Diagnostica di accesso per gli scenari di Microsoft Entra

È possibile usare la diagnostica di accesso per Microsoft Entra ID per analizzare cosa è accaduto durante un tentativo di accesso e ottenere consigli per la risoluzione dei problemi senza dover coinvolgere il supporto Tecnico Microsoft.

Questo articolo offre una panoramica dei tipi di scenari che è possibile identificare e risolvere quando si usa questo strumento.

Come accedere alla diagnostica di accesso

Esistono tre modi per accedere allo strumento Diagnostica di accesso: dall'area Diagnostica e risoluzione dei problemi, dai log di accesso di Microsoft Entra e durante la creazione di una nuova richiesta di supporto. Per altre informazioni, vedere Come usare la diagnostica di accesso.

Accesso condizionale

I criteri di accesso condizionale vengono usati per applicare i controlli di accesso corretti quando necessario per proteggere l'organizzazione. Poiché i criteri di accesso condizionale possono essere usati per concedere o bloccare l'accesso alle risorse, spesso vengono visualizzati nella diagnostica di accesso.

• Bloccato dall'accesso condizionale

  • I criteri di accesso condizionale impedivano all'utente di accedere.

• Accesso condizionale non riuscito

  • È possibile che i criteri di accesso condizionale siano troppo rigidi.
  • Esaminare le configurazioni per i set completi di utenti, gruppi e app.
  • Assicurarsi di comprendere le implicazioni della limitazione dell'accesso da determinati tipi di dispositivi.

• Autenticazione a più fattori (MFA) dall'accesso condizionale

  • I criteri di accesso condizionale hanno attivato il processo di autenticazione a più fattori per l'utente.

• Accesso bloccato B2B a causa dell'accesso condizionale:

  • Sono disponibili criteri di accesso condizionale per impedire alle identità esterne di eseguire l'accesso.

Autenticazione a più fattori

Esistono diversi eventi correlati all'autenticazione a più fattori che è possibile risolvere i problemi usando lo strumento di diagnostica di accesso.

Autenticazione a più fattori in base ad altri requisiti

Se i risultati della diagnostica di accesso hanno mostrato l'autenticazione a più fattori da un requisito diverso dall'accesso condizionale, è possibile che l'autenticazione a più fattori sia abilitata per utente. È consigliabile convertire mfa per utente in accesso condizionale. La diagnostica di accesso fornisce informazioni dettagliate sull'origine dell'interruzione dell'autenticazione a più fattori e sul risultato dell'interazione.

"proofup" di MFA

Un altro scenario comune si verifica quando l'autenticazione a più fattori interrompe i tentativi di accesso. Quando si esegue la diagnostica di accesso, nei risultati di diagnostica vengono fornite informazioni su "proofup". Questo errore viene visualizzato quando gli utenti configurano l'autenticazione a più fattori per la prima volta e non completano la configurazione o la configurazione non è stata configurata in anticipo.

Correggere e credenziali non corrette

A volte gli utenti immettono solo le credenziali errate. Lo strumento di diagnostica di accesso consente di distinguere tra errori umani e altri problemi.

Accesso riuscito

In alcuni casi, si vuole sapere se gli eventi di accesso non vengono interrotti dall'accesso condizionale o dall'autenticazione a più fattori, ma devono essere. Lo strumento di diagnostica di accesso fornisce informazioni dettagliate sugli eventi di accesso che devono essere interrotti, ma non.

Account bloccato

Un altro scenario comune è quando un utente tenta di accedere con credenziali non corrette troppe volte. Questo errore si verifica quando si verificano troppi tentativi di accesso basati su password con credenziali non corrette. I risultati di diagnostica forniscono informazioni per l'amministratore per determinare da dove provengono i tentativi e se sono tentativi di accesso utente legittimi o meno. L'esecuzione della diagnostica di accesso fornisce informazioni dettagliate sulle app, sul numero di tentativi, sul dispositivo usato, sul sistema operativo e sull'indirizzo IP. Per altre informazioni, vedere Microsoft Entra Smart Lockout.

Nome utente o password non validi

Se un utente ha tentato di accedere usando un nome utente o una password non validi, la diagnostica di accesso consente all'amministratore di determinare l'origine del problema. L'origine potrebbe essere un utente che immette credenziali non corrette oppure un client e/o un'applicazione memorizzata nella cache di una vecchia password e la invia nuovamente. La diagnostica di accesso fornisce informazioni dettagliate sulle app, sul numero di tentativi, sul dispositivo usato, sul sistema operativo e sull'indirizzo IP.

