A feltételes hozzáféréssel kapcsolatos bejelentkezési problémák elhárítása
A cikkben található információk a feltételes hozzáféréssel kapcsolatos váratlan bejelentkezési eredmények hibaelhárítására használhatók hibaüzenetek és Microsoft Entra bejelentkezési naplók használatával.
Válassza ki az "összes" következményeket
A feltételes hozzáférés keretrendszere nagymértékű konfigurációs rugalmasságot biztosít. A nagymértékű rugalmasság azonban azt is jelenti, hogy minden konfigurációs szabályzatot alaposan át kell vizsgálnia a kiadása előtt, hogy elkerülje a nemkívánatos eredményeket. Ebben a kontextusban kiemelt figyelmet kell fordítani a teljes halmazokra, például minden felhasználóra/csoportra/felhőalkalmazásra ható hozzárendelésekre.
A szervezeteknek kerülniük kell a következő konfigurációkat:
Minden felhasználó, minden felhőalkalmazás esetében:
- Hozzáférés letiltása – Ez a konfiguráció a teljes szervezetet letiltja.
- Eszköz megfelelőként való megjelölésének megkövetelése – Ez a szabályzat letilt minden hozzáférést az Intune portálhoz azon felhasználók számára, akik még nem regisztrálták az eszközeiket. Ha Ön regisztrált eszközzel nem rendelkező rendszergazda, ez a szabályzat megakadályozza, hogy újra belépjen a rendszerbe a szabályzat módosítása céljából.
- Hibrid Microsoft Entra tartományhoz csatlakozott eszköz megkövetelése - Ez a házirend blokkolja a hozzáférést a szervezet összes felhasználója számára, ha nem rendelkeznek Microsoft Entra hibrid csatlakozott eszközzel.
- Alkalmazásvédelmi szabályzat megkövetelése – Ez a hozzáférést letiltó szabályzat a szervezete összes felhasználója hozzáférését is letilthatja, ha nem rendelkezik Intune-szabályzattal. Ha Ön Intune-beli alkalmazásvédelmi szabályzattal ellátott ügyfélalkalmazással nem rendelkező rendszergazda, ez a szabályzat megakadályozza, hogy újból belépjen például az Intune és az Azure Portalra.
Minden felhasználó, minden felhőalkalmazás, minden eszközplatform esetében:
- Hozzáférés letiltása – Ez a konfiguráció a teljes szervezetet letiltja.
Feltételes hozzáféréssel megszakított bejelentkezés
Az első módszer a megjelenő hibaüzenet megtekintése. Webböngészővel történő bejelentkezési problémák esetében maga a hibaoldal tartalmaz részletes információt. Ezek az információk önmagukban is leírhatják a problémát, és megoldást javasolhatnak.
A fenti hibaüzenet szerint az alkalmazás csak olyan eszközökről vagy ügyfélalkalmazásokból érhető el, amelyek megfelelnek a vállalat mobileszköz-felügyeleti szabályzatának. Ilyenkor az alkalmazás és az eszköz nem felel meg a szabályzatnak.
Microsoft Entra bejelentkezési események
A második módszer, amellyel részletes információkat kaphat a bejelentkezési megszakításról, a Microsoft Entra bejelentkezési eseményeinek áttekintése annak megtekintéséhez, hogy mely feltételes hozzáférési szabályzatokat vagy szabályzatokat alkalmazták, és hogy miért.
A problémáról további információt a kezdeti hibaoldal További részletek elemére kattintva talál. A További részletek gombra kattintva olyan hibaelhárítási információk találhatók, amelyek hasznosak a Microsoft Entra bejelentkezési eseményeiben a felhasználó által látott vagy a Microsofttal kapcsolatos támogatási incidens megnyitásakor.
Annak kiderítéséhez, hogy mely feltételes hozzáférési szabályzat vagy szabályzatok blokkolták a bejelentkezést, tegye a következőt.
Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
Keresse meg az áttekintendő bejelentkezéshez tartozó eseményt. Adjon hozzá vagy távolítson el szűrőket és oszlopokat a szükségtelen adatok kiszűréséhez.
- A hatókör szűkítése szűrők hozzáadásával, például:
- A korrelációs azonosítót, ha egy adott eseményt kíván megvizsgálni.
- Feltételes hozzáférés a szabályzathibák és a sikeresség megtekintéséhez. Az eredmények számának korlátozása érdekében állítsa be úgy a szűrőt, hogy csak a meghiúsulásokat jelenítse meg.
- A felhasználónevet az adott felhasználókhoz kapcsolódó adatok megtekintéséhez.
- A kérdéses időszakra szűkített dátumot.
