Was ist die Anmeldediagnose in Microsoft Entra ID?
Die Gründe für eine fehlgeschlagene Anmeldung zu ermitteln, kann zu einer großen Herausforderung werden. Sie müssen analysieren, was während des Anmeldeversuchs passiert ist, und anschließend die verfügbaren Empfehlungen untersuchen, um das Problem zu beheben. Im Idealfall möchten Sie das Problem lösen, ohne andere Personen, z. B. den Microsoft-Support, einzuschalten. Wenn Sie sich in einer solchen Situation befinden, ist die Anmeldediagnose in Microsoft Entra ID hilfreich. Hierbei handelt es sich um ein Tool, mit dem Sie Anmeldevorgänge in Microsoft Entra ID überprüfen können.
In diesem Artikel erhalten Sie eine Übersicht über die Anmeldediagnose und erfahren, wie Sie diese zur Problembehandlung von Anmeldefehlern verwenden können.
Voraussetzungen
So verwenden Sie die Anmeldediagnose
- Sie müssen mindestens als Globaler Leser angemeldet sein.
- Für mache Informationen des Anmeldeprotokolls sind unter Umständen andere Rollen, wie z. B. Administrator für bedingten Zugriff, erforderlich.
- Gekennzeichnete Anmeldeereignisse können auch über die Anmeldediagnose überprüft werden.
- Gekennzeichnete Anmeldeereignisse werden erfasst, nachdem ein Benutzer die Kennzeichnung während seiner Anmeldeerfahrung aktiviert hat.
- Weitere Informationen finden Sie unter gekennzeichnete Anmeldungen.
Wie funktioniert dies?
In Microsoft Entra ID werden Anmeldeversuche durch Folgendes gesteuert:
- Wer hat einen Anmeldeversuch ausgeführt.
- Wie wurde der Anmeldeversuch ausgeführt.
Sie können z. B. Richtlinien für den bedingten Zugriff konfigurieren, die es Administratoren ermöglichen, alle Aspekte des Mandanten zu konfigurieren, wenn sie sich über das Unternehmensnetzwerk anmelden. Derselbe Benutzer kann jedoch blockiert werden, wenn er sich von einem nicht vertrauenswürdigen Netzwerk aus bei demselben Konto anmeldet.
Aufgrund der größeren Flexibilität des Systems bei der Reaktion auf einen Anmeldeversuch kann es zu Szenarien kommen, in denen Sie eine Problembehandlung für Anmeldungen durchführen müssen. Das Anmeldediagnosetool ermöglicht die Diagnose von Anmeldeproblemen durch:
- Analysieren von Daten aus Anmeldeereignissen und gekennzeichneten Anmeldungen.
- Informationen darüber anzeigt, was passiert ist.
- Empfehlungen zum Beheben von Problemen bereitstellt.
So greifen Sie auf die Anmeldediagnose zu
Es gibt drei Möglichkeiten, auf die Anmeldediagnose in Microsoft Entra ID zuzugreifen. Wählen Sie eine Registerkarte aus, um mehr über die einzelnen Methoden zu erfahren.
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Sie können die Anmeldediagnose aus dem Bereich Diagnostizieren und Lösen von Problemen in Microsoft Entra ID starten. Aus dem Bereich „Diagnostizieren und Lösen von Problemen“ können Sie alle gekennzeichneten Anmeldeereignisse überprüfen oder nach einem bestimmten Anmeldeereignis suchen. Sie können diesen Prozess auch im Bereich Diagnose und Lösung von Problemen für bedingten Zugriff starten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
Navigieren Sie zu Diagnose und Lösung von Problemen am oberen Rand der linken Navigation.
- Sie können auch auf Diagnose und Lösung von Problemen über bedingten Zugriff, Benutzer, Gruppen, Identitätsschutz und Multi-Faktor-Authentifizierung zugreifen.
Wählen Sie den Link Problembehandlung auf der Kachel Anmeldediagnose aus.
Wählen Sie die Registerkarte Alle Anmeldeereignisse aus, um eine Suche zu starten.
