Устранение неполадок при входе с условным доступом

Сведения в этой статье можно использовать для устранения непредвиденных результатов входа, связанных с условным доступом с помощью сообщений об ошибках и журналов входа Microsoft Entra.

Выберите "все" последствия

Платформа условного доступа обеспечивает исключительную гибкость конфигурации. Тем не менее исключительная гибкость также означает, что во избежание нежелательных результатов необходимо внимательно просмотреть каждую политику конфигурации, прежде чем выпускать ее. В этом контексте следует уделить особое внимание назначениям, которые влияют на полные наборы, такие как все пользователи / группы / облачные приложения.

Какую из следующих конфигураций следует выбрать:

Для всех пользователей, всех облачных приложений:

  • Блокировка доступа — эта конфигурация блокирует всю организацию, что очевидно не требуется.
  • Требование отмечать устройство как соответствующее требованиям — для пользователей, которые еще не зарегистрировали свои устройства. Эта политика полностью блокирует доступ, включая доступ к порталу Intune. Если вы являетесь администратором без зарегистрированного устройства, эта политика блокирует возврат к политике.
  • Требование устройства с гибридным присоединением к домену Microsoft Entra — эта политика блокировки доступа также может блокировать доступ для всех пользователей в вашей организации, если у них нет устройства с гибридным присоединением к Microsoft Entra.
  • Требование политики защиты приложений — эта политика блокировки доступа также может блокировать доступ для всех пользователей в вашей организации, если у вас нет политики Intune. Если вы являетесь администратором без клиентского приложения, в котором есть политика защиты приложений Intune, то эта политика не позволит вам войти в порталы Intune, Azure и так далее.

Для всех пользователей, всех облачных приложений, всех платформ устройств:

  • Блокировка доступа — эта конфигурация блокирует всю организацию, что очевидно не требуется.

Прерывание входа условного доступа

Первый способ — проверить отображаемое сообщение об ошибке. Для проблем при входе в систему при использовании веб-браузера сама страница ошибки содержит подробную информацию. Эти сведения могут описать, что такое проблема, и может предложить решение.

Screenshot showing a sign in error where a compliant device is required.

В приведенной выше ошибке появляется сообщение о том, что доступ к приложению можно получить только с устройств или клиентских приложений, которые соответствуют политике управления мобильными устройствами компании. В этом случае приложение и устройство считаются не соответствующими политике.

События входа в Microsoft Entra

Второй способ получения подробных сведений о прерывании входа — изучить события входа в Microsoft Entra, чтобы узнать, какие политики условного доступа были применены и почему.

Чтобы получить дополнительные сведения о проблеме, щелкните Дополнительные сведения на начальной странице ошибки. При поиске событий входа Microsoft Entra для конкретного события сбоя пользователь увидел или при открытии инцидента поддержки с корпорацией Майкрософт, щелкнув дополнительные сведения об устранении неполадок.

Screenshot showing more details from a Conditional Access interrupted web browser sign-in.

Чтобы узнать, какая политика условного доступа или политики применены и зачем, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.

  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.

  3. Найдите событие входа для проверки. Добавьте или удалите фильтры и столбцы, чтобы отфильтровать ненужные сведения.

    1. Сузьте область, добавив такие фильтры:
      1. Идентификатор корреляции, если у вас есть определенное событие для изучения.
      2. Условный доступ , чтобы увидеть сбой политики и успешность. Область фильтра для отображения только ошибок, чтобы ограничить результаты.
      3. Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
      4. Дата в области, соответствующая рассматриваемому интервалу времени.

    Screenshot showing selecting the Conditional Access filter in the sign-in log.

  4. После события входа, соответствующего сбою входа пользователя, выберите вкладку условного доступа . На вкладке "Условный доступ" отображается определенная политика или политики, которые привели к прерыванию входа.

    1. Сведения на вкладке "Устранение неполадок и поддержка " могут привести к четкой причине того, почему вход произошел сбой, например устройство, которое не соответствовало требованиям соответствия требованиям.
    2. Для дальнейшего изучения выполните детализацию конфигурации политик, выбрав имя политики. При нажатии имени политики отображается пользовательский интерфейс конфигурации политики для выбранной политики для проверки и редактирования.
    3. Сведения о пользователе и устройстве клиента, которые использовались для оценки политики условного доступа, также доступны на вкладках Основные сведения, Место, Сведения об устройстве, Сведения о проверке подлинности и Дополнительные сведения о событии входа.

Политика не работает должным образом

При нажатии многоточия в правой части политики в событии входа в систему помещаются сведения о политике. Этот параметр дает администраторам дополнительные сведения о том, почему политика была успешно применена.

Screenshot showing Conditional Access Policy details to see why policy applied or not.

В левой части содержатся сведения, собранные при входе в систему, а в правой части содержится информация о том, удовлетворяют ли эти сведения требованиям примененных политик условного доступа. Политики условного доступа применяются только в том случае, если все условия удовлетворены или не настроены.

Если сведения в событии не позволяют понять результаты входа или настроить политику для получения нужных результатов, вы можете применить средство диагностики входов. Диагностику входов можно найти в разделе Основные сведения>Событие устранения неполадок. Дополнительные сведения о диагностике входов см. в статье Что такое диагностика входа в Microsoft Entra ID? Также можно использовать средство What If для устранения неполадок с политиками условного доступа.

Если вам придется создать запрос в службу поддержки, укажите в сопутствующих сведениях идентификатор запроса, дату и время события входа. Эта информация позволяет корпорации Майкрософт найти конкретное событие, о которое вы беспокоитесь.

Распространенные коды ошибок условного доступа

Код ошибки входа Строка ошибки
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Дополнительные сведения о кодах ошибок см. в статье Коды ошибок проверки подлинности и авторизации Microsoft Entra. Коды ошибок в списке состоят из префикса AADSTS и кода, который отображается в браузере, например AADSTS53002.

Зависимости служб

В некоторых конкретных сценариях пользователи блокируются, так как облачные приложения имеют зависимости от ресурсов, заблокированных политикой условного доступа.

Чтобы определить зависимость службы, проверьте журнал событий входа для приложения и ресурс, вызываемый при входе. На следующем снимке экрана вызванное приложение является порталом Azure, а вызванный ресурс — API управления службами Windows Azure. Для реализации этого сценария надлежащим образом все приложения и ресурсы должны быть одинаково объединены в политику условного доступа.

Screenshot that shows an example sign-in log showing an Application calling a Resource. This scenario is also known as a service dependency.

Что делать, если вы заблокированы

Если вы заблокированы из-за неправильного параметра в политике условного доступа:

  • Проверьте, есть ли в вашей организации администраторы, доступ которым не заблокирован. Администратор с доступом может отключить политику, влияющую на вход.
  • Если ни один из администраторов в вашей организации не может обновить политику, необходимо отправить запрос в службу поддержки. В службе технической поддержки Майкрософт проверят и обновят политики условного доступа, которые препятствуют доступу.

Следующие шаги