- A hatókör szűkítése szűrők hozzáadásával, például:
Miután megtalálta a felhasználó bejelentkezési hibájának megfelelő bejelentkezési eseményt, válassza a Feltételes hozzáférés lapot. A Feltételes hozzáférés lap azokat a szabályzatokat vagy szabályzatokat jeleníti meg, amelyek a bejelentkezés megszakítását eredményezték.
- A Hibaelhárítás és támogatás lapon található információk egyértelmű okot adhatnak arra, hogy miért hiúsult meg egy bejelentkezés, például egy olyan eszköz, amely nem felelt meg a megfelelőségi követelményeknek.
- A további vizsgálathoz részletezze a szabályzatok konfigurációját a Szabályzat nevére kattintva. A Szabályzat nevére kattintva megjelenik a kiválasztott szabályzat szabályzatkonfigurációs felhasználói felülete felülvizsgálatra és szerkesztésre.
- A feltételes hozzáférési szabályzat kiértékeléséhez használt ügyfélfelhasználó és eszközadatok is elérhetők a bejelentkezési esemény Alapadatok, Hely, Eszközadatok, Hitelesítés részletei és További részletek lapjain.
A szabályzat nem a várt módon működik
Egy bejelentkezési eseménynél a szabályzat jobb oldalán található három pontot kiválasztva megnyithatja a szabályzat részleteit. Ezzel a lehetőséggel a rendszergazdák további információkhoz juthatnak egy szabályzat sikeres vagy sikertelen működésének okáról.
A bal oldalon a bejelentkezéskor gyűjtött adatok találhatók, a jobb oldalon pedig arról látható információ, hogy ezek az adatok megfelelnek-e az alkalmazott feltételes hozzáférési szabályzatok követelményeinek. A feltételes hozzáférési szabályzatok csak akkor érvényesek, ha minden feltétel teljesül vagy nincs konfigurálva.
Ha az esemény adatai nem elegendőek a bejelentkezési eredmények értelmezéséhez vagy a szabályzat a kívánt eredmények eléréséhez történő módosításához, érdemes igénybe venni a bejelentkezési diagnosztikai eszközt. A bejelentkezési diagnosztika itt található: Alapadatok>Esemény hibaelhárítása. A bejelentkezési diagnosztikáról további információkat a What is the sign-in diagnostic in Microsoft Entra ID című cikkben talál. A What If lehetőségelemzési eszközt is használhatja a feltételes hozzáférési szabályzatok hibaelhárításához.
Ha támogatási esetet kell beküldenie, adja meg a kérelem azonosítóját, valamint a bejelentkezési esemény időpontját és dátumát az incidensbeküldési részletek között. Ezek az információk lehetővé teszik, hogy a Microsoft ügyfélszolgálata megkeresse az Önt foglalkoztató eseményt.
Gyakori feltételes hozzáférési hibakódok
Bejelentkezési hiba kódja | Hibasztring |
---|---|
53000 | DeviceNotCompliant |
53001 | DeviceNotDomainJoined |
53002 | ApplicationUsedIsNotAnApprovedApp |
53003 | BlockedByConditionalAccess |
53004 | ProofUpBlockedDueToRisk |
A hibakódokkal kapcsolatos további információk a Microsoft Entra hitelesítési és engedélyezési hibakódok cikkben találhatók. A listában a hibakódok egy AADSTS
előtaggal láthatók, amelyet a böngészőben megjelenő kód követ, például: AADSTS53002
.
Szolgáltatásfüggőségek
Bizonyos esetekben a felhasználók le vannak tiltva, mert vannak olyan felhőalkalmazások, amelyek a feltételes hozzáférési szabályzat által letiltott erőforrásoktól függenek.
A szolgáltatásfüggőség meghatározásához ellenőrizze a bejelentkezési naplóban a bejelentkezés által meghívott alkalmazást és erőforrást. A következő képernyőképen a meghívott alkalmazás az Azure Portal, a meghívott erőforrás azonban a Windows Azure Service Management API. A forgatókönyv megfelelő megcélzásához az összes alkalmazást és erőforrást hasonlóan kell kombinálni a feltételes hozzáférési szabályzatban.
Mi a teendő, ha ki van zárva?
Ha a feltételes hozzáférési szabályzat helytelen beállítása miatt kizárta a rendszerből:
- Ellenőrizze, hogy vannak-e más rendszergazdák a szervezetben, akik még nincsenek letiltva. A hozzáféréssel rendelkező rendszergazdák letilthatják azt a házirendet, amely hatással van a bejelentkezésre.
- Ha a szervezete egyik rendszergazdája sem tudja frissíteni a szabályzatot, hozzon létre egy támogatási kérést. A Microsoft ügyfélszolgálata áttekintheti és megerősítés után frissítheti a hozzáférést megakadályozó feltételes hozzáférési szabályzatokat.