Sdílet prostřednictvím

Řešení potíží s přihlášením s využitím podmíněného přístupu

  • Článek

Tento článek slouží k řešení potíží s neočekávanými výsledky přihlášení souvisejícími s podmíněným přístupem pomocí chybových zpráv a protokolů přihlášení Microsoft Entra.

Vyberte všechny důsledky.

Architektura podmíněného přístupu poskytuje skvělou flexibilitu konfigurace. Velká flexibilita ale také znamená, že byste měli pečlivě kontrolovat všechny zásady konfigurace, než je vydáte, abyste se vyhnuli nežádoucím výsledkům. V tomto kontextu věnujte zvláštní pozornost přiřazením, která ovlivňují kompletní sady, jako jsou všichni uživatelé / skupiny / cloudové aplikace.

Organizace by se měly vyhýbat následujícím konfiguracím:

Pro všechny uživatele všechny prostředky:

  • Blokovat přístup – Tato konfigurace blokuje celou organizaci.
  • Vyžadovat, aby zařízení bylo označené jako vyhovující – V případě uživatelů, kteří svá zařízení ještě nezaregistrovali, tyto zásady zablokují veškerý přístup, včetně přístupu k portálu Intune. Pokud jste správcem bez zaregistrovaného zařízení, tyto zásady vám zablokují přístup, takže je nebudete moct změnit.
  • Vyžadovat hybridní zařízení připojené k doméně Microsoft Entra – tato zásada má také potenciál blokovat přístup všem uživatelům ve vaší organizaci, pokud nemají zařízení připojené k hybridnímu připojení Microsoft Entra.
  • Vyžadovat zásady ochrany aplikací – tato zásada může také blokovat přístup pro všechny uživatele ve vaší organizaci, pokud zásady Intune nemáte. Pokud jste správcem bez klientské aplikace se zásadami ochrany aplikací Intune, tyto zásady vám zablokují přístup k portálům, jako jsou portál Intune nebo Azure Portal.

Pro všechny uživatele všechny prostředky, všechny platformy zařízení:

  • Blokovat přístup – Tato konfigurace zablokuje celou organizaci.

Přerušení přihlášení s využitím podmíněného přístupu

Zkontrolujte zobrazenou chybovou zprávu. V případě problémů s přihlášením při použití webového prohlížeče samotná chybová stránka obsahuje podrobné informace. Tyto informace můžou samotný problém popsat a navrhnout řešení.

Snímek obrazovky znázorňující chybu přihlášení, kde je vyžadováno vyhovující zařízení

Výše uvedená chybová zpráva uvádí, že k aplikaci je možné přistupovat pouze ze zařízení nebo klientských aplikací, které splňují zásady správy mobilních zařízení společnosti. V takovém případě aplikace a zařízení nesplňují zásady.

Události přihlášení ve službě Microsoft Entra

Druhou možností, jak získat podrobné informace o přerušení přihlášení, je zkontrolovat události přihlášení k Microsoft Entra, abyste zjistili, které zásady podmíněného přístupu se použily a proč.

Další informace o problému najdete kliknutím na Další podrobnosti na úvodní chybové stránce. Kliknutím na Další podrobnosti zobrazíte informace o řešení potíží, které jsou užitečné při vyhledávání událostí přihlášení Microsoft Entra pro konkrétní událost selhání, kterou uživatel viděl nebo při otevření incidentu podpory u Microsoftu.

Snímek obrazovky ukazující více podrobností o přihlášení do webového prohlížeče, které bylo přerušeno podmíněným přístupem.

Pokud chcete zjistit, které zásady podmíněného přístupu nebo zásady se použily a proč, postupujte podle těchto kroků.

  1. Přihlaste se do centra pro správu Microsoft Entra alespoň s rolí čtenář sestav.

  2. Přejděte na Identita>Monitorování a zdraví>Protokoly přihlášení.

  3. Vyhledejte přihlašovací událost, kterou chcete zkontrolovat. Přidáním nebo odebráním filtrů a sloupců vyfiltrujte nepotřebné informace.

    1. Zužte rozsah přidáním filtrů, jako jsou:
      1. ID korelace, pokud chcete prozkoumat konkrétní událost.
      2. Podmíněný přístup k zobrazení selhání a úspěchu zásad Nastavte rozsah filtru tak, aby se zobrazila pouze selhání (a tedy méně výsledků).
      3. Uživatelské jméno, pokud chcete zobrazit informace související s konkrétními uživateli.
      4. Datum vymezené na daný časový rámec.

