.
  • Kräv Microsoft Entra-enhet med hybrid-domänanslutning – Den här principen har också potential att blockera åtkomst för alla användare i din organisation om de inte har en Microsoft Entra-enhet med hybridanslutning.
  • Kräv appskyddsprincip – Den här principen kan också blockera åtkomst för alla användare i organisationen om du inte har någon Intune-princip. Om du är en administratör utan ett klientprogram som har en Intune-appskyddsprincip blockerar den här principen dig från att komma tillbaka till portaler som Intune och Azure.

För alla användare, alla resurser och alla enhetsplattformar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.

Avbrott i inloggning med villkorsstyrd åtkomst

Granska felmeddelandet som visas. För problem med att logga in när du använder en webbläsare har själva felsidan detaljerad information. Enbart den här informationen kan beskriva problemet och föreslå en lösning.

Skärmbild som visar ett inloggningsfel där en kompatibel enhet krävs.

I felet ovan anger meddelandet att programmet endast kan nås från enheter eller klientprogram som uppfyller företagets princip för hantering av mobilenheter. I det här fallet uppfyller inte programmet och enheten principen.

Microsoft Entra-inloggningshändelser

Den andra metoden för att få detaljerad information om inloggningsavbrottet är att granska Microsoft Entra-inloggningshändelser för att se vilken princip eller vilka principer för villkorsstyrd åtkomst som tillämpades och varför.

Mer information finns om problemet genom att klicka på Mer information på den första felsidan. Om du klickar på Mer information visas felsökningsinformation som är användbar när du söker i Microsoft Entra-inloggningshändelserna efter den specifika felhändelse som användaren såg eller när de öppnade en supportincident med Microsoft.

Skärmbild som visar mer information från en villkorlig åtkomstavbruten webbläsarinloggning.

Följ dessa steg för att ta reda på vilka principer för villkorlig åtkomst som tillämpas och varför.

  1. Logga in på administrationscentret för Microsoft Entra som minst en Rapportläsare.

  2. Bläddra till Identitet Övervakning & hälsa Inloggningsloggar.

  3. Hitta händelsen för inloggningen som ska granskas. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.

    1. Begränsa omfånget genom att lägga till filter som:
      1. Korrelations-ID när du ska undersöka en specifik händelse.
      2. Villkorsstyrd åtkomst för att se policy misslyckanden och lyckanden. Ange omfång för filtret för att endast visa fel och begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.

    Skärmbild som visar hur du väljer filtret Villkorlig åtkomst i inloggningsloggen.

  4. När du har hittat inloggningshändelsen som motsvarar användarens inloggningsfel väljer du fliken villkorlig åtkomst. Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.

    1. Information på fliken Felsökning och support kan ge en tydlig orsak till varför en inloggning misslyckades, till exempel en enhet som inte uppfyllde efterlevnadskraven.
    2. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. När du klickar på Principnamn visas användargränssnittet för principkonfiguration för den valda principen för granskning och redigering.
    3. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information för inloggningshändelsen.

Principen fungerar inte som förväntat

Om du väljer ellipsen till höger om policyn vid en inloggningshändelse visas policyinformationen. Det här alternativet ger administratörer ytterligare information om varför en princip har tillämpats eller inte.

Skärmbild som visar information om principer för villkorsstyrd åtkomst för att se varför principen tillämpades eller inte.

Den vänstra sidan innehåller information som samlas in vid inloggningen och den högra sidan innehåller information om huruvida informationen uppfyller kraven i de tillämpade principerna för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst gäller endast när alla villkor uppfylls eller när de inte har konfigurerats.

Om informationen i händelsen inte räcker för att förstå inloggningsresultaten eller justera principen för att få önskat resultat använder du inloggningsdiagnostikverktyget. Inloggningsdiagnostiken finns under Grundläggande information>Felsökningshändelse. Mer information om inloggningsdiagnostik finns i Vad är inloggningsdiagnostiken i Microsoft Entra-ID. Du kan också felsöka principer för villkorsstyrd åtkomst med hjälp av What If-verktyget.

Om du behöver skicka in en supportincident anger du begärande-ID och tid och datum från inloggningshändelsen i incidentinformationen när du skickar in den. Med den här informationen kan Microsoft-supporten hitta den specifika händelse som du är orolig för.

Vanliga felkoder för villkorsstyrd åtkomst

Felkod för inloggning Felsträng
53000 Enheten uppfyller inte kraven
53001 EnhetInteDomänansluten
53002 Den använda applikationen är inte en godkänd app
53003 Blockerad Av Villkorlig Åtkomst
53004 AvstängdPåGrundAvRisk

Mer information om felkoder finns i artikeln Microsoft Entra-felkoder för autentisering och auktorisering. Felkoder i listan visas med prefixet AADSTS följt av koden som visas i webbläsaren, till exempel AADSTS53002.

Tjänstberoenden

I vissa scenarier blockeras användarna eftersom molnappar är beroende av resurser som blockeras av principen för villkorsstyrd åtkomst.

Om du vill fastställa tjänstberoendet kontrollerar du inloggningsloggen för det program och den resurs som anropas av inloggningen. På följande skärmbild anropas programmet Azure-portalen, men resursen som anropas är Windows Azure Service Management-API. Om du vill rikta in dig på det här scenariot bör alla program och resurser kombineras på samma sätt i principen för villkorsstyrd åtkomst.

Skärmbild som visar en exempellogg för inloggning som visar ett program som anropar en resurs. Det här scenariot kallas även för ett tjänstberoende.

Vad du ska göra om du är utelåst

Om du är utelåst på grund av en felaktig inställning i en princip för villkorsstyrd åtkomst:

  • Kontrollera om det finns andra administratörer i din organisation som inte har blockerats ännu. En administratör med åtkomst kan inaktivera principen som påverkar inloggningen.
  • Om ingen av administratörerna i din organisation kan uppdatera principen skickar du en supportbegäran. Microsofts support kan granska och vid bekräftelse uppdatera de principer för villkorsstyrd åtkomst som förhindrar åtkomst.

Nästa steg