Dela via

Felsöka inloggningsproblem med villkorsstyrd åtkomst

Använd den här artikeln om du vill åtgärda oväntade inloggningsresultat relaterade till villkorsstyrd åtkomst genom att kontrollera felmeddelanden och Inloggningsloggar för Microsoft Entra.

Välj "alla" konsekvenser

Ramverket för villkorsstyrd åtkomst ger dig mycket flexibilitet i konfigurationen. Men den här flexibiliteten innebär att du måste granska varje konfigurationsprincip noggrant innan du släpper den för att undvika oönskade resultat. I det här sammanhanget bör du ägna särskild uppmärksamhet åt tilldelningar som påverkar fullständiga uppsättningar som alla användare/grupper/resurser.

Använd inte följande konfigurationer:

För alla användare, alla resurser:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.
  • Kräv att enheten är markerad som kompatibel – För användare som inte har registrerat sina enheter ännu blockerar den här principen all åtkomst, inklusive åtkomst till Intune-portalen. Om du är administratör utan en registrerad enhet blockerar den här principen dig från att komma in igen för att ändra principen.
  • Kräv Hybrid Microsoft Entra-domänansluten enhet – Den här principen kan också blockera åtkomst för alla användare i din organisation om de inte har en Microsoft Entra-hybridansluten enhet.
  • Kräv appskyddsprincip – Den här principen kan också blockera åtkomst för alla användare i din organisation om du inte har någon Intune-princip. Om du är administratör utan en klientapp som har en Intune-appskyddsprincip blockerar den här principen dig från att komma tillbaka till portaler som Intune och Azure.

För alla användare, alla resurser och alla enhetsplattformar:

  • Blockera åtkomst – Den här konfigurationen blockerar hela organisationen.

Avbrott i inloggning med villkorsstyrd åtkomst

Kontrollera felmeddelandet som visas. Om du loggar in med en webbläsare har felsidan vanligtvis detaljerad information. Den här informationen beskriver ofta problemet och föreslår en lösning.

Skärmbild av ett inloggningsfel som säger att en kompatibel enhet krävs.

I det här felet står det att du bara kan använda programmet från enheter eller klientprogram som uppfyller företagets hanteringsprincip för mobila enheter. Här uppfyller inte programmet och enheten principen.

Microsoft Entra-inloggningshändelser

Om du vill få detaljerad information om inloggningsavbrottet läser du inloggningshändelserna för Microsoft Entra för att se vilken princip eller principer för villkorsstyrd åtkomst som tillämpas och varför.

Mer information finns om problemet genom att klicka på Mer information på den första felsidan. Om du klickar på Mer information visas felsökningsinformation som är användbar när du söker i Microsoft Entra-inloggningshändelserna efter den specifika felhändelse som användaren såg eller när de öppnade en supportincident med Microsoft.

Skärmbild som visar mer information från en villkorlig åtkomstavbruten webbläsarinloggning.

Följ de här stegen för att ta reda på vilka principer för villkorsstyrd åtkomst som tillämpas och varför.

  1. Logga in på administrationscentret för Microsoft Entra som minst en Rapportläsare.

  2. Bläddra till Entra ID Övervakning & hälsa Inloggningsloggar.

  3. Hitta händelsen för inloggningen som ska granskas. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.

    1. Begränsa omfånget genom att lägga till filter som:
      1. Korrelations-ID när du ska undersöka en specifik händelse.
      2. Villkorsstyrd åtkomst för att se policy misslyckanden och lyckanden. Ange omfång för filtret för att endast visa fel och begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.
      5. Resurs för att se information som rör den anropade resursen.

    Skärmbild som visar hur du väljer filtret Villkorlig åtkomst i inloggningsloggen.

  4. När du har hittat inloggningshändelsen som motsvarar användarens inloggningsfel väljer du fliken villkorlig åtkomst. Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.

    1. Information på fliken Felsökning och support kan ge en tydlig orsak till varför en inloggning misslyckades, till exempel en enhet som inte uppfyllde efterlevnadskraven.
    2. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. När du klickar på Principnamn visas användargränssnittet för principkonfiguration för den valda principen för granskning och redigering.
    3. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information för inloggningshändelsen.

