對使用條件式存取的登入問題進行疑難排解

  • 發行項

本文中的資訊可用來針對使用錯誤訊息和 Microsoft Entra 登入記錄的條件式存取相關的非預期登入結果進行疑難解答。

選取 [全部] 結果

條件式存取架構可為您提供絕佳的設定彈性。 不過,絕佳的彈性也意謂著您應該先仔細地檢閱每個設定原則,再將其發行,避免產生不想要的結果。 在此情況下,您應該特別注意影響整個集合的指派,例如 all users / groups / cloud apps

組織應該避免下列設定:

針對所有使用者、所有雲端應用程式:

  • 封鎖存取 - 此設定會封鎖您的整個組織。
  • 需要符合規範的裝置 - 針對尚未註冊其裝置的使用者,此原則會封鎖包括 Intune 入口網站的所有存取。 如果您是沒有已註冊裝置的系統管理員,此原則會使您無法返回來變更此原則。
  • 需要混合式 Microsoft Entra 加入網域的裝置 - 此原則封鎖存取也有可能封鎖組織中所有使用者的存取權 (如果他們沒有已加入混合式 Microsoft Entra 的裝置)。
  • 需要加入網域 - 如果您沒有 Intune 原則,此原則也可能封鎖您組織中所有使用者的存取。 如果您是系統管理員,而且沒有使用 Intune 應用程式防護原則的用戶端應用程式,此原則會使您無法返回 Intune 和 Azure 等入口網站。

針對所有使用者、所有雲端應用程式、所有裝置平台:

  • 封鎖存取 - 此設定會封鎖您的整個組織。

「條件式存取」登入中斷

首先,請檢閱出現的錯誤訊息。 針對使用網頁瀏覽器時的登入問題,錯誤頁面本身會有詳細的資訊。 這項資訊可能單獨描述問題是什麼,而且可以建議解決方案。

顯示需要相容裝置之登入錯誤的螢幕快照。

在上述錯誤中,訊息指出只能從符合公司行動裝置管理原則的裝置或用戶端應用程式存取應用程式。 在此案例中,應用程式和裝置不符合該原則。

Microsoft Entra 登入事件

取得登入中斷詳細資訊的第二個方法是檢閱 Microsoft Entra 登入事件,查看套用了哪些條件式存取原則及原因。

如需有關問題的詳細資訊,請按兩下 初始錯誤頁面中的 [更多詳細資料 ]。 按兩下 [更多詳細數據 ] 會顯示在搜尋 Microsoft Entra 登入事件時,使用者看到或以 Microsoft 開啟支援事件時所見的特定失敗事件時有説明的疑難解答資訊。

顯示條件式存取中斷網頁瀏覽器登入的詳細數據螢幕快照。

若要了解適用的條件存取原則和原因,請執行下列步驟。

  1. 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別監視與健康情況>登入記錄]。

  3. 尋找要檢閱的登入事件。 新增或移除篩選與資料行,篩除出不必要的資訊。

    1. 新增篩選條件,以縮小範圍範圍,例如:
      1. 相互關聯識別碼 (調查特定事件時)。
      2. 條件式存取 以查看原則失敗和成功。 將篩選範圍設定為僅顯示失敗,以限制結果。
      3. 使用者名稱,以查看與特定使用者相關的資訊。
      4. 將日期範圍設定為有問題的時間範圍。

    顯示選取登入記錄中 [條件式存取] 篩選條件的螢幕快照。

  4. 找到對應至使用者登入失敗的登入事件之後,請選取 [ 條件式存取 ] 索引卷標。[條件式存取] 索引卷標會顯示導致登入中斷的特定原則或原則。

    1. [ 疑難解答及支援 ] 索引卷標中的資訊可能會清楚說明登入失敗的原因,例如不符合合規性需求的裝置。
    2. 若要進一步調查,請按兩下 [原則名稱],向下切入至原則的設定。 按兩下 [原則 名稱 ] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
    3. 您也可以在登入事件的 [基本資訊][位置][裝置資訊][驗證詳細資料][其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者裝置詳細資料

原則無法如預期般運作

在登入事件中選取原則右側的省略符號,會顯示原則詳細資料。 此選項會提供管理員有關原則成功套用或失敗原因的其他資訊。

顯示條件式存取原則詳細數據的螢幕快照,以查看原則套用的原因。

左側提供在登入時收集的詳細資料,而右側則提供這些詳細資料是否滿足所套用條件式存取原則需求的詳細資料。 條件式存取原則只會在滿足所有條件或未設定任何條件時套用。

如果事件中的資訊不足以了解登入結果,或不足以調整原則以取得所需的結果,則可能會使用登入診斷工具。 登入診斷可在 [基本資訊]>[疑難排解事件] 下找到。 如需登入診斷的詳細資訊,請參閱 Microsoft Entra ID 中的登入診斷是什麼一文。 您也可以使用 What If 工具對條件式存取原則進行疑難排解

如果您需要提交支援事件,請在事件提交詳細資料中提供登入事件的要求識別碼以及時間和日期。 這項資訊可讓 Microsoft 支援人員尋找您關注的特定事件。

一般條件式存取的錯誤代碼

登入錯誤碼 錯誤字串
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

如需錯誤碼的詳細資訊,請參閱 Microsoft Entra 驗證和授權錯誤碼一文。 清單中的錯誤碼具有前置詞 AADSTS,後面接著在瀏覽器中看到的代碼,例如 AADSTS53002

服務相依性

在某些特定案例中,使用者會遭到封鎖,因為有雲端應用程式與條件式存取原則封鎖的資源相依性。

若要判斷服務相依性,請檢查登入所呼叫應用程式和資源的登入記錄。 在下列螢幕擷取畫面中,所呼叫的應用程式是「Azure 入口網站」,但所呼叫的資源是「Windows Azure 服務管理 API」。 若要適當地將目標設為此案例,應該在條件式存取原則中以類似的方式合併所有應用程式和資源。

螢幕擷取畫面,其中顯示可顯示應用程式呼叫資源的範例登入記錄。此案例也稱為服務相依性。

如果您遭到鎖定,該怎麼辦

如果您因為條件式存取原則中的設定不正確而遭到鎖定:

  • 確認您的組織中是否有其他系統管理員尚未遭到封鎖。 具有存取權的系統管理員可以停用影響您登入的原則。
  • 如果您的組織中沒有任何系統管理員可以更新原則,請提交支援要求。 Microsoft 支援服務可以檢閱,並在確認後更新導致您無法存取的條件式存取原則。

下一步