共用方式為

對使用條件式存取的登入問題進行疑難排解

使用本文來修正與條件式存取相關的非預期登入結果,方法是檢查錯誤訊息和Microsoft Entra 登入記錄。

選取所有後果

條件式存取架構提供許多設定彈性。 但這種彈性表示您需要先仔細檢閱每個設定原則,再發行,以避免不必要的結果。 在此內容中,請特別注意影響完整集合的指派,例如 所有使用者/群組/資源

請勿使用下列組態:

針對所有使用者,所有資源:

  • 封鎖存取 - 此設定會封鎖整個組織。
  • 要求裝置標示為相容 - 對於尚未註冊其裝置的使用者,此原則會封鎖所有存取,包括 Intune 入口網站的存取權。 如果您是沒有已註冊裝置的系統管理員,此政策將阻止您返回並更改政策設定。
  • 需要已加入混合式 Microsoft Entra 網域的裝置 - 如果在組織中所有使用者都沒有 Microsoft Entra 混合式加入裝置,此原則也可以封鎖他們的存取。
  • 需要應用程式保護原則 - 如果您沒有 Intune 原則,此原則也可以封鎖組織中所有使用者的存取。 如果您是沒有具有 Intune 應用程式保護原則的用戶端應用程式的系統管理員,此原則會阻止您回到 Intune 和 Azure 等入口網站。

針對所有使用者、所有資源、所有裝置平臺:

  • 封鎖存取 - 此設定會封鎖您的整個組織。

條件式存取登入被中斷

檢查出現的錯誤訊息。 如果您要使用網頁瀏覽器登入,錯誤頁面通常會有詳細資訊。 此資訊通常描述問題,並建議解決方案。

登入錯誤螢幕快照,顯示需要符合規範的裝置。

在此錯誤中,訊息指出您只能從符合您公司行動裝置管理原則的裝置或用戶端應用程式使用應用程式。 在這裡,應用程式和裝置不符合原則。

Microsoft Entra 登入事件

若要取得登入中斷的詳細資訊,請檢閱 Microsoft Entra 登入事件,以查看套用的條件式存取原則或原則,以及原因。

按一下初始錯誤頁面中的 [詳細資料],即可找到有關問題的詳細資訊。 按一下 [更多詳細資料] 會顯示疑難排解資訊,當您搜尋 Microsoft Entra 登入事件,找出使用者看到的特定失敗事件,或向 Microsoft 開啟支援事件時,此資訊很有幫助。

螢幕擷取畫面顯示有關條件式存取中斷的網頁瀏覽器登入的更多詳細信息。

請遵循下列步驟,找出套用的條件式存取原則或原則,以及原因。

  1. 以至少 報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>監視與健康>登入記錄

  3. 尋找要檢閱的登入事件。 新增或移除篩選與資料行,篩除出不必要的資訊。

    1. 新增篩選條件以縮小範圍,例如:
      1. 相互關聯識別碼,當你要調查特定事件時。
      2. 條件式存取以檢視政策的成敗。 將篩選範圍設定為僅顯示失敗,以限制結果。
      3. 使用者名稱,以查看與特定使用者相關的資訊。
      4. 日期範圍限定在所關注的時間範圍內。
      5. 資源 查看與被呼叫資源相關的資訊。

    此螢幕擷取畫面顯示如何在登入記錄中選取條件式存取篩選條件。

  4. 尋找對應至使用者登入失敗的登入事件之後,請選取 [條件式存取 ] 索引標籤。[條件式存取] 索引卷標會顯示導致登入中斷的特定原則或原則。

    1. [疑難排解和支援] 索引標籤中的資訊可能會清楚指出登入失敗的原因,例如裝置不符合合規性需求。
    2. 若要進一步調查,請按一下 [原則名稱],向下切入到原則的設定。 按一下 [原則名稱] 會顯示所選原則的原則設定使用者介面,以供檢閱和編輯。
    3. 您也可以在登入事件的 [基本資訊][位置][裝置資訊][驗證詳細資料][其他詳細資料] 索引標籤中,取得用於條件式存取原則評估的用戶端使用者裝置詳細資料

