Řešení potíží s přihlášením s využitím podmíněného přístupu

Informace v tomto článku můžete použít k řešení potíží s neočekávanými výsledky přihlášení souvisejícími s podmíněným přístupem pomocí chybových zpráv a protokolů přihlašování Microsoft Entra.

Vyberte všechny důsledky.

Architektura podmíněného přístupu poskytuje velkou flexibilitu konfigurace. Velká flexibilita ale také znamená, že byste měli pečlivě kontrolovat všechny zásady konfigurace, než je vydáte, abyste se vyhnuli nežádoucím výsledkům. V této souvislosti byste měli věnovat zvláštní pozornost přiřazením, která ovlivňují celé sady, jako jsou všichni uživatelé, skupiny nebo cloudové aplikace.

Organizace by se měly vyhýbat následujícím konfiguracím:

Pro všechny uživatele nebo všechny cloudové aplikace:

  • Blokovat přístup – Tato konfigurace zablokuje celou organizaci.
  • Vyžadovat, aby zařízení bylo označené jako vyhovující – V případě uživatelů, kteří svá zařízení ještě nezaregistrovali, tyto zásady zablokují veškerý přístup, včetně přístupu k portálu Intune. Pokud jste správce bez zaregistrovaného zařízení, tato zásada vám brání vrátit se zpět a změnit zásadu.
  • Vyžadovat zařízení hybridně připojené k doméně službou Microsoft Entra – Tyto zásady blokování přístupu můžou také zablokovat přístup všem uživatelům ve vaší organizaci, pokud nemají zařízení hybridně připojené službou Microsoft Entra.
  • Vyžadovat zásady ochrany aplikací – Tyto zásady blokování přístupu můžou také zablokovat přístup všem uživatelům ve vaší organizaci, pokud nemáte zásady Intune. Pokud jste správcem bez klientské aplikace se zásadami ochrany aplikací Intune, tyto zásady vám zablokují přístup k portálům, jako jsou portál Intune nebo Azure Portal.

Pro všechny uživatele, všechny cloudové aplikace nebo všechny platformy zařízení:

  • Blokovat přístup – Tato konfigurace zablokuje celou organizaci.

Přerušení přihlášení s využitím podmíněného přístupu

První možností je zkontrolovat zobrazenou chybovou zprávu. V případě problémů s přihlášením při použití webového prohlížeče samotná chybová stránka obsahuje podrobné informace. Tyto informace samotné můžou popisovat, co je problém a může navrhnout řešení.

Screenshot showing a sign in error where a compliant device is required.

Výše uvedená chybová zpráva uvádí, že k aplikaci je možné přistupovat pouze ze zařízení nebo klientských aplikací, které splňují zásady správy mobilních zařízení společnosti. V tomto případě aplikace a zařízení tyto zásady nesplňují.

Události přihlášení Microsoft Entra

Druhou možností, jak získat podrobné informace o přerušení přihlášení, je zkontrolovat události přihlášení k Microsoft Entra, abyste zjistili, které zásady podmíněného přístupu se použily a proč.

Další informace o problému najdete kliknutím na Další podrobnosti na úvodní chybové stránce. Kliknutím na Další podrobnosti zobrazíte informace o řešení potíží, které jsou užitečné při vyhledávání událostí přihlášení Microsoft Entra pro konkrétní událost selhání, kterou uživatel viděl nebo při otevření incidentu podpory u Microsoftu.

Screenshot showing more details from a Conditional Access interrupted web browser sign-in.

Pokud chcete zjistit, které zásady podmíněného přístupu se použily a proč, postupujte následovně.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.

  2. Přejděte do protokolů přihlášení k monitorování identit>a stavu>.

  3. Vyhledejte událost přihlášení, kterou chcete zkontrolovat. Přidáním nebo odebráním filtrů a sloupců vyfiltrujte nepotřebné informace.

    1. Zužte rozsah přidáním filtrů, jako jsou:
      1. ID korelace, pokud chcete prozkoumat konkrétní událost.
      2. Podmíněný přístup k zobrazení selhání a úspěchu zásad Nastavte rozsah filtru tak, aby se zobrazila pouze selhání (a tedy méně výsledků).
      3. Uživatelské jméno, pokud chcete zobrazit informace související s konkrétními uživateli.
      4. Datum vymezené na daný časový rámec.

