對使用條件式存取的登入問題進行疑難排解
本文中的資訊可以用來針對與條件式存取相關的非預期登入結果,使用錯誤訊息和 Microsoft Entra 登入記錄進行疑難排解。
選取「所有」結果
條件式存取架構可為您提供絕佳的設定彈性。 不過,絕佳的彈性也意謂著您應該先仔細地檢閱每個設定原則,再將其發行,避免產生不想要的結果。 在此情況下,您應該特別注意影響整個集合的指派,例如 all users / groups / cloud apps。
組織應該避免下列設定:
針對所有使用者、所有雲端應用程式:
- 封鎖存取 - 此設定會封鎖您的整個組織。
- 需要符合規範的裝置 - 針對尚未註冊其裝置的使用者,此原則會封鎖包括 Intune 入口網站的所有存取。 如果您是沒有已註冊裝置的系統管理員,此原則會使您無法返回來變更此原則。
- 需要混合式 Microsoft Entra 加入網域的裝置 - 此原則封鎖存取也有可能封鎖組織中所有使用者的存取權 (如果他們沒有已加入混合式 Microsoft Entra 的裝置)。
- 需要加入網域 - 如果您沒有 Intune 原則,此原則也可能封鎖您組織中所有使用者的存取。 如果您是系統管理員,而且沒有使用 Intune 應用程式防護原則的用戶端應用程式,此原則會使您無法返回 Intune 和 Azure 等入口網站。
針對所有使用者、所有雲端應用程式、所有裝置平台:
- 封鎖存取 - 此設定會封鎖您的整個組織。
「條件式存取」登入中斷
首先,請檢閱出現的錯誤訊息。 針對使用網頁瀏覽器時的登入問題,錯誤頁面本身會有詳細的資訊。 這項資訊本身可能會描述問題所在,並建議解決方案。
在上述錯誤中,訊息指出只能從符合公司行動裝置管理原則的裝置或用戶端應用程式存取應用程式。 在此案例中,應用程式和裝置不符合該原則。
因閑置而無法存取租使用者
由於閑置,租用戶無法存取的錯誤訊息 Error message: AADSTS5000225: This tenant has been blocked due to inactivity. To learn more about ... 預期為 。 系統管理員可以要求租用戶在進入非使用中狀態的 20 天內重新啟用租使用者。 保留此狀態超過 20 天的租使用者將會遭到刪除。
根據您的租使用者方案,我們建議:
系統管理員
如果您需要重新啟用租使用者:
- 租用戶系統管理員可以連絡Microsoft,請參閱 全域支持電話號碼。
- 避免在現有案例進行時提交另一個協助要求,直到您回聽此案的決定為止。
如果您不打算重新啟用租使用者:
- 租使用者會在因閑置而無法存取 20 天后刪除,且無法復原。
- 請在這裡檢閱Microsoft數據保護原則。
應用程式擁有者/開發人員
- 將傳送至此已停用租用戶的驗證要求數目降至最低,直到重新啟用租用戶為止。
- 避免在現有案例進行時提交另一個協助要求,直到您回聽此案的決定為止。
- 檢閱Microsoft的 數據保護原則。
Microsoft Entra 登入事件
取得登入中斷詳細資訊的第二個方法是檢閱 Microsoft Entra 登入事件,查看套用了哪些條件式存取原則及原因。
按一下初始錯誤頁面中的 [詳細資料],即可找到有關問題的詳細資訊。 按一下 [更多詳細資料] 會顯示疑難排解資訊,當您搜尋 Microsoft Entra 登入事件,找出使用者看到的特定失敗事件,或向 Microsoft 開啟支援事件時,此資訊很有幫助。
若要了解適用的條件存取原則和原因,請執行下列步驟。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。
尋找要檢閱的登入事件。 新增或移除篩選與資料行,篩除出不必要的資訊。
- 新增篩選條件以縮小範圍,例如:
- 相互關聯識別碼 (調查特定事件時)。
- 條件式存取,以查看原則失敗和成功。 將篩選範圍設定為僅顯示失敗,以限制結果。
- 使用者名稱,以查看與特定使用者相關的資訊。
- 將日期範圍設定為有問題的時間範圍。
- 新增篩選條件以縮小範圍,例如:
一旦找到對應至使用者登入失敗的登入事件,請選取 [條件式存取] 索引標籤。[條件式存取] 索引標籤會顯示導致登入中斷的特定原則。
- [疑難排解和支援] 索引標籤中的資訊可能會清楚指出登入失敗的原因,例如裝置不符合合規性需求。
- 若要進一步調查,請按一下 [原則名稱],向下切入到原則的設定。 按一下 [原則名稱] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
- 您也可以在登入事件的 [基本資訊]、[位置]、[裝置資訊]、[驗證詳細資料] 和 [其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者和裝置詳細資料。
原則無法如預期般運作
在登入事件中選取原則右側的省略符號,會顯示原則詳細資料。 此選項會提供管理員有關原則成功套用或失敗原因的其他資訊。
左側提供在登入時收集的詳細資料,而右側則提供這些詳細資料是否滿足所套用條件式存取原則需求的詳細資料。 條件式存取原則只會在滿足所有條件或未設定任何條件時套用。
如果事件中的資訊不足以了解登入結果,或不足以調整原則以取得所需的結果,則可能會使用登入診斷工具。 登入診斷可在 [基本資訊]>[疑難排解事件] 下找到。 如需登入診斷的詳細資訊,請參閱 Microsoft Entra ID 中的登入診斷是什麼一文。 您也可以使用 What If 工具對條件式存取原則進行疑難排解。
如果您需要提交支援事件,請在事件提交詳細資料中提供登入事件的要求識別碼以及時間和日期。 這項資訊可讓 Microsoft 支援人員找到您關注的特定事件。
一般條件式存取的錯誤代碼
| 登入錯誤碼 | 錯誤字串 |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | ApplicationUsedIsNotAnApprovedApp |
| 53003 | BlockedByConditionalAccess |
| 53004 | ProofUpBlockedDueToRisk |
如需錯誤碼的詳細資訊,請參閱 Microsoft Entra 驗證和授權錯誤碼一文。 清單中的錯誤碼具有前置詞 AADSTS,後面接著在瀏覽器中看到的代碼,例如 AADSTS53002。
服務相依性
在某些特定案例中,使用者會遭到封鎖,因為有雲端應用程式相依於條件式存取原則所封鎖的資源。
若要判斷服務相依性,請檢查登入所呼叫應用程式和資源的登入記錄。 在下列螢幕擷取畫面中,所呼叫的應用程式是「Azure 入口網站」,但所呼叫的資源是「Windows Azure 服務管理 API」。 若要適當地將目標設為此案例,應該在條件式存取原則中以類似的方式合併所有應用程式和資源。
如果您遭到鎖定,該怎麼辦
如果您由於條件式存取原則中的不正確設定而遭到鎖定:
- 確認您的組織中是否有其他系統管理員尚未遭到封鎖。 具有存取權的系統管理員可以停用正在影響您登入的原則。
- 如果您的組織中沒有任何系統管理員可以更新原則,請提交支援要求。 Microsoft 支援服務可以檢閱,並在確認後更新導致您無法存取的條件式存取原則。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應