App aziendali

Nelle applicazioni aziendali, esistono due punti in cui possono verificarsi problemi:

• Configurazione dell'applicazione provider di identità (Microsoft Entra ID)
• Il provider di servizi (servizio dell'applicazione, noto anche come configurazione dell'applicazione SaaS)

La diagnostica per questi problemi risolve il lato del problema da esaminare per la risoluzione e le operazioni da eseguire

Provider di servizi app aziendali

Se si è verificato l'errore quando un utente ha tentato di accedere a un'applicazione, l'accesso non è riuscito a causa di un problema con il lato del provider di servizi (applicazione) del flusso di accesso. I problemi rilevati dalla diagnosi di accesso devono in genere essere risolti modificando la configurazione o risolvendo i problemi nel servizio dell'applicazione. La risoluzione per questo scenario significa che è necessario accedere all'altro servizio e modificare alcune configurazioni in base alle indicazioni di diagnostica.

Configurazione delle app aziendali

L'accesso può non riuscire a causa di un problema di configurazione dell'applicazione per il lato MICROSOFT Entra ID dell'applicazione. In queste situazioni, la risoluzione richiede la revisione e l'aggiornamento della configurazione dell'applicazione nella pagina Applicazioni aziendali per l'applicazione.

Altri scenari

Anche la diagnostica di accesso può essere usata in vari scenari.

Impostazioni predefinite per la sicurezza

Gli eventi di accesso possono essere interrotti a causa delle impostazioni predefinite per la sicurezza. Le impostazioni predefinite per la sicurezza applicano la sicurezza delle procedure consigliate per l'organizzazione. Una procedura consigliata consiste nel richiedere la configurazione dell'autenticazione a più fattori e l'uso di password spraying, attacchi di riproduzione e tentativi di phishing.

Per altre informazioni, vedere Che cosa sono le impostazioni predefinite per la sicurezza?.

Informazioni dettagliate sul codice di errore

Quando un evento non dispone di un'analisi contestuale nella diagnostica di accesso, potrebbe essere visualizzata una spiegazione aggiornata del codice di errore e il contenuto pertinente. Le informazioni dettagliate sul codice di errore contengono testo dettagliato sullo scenario, come risolvere il problema e qualsiasi contenuto da leggere per quanto riguarda il problema.

Autenticazione legacy

Questo scenario implica un evento di accesso bloccato o interrotto perché il client tentava di usare l'autenticazione legacy (o di base).

È consigliabile impedire l'accesso all'autenticazione legacy come procedura consigliata per la sicurezza. I protocolli di autenticazione legacy come POP, SMTP, IMAP e MAPI non possono applicare l'autenticazione a più fattori, che li rende punti di ingresso preferiti per gli avversari per attaccare l'organizzazione.

Per altre informazioni, vedere Come bloccare l'autenticazione legacy a Microsoft Entra ID con accesso condizionale.

Accesso bloccato B2B a causa dell'accesso condizionale

Questo scenario di diagnostica rileva un accesso bloccato o interrotto a causa dell'utente proveniente da un'altra organizzazione. Ad esempio, un accesso B2B, in cui un criterio di accesso condizionale richiede che il dispositivo del client sia aggiunto al tenant della risorsa.

Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.

Bloccato dai criteri di rischio

Questo scenario è il caso in cui i criteri di Identity Protection blocchino un tentativo di accesso a causa del tentativo di accesso identificato come rischioso.

Per altre informazioni, vedere Come configurare e abilitare i criteri di rischio.

Autenticazione pass-through

Poiché l'autenticazione pass-trough è un'integrazione di tecnologie di autenticazione locali e cloud, può essere difficile determinare dove si trova il problema. Questa diagnostica è progettata per semplificare la diagnosi e la risoluzione di questi scenari.

Questo scenario di diagnostica identifica i problemi di accesso specifici dell'utente quando il metodo di autenticazione usato viene passato attraverso l'autenticazione (PTA) e si verifica un errore specifico di PTA. Gli errori causati da altri problemi, anche quando viene usata l'autenticazione PTA, continueranno a essere diagnosticati correttamente.

I risultati della diagnostica mostrano informazioni contestuali sull'errore e sull'accesso dell'utente. I risultati potrebbero mostrare altri motivi per cui l'accesso non è riuscito e le azioni consigliate che l'amministratore può eseguire per risolvere il problema. Per altre informazioni, vedere Microsoft Entra Connessione: Risolvere i problemi di autenticazione pass-through.

Accesso Single Sign-on facile

L'accesso Single Sign-On facile integra l'autenticazione Kerberos con l'autenticazione cloud. Poiché questo scenario prevede due protocolli di autenticazione, può essere difficile capire dove si trova un punto di errore quando si verificano problemi di accesso. Questa diagnostica è progettata per semplificare la diagnosi e la risoluzione di questi scenari.

Questo scenario di diagnostica esamina il contesto dell'errore di accesso e la causa specifica dell'errore. I risultati della diagnostica possono includere informazioni contestuali sul tentativo di accesso e azioni suggerite che l'amministratore può eseguire. Per altre informazioni, vedere Risolvere i problemi relativi all'accesso Single Sign-On facile di Microsoft Entra.