Testen von Richtlinien für bedingten Zugriff und Problembehandlung

  • 3 Minuten

Die Struktur des bedingten Zugriffs bietet große Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden. Achten Sie in diesem Fall besonders auf Zuweisungen, die sich auf komplette Sätze auswirken, z.B. alle Benutzer/Gruppen/Cloud-Apps.

Organisationen sollten die folgenden Konfigurationen vermeiden:

Für alle Benutzer, alle Cloud-Apps:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.
  • In Hybrid-Microsoft Entra-Domäne eingebundenes Gerät erforderlich: Diese Richtlinie zum Blockieren des Zugriffs kann potenziell auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn sie nicht über in Hybrid-Microsoft Entra eingebundene Geräte verfügen.
  • App-Schutzrichtlinie erforderlich: Diese Richtlinie zum Blockieren des Zugriffs kann potenziell auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn Sie nicht über eine Intune-Richtlinie verfügen. Wenn Sie als Administrator nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.

Für alle Benutzer, alle Cloud-Apps, alle Geräteplattformen:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation.

Unterbrechung der Anmeldung bei bedingtem Zugriff

Die erste Möglichkeit besteht darin, die angezeigte Fehlermeldung zu überprüfen. Bei Problemen mit der Anmeldung über einen Webbrowser enthält die eigentliche Fehlerseite ausführliche Informationen. Diese Informationen beschreiben lediglich das Problem und schlagen eine Lösung vor.

Screenshot von „Anmeldefehler: Konformes Gerät erforderlich“ mit einer Schaltfläche zum Abbrechen oder Erhalten von weitere Informationen

Die Meldung für den obigen Fehler besagt, dass der Zugriff auf die Anwendung nur von Geräten oder Clientanwendungen erfolgen kann, welche die Richtlinie für die Verwaltung mobiler Geräte im Unternehmen erfüllen. In diesem Fall erfüllen die Anwendung und das Gerät diese Richtlinie nicht.

Microsoft Entra-Anmeldeereignisse

Die zweite Methode zum Abrufen detaillierter Informationen zu der Anmeldeunterbrechung besteht darin, die Microsoft Entra-Anmeldeereignisse zu überprüfen, um festzustellen, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

Weitere Informationen zu diesem Problem erhalten Sie, wenn Sie auf der ersten Fehlerseite auf Weitere Informationen klicken. Durch Klicken auf Weitere Informationen werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Microsoft Entra-Anmeldeereignisse für ein bestimmtes Fehlerereignis, das dem Benutzer angezeigt wurde, oder beim Öffnen eines Supportfalls bei Microsoft hilfreich sein können.

Screenshot: Weitere Informationen zu einer unterbrochenen Webbrowseranmeldung bei bedingtem Zugriff

Gehen Sie wie folgt vor, um herauszufinden, welche Richtlinien für bedingten Zugriff angewendet wurden und aus welchem Grund:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Globaler Administrator, Sicherheitsadministrator oder Globaler Leser an.

  2. Navigieren Sie zu Identität – Überwachung und Integrität und dann zu Anmeldungen.

  3. Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.

    1. Fügen Sie Filter hinzu, um den Bereich einzugrenzen:

      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.

      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.

      3. Benutzername zum Anzeigen von Informationen zu bestimmten Benutzern.

      4. Datum zur Festlegung des fraglichen Zeitraums.

        Screenshot des Bildschirms mit der Fehlermeldung. Der Benutzer bzw. die Benutzerin wählt im Anmeldeprotokoll den Filter „Bedingter Zugriff“ aus.

  4. Wenn Sie das Anmeldeereignis, das dem Anmeldefehler des Benutzers entspricht, gefunden haben, wählen Sie die Registerkarte Bedingter Zugriff aus. Auf dieser Registerkarte werden die spezifischen Richtlinien angezeigt, die zur Unterbrechung der Anmeldung geführt haben.

    1. Die Informationen auf der Registerkarte Problembehandlung und Support geben Aufschluss darüber, warum eine Anmeldung nicht erfolgreich war – beispielsweise, weil ein Gerät die Konformitätsanforderungen nicht erfüllt hat.
    2. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird für die ausgewählte Richtlinie die Benutzeroberfläche für die Richtlinienkonfiguration angezeigt. Hier können Sie die Richtlinie überprüfen und bearbeiten.
    3. Der Clientbenutzer und die Gerätedetails, die für die Bewertung der Richtlinie für bedingten Zugriff verwendet wurden, sind auch auf den Registerkarten Grundlegende Infos, Standort, Geräteinformationen, Authentifizierungsdetails und Weitere Details des Anmeldeereignisses verfügbar.

Richtliniendetails

Wenn Sie in einem Anmeldeereignis auf die drei Punkte rechts neben der Richtlinie klicken, werden die Richtliniendetails angezeigt. So erhalten Administratoren zusätzliche Informationen zum Grund für die erfolgreiche oder nicht erfolgreiche Anwendung einer Richtlinie.

Screenshot der Registerkarte „Anmeldeereignis mit bedingtem Zugriff“. Warten auf BenutzereingabeScreenshot des Bildschirms „Richtliniendetails (Vorschau)“ in Microsoft Entra mit bedingtem Zugriff

Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.

Wenn die im Ereignis angezeigten Informationen nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen, um die gewünschten Ergebnisse zu erhalten, kann ein Supportfall geöffnet werden. Navigieren Sie zur Registerkarte Problembehandlung und Support des Anmeldeereignisses, und wählen Sie Neue Supportanfrage erstellen aus.

Screenshot der Registerkarte „Problembehandlung und Support“ des Anmeldeereignisses. Der Assistent hilft beim Beheben von Problemen.

Geben Sie bei der Übermittlung des Vorfalls die Anforderungs-ID sowie Uhrzeit und Datum des Anmeldeereignisses in den Details an. Diese Informationen ermöglichen es dem Microsoft-Support, das betreffende Ereignis zu finden.