Principen fungerar inte som förväntat

Välj ellipsen till höger om policyn vid en inloggningshändelse för att se policyinformation. Det här alternativet ger administratörer mer information om varför en princip tillämpades eller inte.

Skärmbild som visar information om principer för villkorsstyrd åtkomst för att se varför principen tillämpades eller inte.

Den vänstra sidan innehåller information som samlas in vid inloggningen och den högra sidan innehåller information om huruvida informationen uppfyller kraven i de tillämpade principerna för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst gäller endast när alla villkor uppfylls eller när de inte har konfigurerats.

Om informationen i händelsen inte räcker för att förstå inloggningsresultaten eller justera principen för att få önskat resultat använder du inloggningsdiagnostikverktyget. Inloggningsdiagnostiken finns under Grundläggande information>Felsökningshändelse. Mer information om inloggningsdiagnostik finns i Vad är inloggningsdiagnostiken i Microsoft Entra-ID. Du kan också felsöka principer för villkorsstyrd åtkomst med hjälp av What If-verktyget.

Om du behöver skicka in en supportincident ska du inkludera begärande-ID, tid och datum från inloggningshändelsen i incidentinformationen. Den här informationen hjälper Microsoft-supporten att hitta den specifika händelse som du är orolig för.

Vanliga felkoder för villkorsstyrd åtkomst

Felkod för inloggning Felsträng
53000 Enheten uppfyller inte kraven
53001 Enhet är inte domänansluten
53002 Den använda applikationen är inte en godkänd app
53003 Blockerad Av Villkorlig Åtkomst
53004 Avstängd På Grund Av Risk
53009 Programmet måste tillämpa Intune-skyddsprinciper

Läs mer om felkoder i Felkoder för Microsoft Entra-autentisering och auktorisering. Felkoder i listan visas med prefixet AADSTS följt av koden du ser i webbläsaren, till exempel AADSTS53002.

Tjänstberoenden

I vissa scenarier blockeras användare eftersom molnappar är beroende av resurser som en princip för villkorsstyrd åtkomst blockerar.

Om du vill kontrollera tjänstberoendet granskar du inloggningsloggen för programmet och resursen som anropas av inloggningen. I följande skärmbild är programmet Azure-portalen, men resursen är Azure Resource Manager. Om du vill rikta in dig på det här scenariot kombinerar du alla program och resurser i principen för villkorsstyrd åtkomst.

Skärmbild av en inloggningslogg som visar ett program som anropar en resurs. Det här scenariot kallas även för ett tjänstberoende.

Målgruppsrapportering

När en användare loggar in på en app som Microsoft Teams begär de faktiskt åtkomst till flera resurser, till exempel Teams-chatt, Outlook-kalender, Excel-dokument med mera. Användarna kanske tror att de bara loggar in på Teams-klienten, men principer för villkorsstyrd åtkomst gäller för alla dessa resurser. Om en administratör till exempel begränsar åtkomsten till SharePoint eller specifika SharePoint-webbplatser gäller principen även när användaren tror att de bara loggar in på Teams.

Med målgruppsrapportering i inloggningsloggarna kan administratörer se alla resurser som begärs som en del av en inloggningshändelse. Detta visas som Målgrupp under avsnittet Resurs för alla aktiverade principer eller endast rapportprinciper.

Skärmbild av en inloggningsloggpost som visar principinformation för villkorsstyrd åtkomst och utökad resurs- och målgruppsinformation.

Administratörer hittar målgruppen i inloggningsloggarna när de har valt en princip på fliken Villkorsstyrd åtkomst.

Administratörer använder målgruppsrapporten för att lära sig varför en CA-princip gäller eller inte gäller för en inloggningshändelse. En princip gäller till exempel för en specifik inloggningshändelse eftersom en av målgrupperna i listan omfattas av principen.

Vad du ska göra om du är utelåst

Om du är utelåst på grund av en felaktig inställning i en princip för villkorsstyrd åtkomst:

  • Kontrollera om det finns andra administratörer i din organisation som inte har blockerats ännu. En administratör med åtkomst kan inaktivera principen som påverkar din inloggning.
  • Om ingen administratör i din organisation kan uppdatera principen skickar du en supportbegäran. Microsofts support granskar och uppdaterar, efter bekräftelse, de villkorsstyrda åtkomstprinciperna som förhindrar obehörig åtkomst.

Nästa steg