- In einigen Fällen beginnt das System automatisch, nach gekennzeichneten Anmeldeereignissen zu suchen. Wenn nichts gefunden wird, werden Sie zur Registerkarte Alle Anmeldeereignisse umgeleitet.
Geben Sie so viele Details wie möglich in die Suchfelder ein.
- Benutzer: Geben Sie den Namen oder die E-Mail-Adresse der Person an, die den Anmeldeversuch durchführte.
- Anwendung: Geben Sie den Anzeigenamen der Anwendung oder die Anwendungs-ID an.
- correlationId oder requestId: Diese Details können im Fehlerbericht oder in den Anmeldeprotokolldetails gefunden werden.
- Datum und Uhrzeit: Geben Sie ein Datum und eine Uhrzeit an, um nach Anmeldeereignissen zu suchen, die innerhalb von 48 Stunden aufgetreten sind.
Wählen Sie die Schaltfläche Weiter aus.
Untersuchen Sie die Ergebnisse, und ergreifen Sie nach Bedarf Maßnahmen.
Verwenden der Diagnoseergebnisse
Nachdem die Anmeldediagnose die Suche abgeschlossen hat, werden einige Dinge auf dem Bildschirm angezeigt.
In der Authentifizierungszusammenfassung werden alle Ereignisse aufgelistet, die mit den von Ihnen angegebenen Details übereinstimmen. Wählen Sie in der oberen rechten Ecke der Zusammenfassung die Option Spalten anzeigen aus, um die Spalten zu ändern, die erscheinen.
Die Diagnoseergebnisse beschreiben, was während der Anmeldeereignisse passiert ist.
Szenarien können MFA-Anforderungen aus einer Richtlinie für bedingten Zugriff umfassen, Anmeldeereignisse, für die möglicherweise eine Richtlinie für bedingten Zugriff angewendet werden muss, oder eine große Anzahl fehlgeschlagener Anmeldeversuche in den letzten 48 Stunden.
Verwandte Inhalte und Links zu Problembehandlungstools können bereitgestellt werden.
Lesen Sie die Ergebnisse durch, um alle Aktionen zu identifizieren, die Sie ausführen können.
Da es nicht immer möglich ist, Probleme ohne weitere Hilfe zu beheben, empfiehlt es sich, in einem weiteren Schritt ein Supportticket zu öffnen.
Gängige Szenarien
Lesen Sie die Tipps im folgenden Abschnitt für einige gängige Szenarien, in denen die Anmeldediagnose hilfreiche Informationen zur Problembehandlung bereitstellen kann.
Bedingter Zugriff
Richtlinien für den bedingten Zugriff werden verwendet, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten. Da Richtlinien für bedingten Zugriff verwendet werden können, um den Zugriff auf Ressourcen zu gewähren oder zu blockieren, tauchen sie häufig in der Anmeldediagnose auf.
Blockiert durch bedingten Zugriff: Ihre Richtlinien für bedingten Zugriff haben die Anmeldung durch den Benutzer verhindert.
Fehler beim bedingten Zugriff: Möglicherweise sind Ihre Richtlinien für bedingten Zugriff zu streng. Überprüfen Sie Ihre Konfigurationen auf vollständige Gruppen von Benutzern, Gruppen und Anwendungen. Stellen Sie sicher, dass Sie die Auswirkungen von Zugriffsbeschränkungen bestimmter Gerätetypen kennen.
Multi-Faktor-Authentifizierung (MFA) bei bedingtem Zugriff: Ihre Richtlinien für bedingten Zugriff haben den MFA-Prozess für den Benutzer ausgelöst.
Durch B2B blockierte Anmeldung aufgrund des bedingten Zugriffs: Sie haben eine Richtlinie für bedingten Zugriff erstellt, um die Anmeldung externer Identitäten zu blockieren.
Mehrstufige Authentifizierung
Es gibt mehrere mit der Multi-Faktor-Authentifizierung (MFA) zusammenhängende Ereignisse, die Sie mithilfe des Anmeldediagnosetools beheben können.
