Dela via


Felsökning av inloggningsproblem med villkorsstyrd åtkomst

Informationen i den här artikeln kan användas för att felsöka oväntade inloggningsresultat relaterade till villkorsstyrd åtkomst med hjälp av felmeddelanden och Inloggningsloggar för Microsoft Entra.

Välj "alla" konsekvenser

Med ramverket för villkorsstyrd åtkomst har du stor flexibilitet när du konfigurerar. Men stor flexibilitet innebär även att varje konfigurationsprincip måste granskas noga innan den distribueras för att undvika oönskade resultat. I det här sammanhanget bör du ägna särskild uppmärksamhet åt tilldelningar som påverkar fullständiga uppsättningar, till exempel alla användare/grupper/molnappar.

Organisationer bör undvika följande konfigurationer:

För alla användare, alla resurser:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.
  • Kräv att enheten är markerad som kompatibel – För användare som inte har registrerat sina enheter ännu blockerar den här principen all åtkomst, inklusive åtkomst till Intune-portalen. Om du är en administratör utan en registrerad enhet blockerar den här principen dig från att komma tillbaka till Azure-portalen för att ändra principen.
  • Kräv hybrid Microsoft Entra-domänansluten enhet – Den här principen för åtkomstblockering kan också blockera åtkomsten för alla användare i din organisation om de inte har en hybrid Microsoft Entra-ansluten enhet.
  • Kräv appskyddsprincip – Den här principen för åtkomstblockering kan också blockera åtkomsten för alla användare i din organisation om du inte har en Intune-princip. Om du är en administratör utan ett klientprogram som har en Intune-appskyddsprincip blockerar den här principen dig från att komma tillbaka till portaler som Intune och Azure.

För alla användare, alla resurser och alla enhetsplattformar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.

Avbrott vid inloggning med villkorsstyrd åtkomst

Det första sättet är att granska felmeddelandet som visas. För problem med att logga in när du använder en webbläsare har själva felsidan detaljerad information. Enbart den här informationen kan beskriva vad problemet är och kan föreslå en lösning.

Skärmbild som visar ett inloggningsfel där en kompatibel enhet krävs.

I felet ovan anger meddelandet att programmet endast kan nås från enheter eller klientprogram som uppfyller företagets princip för hantering av mobilenheter. I det här fallet uppfyller inte programmet och enheten den principen.

Microsoft Entra-inloggningshändelser

Den andra metoden för att få detaljerad information om inloggningsavbrottet är att granska Microsoft Entra-inloggningshändelser för att se vilken princip eller vilka principer för villkorsstyrd åtkomst som tillämpades och varför.

Mer information finns om problemet genom att klicka på Mer information på den första felsidan. Om du klickar på Mer information visas felsökningsinformation som är användbar när du söker i Microsoft Entra-inloggningshändelserna efter den specifika felhändelse som användaren såg eller när de öppnade en supportincident med Microsoft.

Skärmbild som visar mer information från en villkorlig åtkomstavbruten webbläsarinloggning.

Ta reda på vilken princip eller vilka principer för villkorsstyrd åtkomst som tillämpas och varför med hjälp av följande.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

  2. Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>

  3. Leta upp händelsen för inloggningen som ska granskas. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.

    1. Begränsa omfånget genom att lägga till filter som:
      1. Korrelations-ID när du ska undersöka en specifik händelse.
      2. Villkorsstyrd åtkomst för att se principfel och lyckade. Ange omfång för filtret för att endast visa fel och begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.

    Skärmbild som visar hur du väljer filtret Villkorlig åtkomst i inloggningsloggen.

  4. När inloggningshändelsen som motsvarar användarens inloggningsfel hittas väljer du fliken Villkorsstyrd åtkomst . Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.

    1. Information på fliken Felsökning och support kan ge en tydlig orsak till varför en inloggning misslyckades, till exempel en enhet som inte uppfyllde efterlevnadskraven.
    2. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. När du klickar på Principnamn visas användargränssnittet för principkonfiguration för den valda principen för granskning och redigering.
    3. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information för inloggningshändelsen.

Principen fungerar inte som förväntat

Om du väljer ellipsen till höger om principen i en inloggningshändelse visas principinformationen. Det här alternativet ger administratörer ytterligare information om varför en princip har tillämpats eller inte.

Skärmbild som visar information om principer för villkorsstyrd åtkomst för att se varför principen tillämpades eller inte.

Den vänstra sidan innehåller information som samlas in vid inloggningen och den högra sidan innehåller information om huruvida informationen uppfyller kraven i de tillämpade principerna för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst gäller endast när alla villkor uppfylls eller när de inte har konfigurerats.

Om informationen i händelsen inte räcker för att förstå inloggningsresultaten eller justera principen för att få önskade resultat kan inloggningsdiagnostikverktyget användas. Inloggningsdiagnostiken finns under Grundläggande information>Felsök händelse. Mer information om inloggningsdiagnostik finns i artikeln Vad är inloggningsdiagnostik i Microsoft Entra ID. Du kan också felsöka principer för villkorsstyrd åtkomst med hjälp av What If-verktyget.

Om du behöver skicka in en supportincident anger du begärande-ID och tid och datum från inloggningshändelsen i incidentinformationen när du skickar in den. Med den här informationen kan Microsoft-supporten hitta den specifika händelse som du är orolig för.

Vanliga felkoder för villkorsstyrd åtkomst

Felkod för inloggning Felsträng
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Mer information om felkoder finns i artikeln Microsoft Entra-felkoder för autentisering och auktorisering. Felkoder i listan visas med prefixet AADSTS följt av koden som visas i webbläsaren, till exempel AADSTS53002.

Tjänstberoenden

I vissa specifika scenarier blockeras användarna eftersom det finns molnappar med beroenden på resurser som blockeras av principen för villkorsstyrd åtkomst.

Om du vill fastställa tjänstberoendet kontrollerar du inloggningsloggen för det program och den resurs som anropas av inloggningen. På följande skärmbild anropas programmet Azure-portalen, men resursen som anropas är Windows Azure Service Management-API. Om du vill rikta in dig på det här scenariot bör alla program och resurser kombineras på samma sätt i principen för villkorsstyrd åtkomst.

Skärmbild som visar ett exempel på en inloggningslogg som visar ett program som anropar en resurs. Det här scenariot kallas även för ett tjänstberoende.

Vad du ska göra om du är utelåst

Om du är utelåst från på grund av en felaktig inställning i en princip för villkorsstyrd åtkomst:

  • Kontrollera om det finns andra administratörer i din organisation som inte har blockerats ännu. En administratör med åtkomst kan inaktivera principen som påverkar inloggningen.
  • Om ingen av administratörerna i din organisation kan uppdatera principen skickar du en supportbegäran. Microsofts support kan granska och vid bekräftelse uppdatera de principer för villkorsstyrd åtkomst som förhindrar åtkomst.

Nästa steg