    Screenshot showing selecting the Conditional Access filter in the sign-in log.

  4. Jakmile se zobrazí událost přihlášení odpovídající selhání přihlášení uživatele, vyberte kartu Podmíněný přístup . Na kartě Podmíněný přístup se zobrazují konkrétní zásady nebo zásady, které způsobily přerušení přihlášení.

    1. Informace na kartě Řešení potíží a podpory můžou poskytnout jasný důvod, proč přihlášení selhalo, například zařízení, které nesplňuje požadavky na dodržování předpisů.
    2. Pokud chcete prozkoumat další informace, přejděte k podrobnostem o konfiguraci zásad kliknutím na název zásady. Kliknutím na název zásady zobrazíte uživatelské rozhraní konfigurace zásad pro vybranou zásadu pro kontrolu a úpravy.
    3. Informace o uživateli klienta a podrobnosti o zařízení použité při hodnocení zásad podmíněného přístupu jsou k dispozici také na kartách Základní informace, Umístění, Informace o zařízení, Podrobnosti o ověřování a Další podrobnosti pro událost přihlášení.

Zásady nefungují podle očekávání

Výběrem tří teček na pravé straně zásad v události přihlášení se zobrazí podrobnosti o těchto zásadách. Tato možnost správcům poskytuje další informace o tom, proč se zásada úspěšně použila nebo ne.

Screenshot showing Conditional Access Policy details to see why policy applied or not.

Na levé straně najdete podrobnosti shromážděné při přihlášení a na pravé straně najdete podrobnosti o tom, jestli tyto údaje splňují požadavky použitých zásad podmíněného přístupu. Zásady podmíněného přístupu se použijí pouze v případě, že jsou všechny podmínky splněné nebo nejsou nakonfigurované.

Pokud informace v události nejsou dostatečné k porozumění výsledkům přihlášení nebo k úpravě zásad za účelem dosažení požadovaných výsledků, můžete použít nástroj pro diagnostiku přihlašování. Diagnostiku přihlašování najdete v části Základní informace>Řešení potíží s událostí. Další informace o diagnostice přihlašování najdete v článku Co je diagnostika přihlašování v Microsoft Entra ID. K řešení potíží se zásadami podmíněného přístupu můžete použít také nástroj pro citlivostní analýzu.

Pokud potřebujete odeslat incident podpory, v podrobnostech o odesílaném incidentu zadejte ID požadavku a čas a datum z události přihlášení. Tyto informace umožňují podpoře Microsoftu najít konkrétní událost, o kterou máte obavy.

Běžné kódy chyb podmíněného přístupu

Kód chyby přihlášení Text chyby
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Další informace o kódech chyb najdete v článku Kódy chyb autorizace a ověřování Microsoft Entra. Kódy chyb jsou v seznamu uvedené s předponou AADSTS následovanou kódem zobrazeným v prohlížeči, např. AADSTS53002.

Závislosti služeb

V některých konkrétních scénářích jsou uživatelé blokovaní, protože existují cloudové aplikace se závislostmi na prostředcích blokovaných zásadami podmíněného přístupu.

Pokud chcete určit závislost služby, zkontrolujte protokol přihlašování pro aplikaci a prostředek volaný přihlášením. Na následujícím snímku obrazovky se volá aplikace Azure Portal, ale volaný prostředek je rozhraní API pro správu služeb Azure pro Windows. Ke správnému zpracování tohoto scénáře je potřeba v zásadách podmíněného přístupu použít podobnou kombinaci všech aplikací a prostředků.

Screenshot that shows an example sign-in log showing an Application calling a Resource. This scenario is also known as a service dependency.

Co dělat, když jste uzamčení

Pokud jste uzamčeni kvůli nesprávnému nastavení v zásadách podmíněného přístupu:

  • Zjistěte, jestli ve vaší organizaci nejsou další správci, kteří ještě nejsou zablokovaní. Správce s přístupem může zakázat zásady, které mají vliv na vaše přihlášení.
  • Pokud žádný ze správců ve vaší organizaci nemůže tyto zásady aktualizovat, odešlete žádost o podporu. Podpora Microsoftu může zkontrolovat a po potvrzení aktualizovat zásady podmíněného přístupu, které brání přístupu.

Další kroky