MFA aufgrund sonstiger Anforderungen: Wenn in den Ergebnissen der Anmeldediagnose die Multi-Faktor-Authentifizierung aus einer anderen Anforderung als dem bedingten Zugriff angezeigt wurde, ist sie möglicherweise benutzerbasiert aktiviert. Es wird empfohlen, die benutzerbasierte MFA in einen bedingten Zugriff zu konvertieren. Die Anmeldediagnose enthält Details zur Quelle der MFA-Unterbrechung und zum Ergebnis der Interaktion.
MFA-„Proofup“: MFA hat den Anmeldeversuch unterbrochen, weshalb Informationen zu „Proofup“ in den Diagnoseergebnissen enthalten sind. Dieser Fehler wird angezeigt, wenn Benutzer die MFA zum ersten Mal einrichten und das Setup nicht abschließen, oder ihre Konfiguration nicht im Vorfeld eingerichtet wurde.
Korrekte und falsche Anmeldedaten: Manchmal geben Benutzer einfach die falschen Anmeldedaten ein. Das Anmeldediagnosetool kann dabei helfen, zwischen menschlichem Fehler und anderen Problemen zu unterscheiden.
Erfolgreiche Anmeldung: In manchen Fällen möchten Sie wissen, ob Anmeldeereignisse nicht durch bedingten Zugriff oder MFA unterbrochen werden, obwohl das der Fall sein sollte. Das Anmeldediagnosetool enthält Details zu Anmeldeereignissen, die hätten unterbrochen werden sollen, aber nicht unterbrochen wurden.
Konto gesperrt: Ein Benutzer hat zu oft versucht, sich mit falschen Anmeldedaten anzumelden. Anhand der Diagnoseergebnisse lässt sich bestimmen, woher die Versuche stammen und ob es sich um legitime Anmeldeversuche eines Benutzers handelt. Es werden Details zu den Apps, zur Anzahl der Versuche, zum verwendeten Gerät, zum Betriebssystem und zur IP-Adresse angegeben. Weitere Informationen finden Sie unter Microsoft Entra Smart Lockout.
Ungültiger Benutzername oder ungültiges Kennwort: Wenn ein Benutzer versucht, sich mit einem ungültigen Benutzernamen oder ungültigen Kennwort anzumelden, enthält die Anmeldediagnose Details zu den Apps, zur Anzahl der Versuche, zum verwendeten Gerät, zum Betriebssystem und zur IP-Adresse. Anhand dieser Informationen können Sie ermitteln, ob der Benutzer falsche Anmeldedaten eingegeben hat oder ob die Anwendung ein altes Kennwort zwischengespeichert hat und erneut übermittelt.
Unternehmens-Apps
In Unternehmensanwendungen können Probleme mit der Anwendungskonfiguration des Identitätsanbieters (Microsoft Entra ID) oder der Konfiguration des Dienstanbieters (Anwendungsdienst, auch als SaaS-Anwendung bezeichnet) auftreten.
Dienstanbieter für Unternehmensanwendungen: Wenn die Anmeldung aufgrund eines Problems auf der Seite des Dienstanbieters (Anwendung) im Anmeldefluss fehlgeschlagen ist, müssen die Probleme im Anwendungsdienst behoben werden. Sie müssen sich beim anderen Dienst anmelden und die Konfiguration gemäß den Diagnoseleitfäden ändern.
Konfiguration von Unternehmensanwendungen: Wenn die Anmeldung aufgrund eines Konfigurationsproblems auf der Seite von Microsoft Entra ID in der Anwendung fehlgeschlagen ist, müssen Sie die Konfiguration der Anwendung in den Unternehmensanwendungen überprüfen und aktualisieren.
Sicherheitsstandards
Anmeldeereignisse können aufgrund von Einstellungen für Sicherheitsstandards unterbrochen werden. Mithilfe von Sicherheitsstandards werden für Ihre Organisation die bewährten Sicherheitsmethoden erzwungen. Eine bewährte Methode besteht darin, die Konfiguration und Nutzung der Multi-Faktor-Authentifizierung zu erzwingen, um zu verhindern, dass Kennwort-Spray-Angriffe, Replay-Angriffe und Phishing-Versuche erfolgreich sind.
Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?.
Einblicke in Fehlercode
Wenn ein Ereignis keine kontextbezogene Analyse in der Anmeldediagnose aufweist, wird möglicherweise eine aktualisierte Fehlercodeerklärung und relevanter Inhalt angezeigt. Die Fehlercode-Erkenntnisse enthalten detaillierten Text zum Szenario, zur Behebung des Problems und alle Inhalte, die in Bezug auf das Problem gelesen werden müssen.
Legacyauthentifizierung
Dieses Szenario umfasst ein Anmeldeereignis, das blockiert oder unterbrochen wurde, weil der Client versucht hat, die Legacy-Authentifizierung (oder Standardauthentifizierung) zu verwenden.
Als bewährte Sicherheitsmethode empfehlen wir Ihnen, Anmeldungen per Legacy-Authentifizierung zu verhindern. Bei Legacy-Authentifizierungsprotokollen, z. B. POP, SMTP, IMAP und MAPI, kann die MFA nicht erzwungen werden. Aus diesem Grund werden diese Protokolle bevorzugt für Angriffe auf Ihr Unternehmen genutzt.
Weitere Informationen finden Sie unter Gewusst wie: Blockieren der Legacyauthentifizierung bei Microsoft Entra ID mit bedingtem Zugriff.
Durch B2B blockierte Anmeldung aufgrund des bedingten Zugriffs
In diesem Diagnoseszenario wird eine blockierte oder unterbrochene Anmeldung entdeckt, da der Nutzer aus einer anderen Organisation stammt. Beispiel: Eine B2B-Anmeldung, bei der eine Richtlinie für bedingten Zugriff erfordert, dass das Gerät des Clients mit dem Ressourcenmandanten verknüpft ist.
Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.
Blockiert durch Benutzerrisikorichtlinie
In diesem Szenario blockieren risikobasierte Richtlinien für bedingten Zugriff einen Anmeldeversuch, weil der Anmeldeversuch als riskant identifiziert wurde.
Weitere Informationen finden Sie unter Gewusst wie: Konfigurieren und Aktivieren von Richtlinien.
Passthrough-Authentifizierung
Da bei der Passtrough-Authentifizierung lokale und cloudbasierte Authentifizierungstechnologien integriert werden, kann es schwierig sein, die Ursache des Problems zu ermitteln. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.
In diesem Diagnoseszenario werden benutzerspezifische Anmeldeprobleme identifiziert, wenn als Authentifizierungsmethode die Passthrough-Authentifizierung (PTA) verwendet wird und ein PTA-spezifischer Fehler auftritt. Fehler aufgrund anderer Probleme werden auch dann ordnungsgemäß diagnostiziert, wenn die PTA-Authentifizierung verwendet wird.
In den Diagnoseergebnissen werden Kontextinformationen zum Fehler und zur Anmeldung des Benutzers angezeigt. Die Ergebnisse könnten auch andere Gründe für einen Fehler bei der Anmeldung und andere empfohlene Aktionen zur Behebung des Problems für den Administrator anzeigen. Weitere Informationen finden Sie unter Behandlung von Problemen bei der Microsoft Entra-Passthrough-Authentifizierung.
Nahtloses einmaliges Anmelden
Durch nahtloses einmaliges Anmelden wird die Kerberos-Authentifizierung in die Cloudauthentifizierung integriert. In diesem Szenario kommen zwei Authentifizierungsprotokolle zum Einsatz. Daher kann es schwierig sein, nachzuvollziehen, wo der Fehlerpunkt liegt, wenn Probleme bei der Anmeldung auftreten. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.
In diesem Diagnoseszenario werden der Kontext des Anmeldefehlers und die spezifische Fehlerursache untersucht. Die Diagnoseergebnisse können kontextbezogene Informationen zum Anmeldeversuch sowie empfohlene Aktionen enthalten, die der Administrator ausführen kann. Weitere Informationen finden Sie unter Problembehandlung für das nahtlose einmalige Anmelden von Microsoft Entra.