A feltételes hozzáféréssel kapcsolatos bejelentkezési problémák elhárítása

  • Cikk

A cikkben található információk a feltételes hozzáféréssel kapcsolatos váratlan bejelentkezési eredmények hibaelhárítására használhatók hibaüzenetek és Microsoft Entra bejelentkezési naplók használatával.

Válassza ki az "összes" következményeket

A feltételes hozzáférés keretrendszere nagymértékű konfigurációs rugalmasságot biztosít. A nagymértékű rugalmasság azonban azt is jelenti, hogy minden konfigurációs szabályzatot alaposan át kell vizsgálnia a kiadása előtt, hogy elkerülje a nemkívánatos eredményeket. Ebben a kontextusban kiemelt figyelmet kell fordítani a teljes halmazokra, például minden felhasználóra/csoportra/felhőalkalmazásra ható hozzárendelésekre.

A szervezeteknek kerülniük kell a következő konfigurációkat:

Minden felhasználó, minden felhőalkalmazás esetében:

  • Hozzáférés letiltása – Ez a konfiguráció a teljes szervezetet letiltja.
  • Eszköz megfelelőként való megjelölésének megkövetelése – Ez a szabályzat letilt minden hozzáférést az Intune portálhoz azon felhasználók számára, akik még nem regisztrálták az eszközeiket. Ha Ön regisztrált eszközzel nem rendelkező rendszergazda, ez a szabályzat megakadályozza, hogy újra belépjen a rendszerbe a szabályzat módosítása céljából.
  • Hibrid Microsoft Entra tartományhoz csatlakozott eszköz megkövetelése - Ez a házirend blokkolja a hozzáférést a szervezet összes felhasználója számára, ha nem rendelkeznek Microsoft Entra hibrid csatlakozott eszközzel.
  • Alkalmazásvédelmi szabályzat megkövetelése – Ez a hozzáférést letiltó szabályzat a szervezete összes felhasználója hozzáférését is letilthatja, ha nem rendelkezik Intune-szabályzattal. Ha Ön Intune-beli alkalmazásvédelmi szabályzattal ellátott ügyfélalkalmazással nem rendelkező rendszergazda, ez a szabályzat megakadályozza, hogy újból belépjen például az Intune és az Azure Portalra.

Minden felhasználó, minden felhőalkalmazás, minden eszközplatform esetében:

  • Hozzáférés letiltása – Ez a konfiguráció a teljes szervezetet letiltja.

Feltételes hozzáféréssel megszakított bejelentkezés

Az első módszer a megjelenő hibaüzenet megtekintése. Webböngészővel történő bejelentkezési problémák esetében maga a hibaoldal tartalmaz részletes információt. Ezek az információk önmagukban is leírhatják a problémát, és megoldást javasolhatnak.

Képernyőkép egy bejelentkezési hibáról, amely esetén megfelelő eszközre van szükség.

A fenti hibaüzenet szerint az alkalmazás csak olyan eszközökről vagy ügyfélalkalmazásokból érhető el, amelyek megfelelnek a vállalat mobileszköz-felügyeleti szabályzatának. Ilyenkor az alkalmazás és az eszköz nem felel meg a szabályzatnak.

Microsoft Entra bejelentkezési események

A második módszer, amellyel részletes információkat kaphat a bejelentkezési megszakításról, a Microsoft Entra bejelentkezési eseményeinek áttekintése annak megtekintéséhez, hogy mely feltételes hozzáférési szabályzatokat vagy szabályzatokat alkalmazták, és hogy miért.

A problémáról további információt a kezdeti hibaoldal További részletek elemére kattintva talál. A További részletek gombra kattintva olyan hibaelhárítási információk találhatók, amelyek hasznosak a Microsoft Entra bejelentkezési eseményeiben a felhasználó által látott vagy a Microsofttal kapcsolatos támogatási incidens megnyitásakor.

Képernyőkép a feltételes hozzáférés megszakadt webböngésző-bejelentkezés további részleteiről.

Annak kiderítéséhez, hogy mely feltételes hozzáférési szabályzat vagy szabályzatok blokkolták a bejelentkezést, tegye a következőt.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.

  3. Keresse meg az áttekintendő bejelentkezéshez tartozó eseményt. Adjon hozzá vagy távolítson el szűrőket és oszlopokat a szükségtelen adatok kiszűréséhez.

    1. A hatókör szűkítése szűrők hozzáadásával, például:
      1. A korrelációs azonosítót, ha egy adott eseményt kíván megvizsgálni.
      2. Feltételes hozzáférés a szabályzathibák és a sikeresség megtekintéséhez. Az eredmények számának korlátozása érdekében állítsa be úgy a szűrőt, hogy csak a meghiúsulásokat jelenítse meg.
      3. A felhasználónevet az adott felhasználókhoz kapcsolódó adatok megtekintéséhez.
      4. A kérdéses időszakra szűkített dátumot.

    Képernyőkép a feltételes hozzáférés szűrőjének kiválasztásáról a bejelentkezési naplóban.