原則無法如預期般運作

在登入事件中,選取策略右側的省略號以查看策略詳細資訊。 此選項可讓系統管理員獲得更多訊息,瞭解為何原則被套用或未被套用。

此螢幕擷取畫面顯示條件式存取原則詳細資料,以查看套用或未套用原則的原因。

左側提供在登入時收集的詳細資料,而右側則提供這些詳細資料是否滿足所套用條件式存取原則需求的詳細資料。 條件式存取原則只會在滿足所有條件或未設定任何條件時套用。

如果事件中的資訊不足以瞭解登入結果或調整原則以取得所需的結果,請使用登入診斷工具。 登入診斷位於 基本資訊>疑難解答事件下。 如需登入診斷的詳細資訊,請參閱 Microsoft Entra ID中的登入診斷。 您也可以使用 What If 工具對條件式存取原則進行疑難排解

如果您需要提交支援事件,請在事件詳細數據中包含登入事件的要求標識碼、時間和日期。 此資訊可協助Microsoft支持尋找您關注的特定事件。

一般條件式存取的錯誤代碼

登入錯誤碼 錯誤字串
53000 設備不符合規範
53001 裝置未加入網域
53002 使用的應用程式不是經過批准的應用程式
53003 因條件式存取被阻止
53004 由於風險,驗證功能已被阻止
53009 應用程式需要強制執行 Intune 保護原則

深入瞭解 Microsoft Entra 驗證和授權錯誤碼中的錯誤碼。 清單中的錯誤碼會顯示為具有 AADSTS 前綴,後面接著您在瀏覽器中看到的代碼,例如 AADSTS53002

服務相依性

在某些情況下,使用者會遭到封鎖,因為雲端應用程式相依於條件式存取原則封鎖的資源。

若要檢查服務相依性,請檢閱登入所呼叫之應用程式和資源的登入記錄。 在下列螢幕快照中,應用程式是 Azure 入口網站,但資源是 Azure Resource Manager。 若要將此案例設為目標,請結合條件式存取原則中的所有應用程式和資源。

顯示應用程式呼叫資源的登入記錄的螢幕快照。此案例也稱為服務相依性。

受眾報告

當使用者登入像是 Microsoft Teams 的應用程式時,他們實際上會要求存取多個資源,例如 Teams 聊天、Outlook 行事曆、Excel 檔等等。 雖然使用者可能認為他們只是登入 Teams 用戶端,但條件式存取原則會套用至所有這些資源。 例如,如果系統管理員限制對 SharePoint 或特定 SharePoint 網站的存取,即使使用者認為他們只登入 Teams,原則仍適用。

登入記錄中的受眾報告使系統管理員能夠查看所有作為登入事件一部分而要求的資源。 此文字會顯示為 [資源] 區段下的 受眾,適用於所有已啟用或僅供報告的政策。

顯示條件式存取原則詳細數據和展開資源和對象資訊的登入記錄項目的螢幕快照。

系統管理員選取 [條件式存取] 索引標籤上的原則後,會在登入記錄中找到 受眾

系統管理員使用受眾報告來瞭解 CA 原則在何種情況下會或不會被套用於登入事件的原因。 例如,原則會套用至特定的登入事件,因為清單中的其中一個對象位於原則範圍內。

如果您遭到鎖定,該怎麼辦

如果您因為條件式存取原則中的設定不正確而遭到鎖定:

  • 檢查組織中是否有其他尚未封鎖的系統管理員。 具有存取權的系統管理員可以停用影響您登入的原則。
  • 如果您的組織中沒有系統管理員可以更新原則,請提交支援要求。 Microsoft 支援部門檢閱並確認後,更新阻止存取的條件式存取原則。

下一步