    Snímek obrazovky znázorňující výběr filtru podmíněného přístupu v protokolu přihlašování

  4. Po vyhledání události přihlášení, která odpovídá selhání přihlášení uživatele, vyberte kartu podmíněný přístup. Na kartě Podmíněný přístup se zobrazují konkrétní zásady nebo zásady, které způsobily přerušení přihlášení.

    1. Informace na kartě Řešení potíží a podpory můžou poskytnout jasný důvod, proč přihlášení selhalo, například zařízení, které nesplňuje požadavky na dodržování předpisů.
    2. Pokud chcete prozkoumat další informace, přejděte k podrobnostem o konfiguraci zásad kliknutím na název zásady. Kliknutím na název zásady zobrazíte uživatelské rozhraní konfigurace zásad pro vybranou zásadu pro kontrolu a úpravy.
    3. Informace o uživateli klienta a podrobnosti o zařízení použité při hodnocení zásad podmíněného přístupu jsou k dispozici také na kartách Základní informace, Umístění, Informace o zařízení, Podrobnosti o ověřování a Další podrobnosti pro událost přihlášení.

Zásady nefungují podle očekávání

Výběrem tří teček na pravé straně zásad v události přihlášení se zobrazí podrobnosti o těchto zásadách. Tato možnost správcům poskytuje další informace o tom, proč se zásada úspěšně použila nebo ne.

Snímek obrazovky zobrazující podrobnosti o zásadách podmíněného přístupu a zjistěte, proč se zásady použily nebo ne.

Na levé straně najdete podrobnosti shromážděné při přihlášení a na pravé straně najdete podrobnosti o tom, jestli tyto údaje splňují požadavky použitých zásad podmíněného přístupu. Zásady podmíněného přístupu se použijí pouze v případě, že jsou všechny podmínky splněné nebo nejsou nakonfigurované.

Pokud informace v události nestačí k pochopení výsledků přihlášení nebo úpravě zásad tak, aby získaly požadované výsledky, použijte diagnostický nástroj pro přihlášení. Diagnostika přihlašování je pod Základní informace>Diagnostika události. Další informace o diagnostice přihlašování najdete v tématu Co je diagnostika přihlašování v Microsoft Entra ID. Můžete také použít nástroj What If, abyste řešili potíže se zásadami podmíněného přístupu.

Pokud potřebujete odeslat incident podpory, v podrobnostech o odesílaném incidentu zadejte ID požadavku a čas a datum z události přihlášení. Tyto informace umožňují podpoře Microsoftu najít konkrétní událost, o kterou máte obavy.

Běžné kódy chyb podmíněného přístupu

Kód chyby přihlášení Řetězec chyb
53000 Zařízení není v souladu
53001 Zařízení_Není_připojeno_k_domeně
53002 Použitá aplikace není schválená aplikace
53003 Blokováno podmíněným přístupem
53004 DůkazZablokovánKvůliRiziku

Další informace o kódech chyb najdete v článku Kódy chyb autorizace a ověřování Microsoft Entra. Kódy chyb jsou v seznamu uvedené s předponou AADSTS následovanou kódem zobrazeným v prohlížeči, např. AADSTS53002.

Závislosti služeb

V některých scénářích jsou uživatelé blokovaní, protože cloudové aplikace závisí na prostředcích blokovaných zásadami podmíněného přístupu.

Pokud chcete určit závislost služby, zkontrolujte přihlašovací protokol pro aplikaci a prostředek volaný při přihlášení. Na následujícím snímku obrazovky se nazývá aplikace Azure Portal, ale prostředek se nazývá rozhraní API pro správu služeb Azure pro Windows. Ke správnému zpracování tohoto scénáře je potřeba v zásadách podmíněného přístupu použít podobnou kombinaci všech aplikací a prostředků.

Snímek obrazovky, který ukazuje ukázkový protokol přihlášení, zobrazuje aplikaci, která volá prostředek. Tento scénář se také označuje jako závislost služby.

Co dělat, když jste uzamčení

Pokud jste uzamčení kvůli nesprávnému nastavení v zásadách podmíněného přístupu:

  • Zkontrolujte, jestli ve vaší organizaci ještě nejsou blokovaní další správci. Správce s přístupem může zakázat zásady, které mají vliv na vaše přihlášení.
  • Pokud žádný ze správců ve vaší organizaci nemůže tyto zásady aktualizovat, odešlete žádost o podporu. Podpora Microsoftu může zkontrolovat a po potvrzení aktualizovat zásady podmíněného přístupu, které brání přístupu.

Další kroky