  4. Miután megtalálta a felhasználó bejelentkezési hibájának megfelelő bejelentkezési eseményt, válassza a Feltételes hozzáférés lapot. A Feltételes hozzáférés lap azokat a szabályzatokat vagy szabályzatokat jeleníti meg, amelyek a bejelentkezés megszakítását eredményezték.

    1. A Hibaelhárítás és támogatás lapon található információk egyértelmű okot adhatnak arra, hogy miért hiúsult meg egy bejelentkezés, például egy olyan eszköz, amely nem felelt meg a megfelelőségi követelményeknek.
    2. A további vizsgálathoz részletezze a szabályzatok konfigurációját a Szabályzat nevére kattintva. A Szabályzat nevére kattintva megjelenik a kiválasztott szabályzat szabályzatkonfigurációs felhasználói felülete felülvizsgálatra és szerkesztésre.
    3. A feltételes hozzáférési szabályzat kiértékeléséhez használt ügyfélfelhasználó és eszközadatok is elérhetők a bejelentkezési esemény Alapadatok, Hely, Eszközadatok, Hitelesítés részletei és További részletek lapjain.

A szabályzat nem a várt módon működik

Egy bejelentkezési eseménynél a szabályzat jobb oldalán található három pontot kiválasztva megnyithatja a szabályzat részleteit. Ezzel a lehetőséggel a rendszergazdák további információkhoz juthatnak egy szabályzat sikeres vagy sikertelen működésének okáról.

A feltételes hozzáférési szabályzat részleteinek képernyőképe annak megtekintéséhez, hogy miért alkalmazták a szabályzatot vagy sem.

A bal oldalon a bejelentkezéskor gyűjtött adatok találhatók, a jobb oldalon pedig arról látható információ, hogy ezek az adatok megfelelnek-e az alkalmazott feltételes hozzáférési szabályzatok követelményeinek. A feltételes hozzáférési szabályzatok csak akkor érvényesek, ha minden feltétel teljesül vagy nincs konfigurálva.

Ha az esemény adatai nem elegendőek a bejelentkezési eredmények értelmezéséhez vagy a szabályzat a kívánt eredmények eléréséhez történő módosításához, érdemes igénybe venni a bejelentkezési diagnosztikai eszközt. A bejelentkezési diagnosztika itt található: Alapadatok>Esemény hibaelhárítása. A bejelentkezési diagnosztikáról további információkat a What is the sign-in diagnostic in Microsoft Entra ID című cikkben talál. A What If lehetőségelemzési eszközt is használhatja a feltételes hozzáférési szabályzatok hibaelhárításához.

Ha támogatási esetet kell beküldenie, adja meg a kérelem azonosítóját, valamint a bejelentkezési esemény időpontját és dátumát az incidensbeküldési részletek között. Ezek az információk lehetővé teszik, hogy a Microsoft ügyfélszolgálata megkeresse az Önt foglalkoztató eseményt.

Gyakori feltételes hozzáférési hibakódok

Bejelentkezési hiba kódja Hibasztring
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

A hibakódokkal kapcsolatos további információk a Microsoft Entra hitelesítési és engedélyezési hibakódok cikkben találhatók. A listában a hibakódok egy AADSTS előtaggal láthatók, amelyet a böngészőben megjelenő kód követ, például: AADSTS53002.

Szolgáltatásfüggőségek

Bizonyos esetekben a felhasználók le vannak tiltva, mert vannak olyan felhőalkalmazások, amelyek a feltételes hozzáférési szabályzat által letiltott erőforrásoktól függenek.

A szolgáltatásfüggőség meghatározásához ellenőrizze a bejelentkezési naplóban a bejelentkezés által meghívott alkalmazást és erőforrást. A következő képernyőképen a meghívott alkalmazás az Azure Portal, a meghívott erőforrás azonban a Windows Azure Service Management API. A forgatókönyv megfelelő megcélzásához az összes alkalmazást és erőforrást hasonlóan kell kombinálni a feltételes hozzáférési szabályzatban.

Képernyőkép egy bejelentkezési naplóról, amelyben egy erőforrást meghívó alkalmazás látható. Ezt a forgatókönyvet szolgáltatásfüggőségnek is nevezik.

Mi a teendő, ha ki van zárva?

Ha a feltételes hozzáférési szabályzat helytelen beállítása miatt kizárta a rendszerből:

  • Ellenőrizze, hogy vannak-e más rendszergazdák a szervezetben, akik még nincsenek letiltva. A hozzáféréssel rendelkező rendszergazdák letilthatják azt a házirendet, amely hatással van a bejelentkezésre.
  • Ha a szervezete egyik rendszergazdája sem tudja frissíteni a szabályzatot, hozzon létre egy támogatási kérést. A Microsoft ügyfélszolgálata áttekintheti és megerősítés után frissítheti a hozzáférést megakadályozó feltételes hozzáférési szabályzatokat.

Következő lépések