Delen via

Problemen met aanmelden met behulp van voorwaardelijke toegang oplossen

  • Artikel

Gebruik dit artikel om onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang op te lossen met behulp van foutberichten en aanmeldingslogboeken van Microsoft Entra.

Alle gevolgen selecteren

Het framework voor voorwaardelijke toegang biedt veel flexibiliteit bij de configuratie. Geweldige flexibiliteit betekent echter ook dat u elk configuratiebeleid zorgvuldig moet controleren voordat u het vrijgeeft, om ongewenste resultaten te voorkomen. In deze context moet u speciale aandacht besteden aan toewijzingen die van invloed zijn op volledige sets, zoals alle gebruikers/groepen/cloud-apps.

Organisaties moeten de volgende configuraties vermijden:

Voor alle gebruikers, alle bronnen:

  • Toegang blokkeren: met deze configuratie blokkeert u de hele organisatie.
  • Vereisen dat het apparaat is gemarkeerd als compatibel: voor gebruikers die hun apparaten nog niet hebben geregistreerd, blokkeert dit beleid alle toegang, inclusief toegang tot de Intune-portal. Als u beheerder bent zonder geregistreerd apparaat, blokkeert dit beleid dat u terugkomt om het beleid te wijzigen.
  • Vereist Hybride Microsoft Entra-domeinverbonden apparaat: dit beleid kan ook de toegang voor alle gebruikers in uw organisatie blokkeren als ze geen hybride verbonden apparaat van Microsoft Entra hebben.
  • Beveiligingsbeleid voor apps vereisen: dit beleid heeft ook de mogelijkheid om de toegang voor alle gebruikers in uw organisatie te blokkeren als u geen Intune-beleid hebt. Als u beheerder bent zonder clienttoepassing met Intune app-beveiligingsbeleid, blokkeert dit beleid dat u weer toegang krijgt tot portalen, zoals Intune en Azure.

Voor alle gebruikers, alle resources, alle apparaatplatformen:

  • Toegang blokkeren: met deze configuratie blokkeert u uw hele organisatie.

Onderbreking bij aanmelden door voorwaardelijke toegang

Bekijk het foutbericht dat wordt weergegeven. Voor problemen met aanmelden bij het gebruik van een webbrowser bevat de foutpagina zelf gedetailleerde informatie. Deze informatie kan alleen het probleem beschrijven en een oplossing voorstellen.

Schermopname van een aanmeldingsfout waarbij een apparaat vereist is dat aan de vereisten voldoet.

In de bovenstaande fout wordt aangegeven dat de toepassing alleen toegankelijk is vanaf apparaten of clienttoepassingen die voldoen aan het beleid voor beheren van mobiele apparaten van het bedrijf. In dit geval voldoen de toepassing en het apparaat niet aan het beleid.

Inloggebeurtenissen van Microsoft Entra

De tweede methode voor gedetailleerde informatie over de onderbreking van de aanmelding is het controleren van de Microsoft Entra-aanmeldingsgebeurtenissen om te zien welk beleid of beleid voor voorwaardelijke toegang is toegepast en waarom.

Meer informatie vindt u over het probleem door te klikken op Meer details op de eerste foutpagina. Als u op Meer details klikt, wordt informatie over probleemoplossing weergegeven die nuttig is bij het doorzoeken van de aanmeldingsgebeurtenissen van Microsoft Entra voor de specifieke foutgebeurtenis die de gebruiker heeft gezien of bij het openen van een ondersteuningsincident met Microsoft.

Screenshot met meer details over een onderbroken aanmelding in een webbrowser voor Voorwaardelijke Toegang.

Volg deze stappen om erachter te komen welk beleid of beleid voor voorwaardelijke toegang is toegepast en waarom.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als u ten minste een lezer van rapportenbent.

  2. Blader naar Identiteit>Bewaking en status>Aanmeldingslogboeken.

  3. Zoek het evenement voor het inloggen om te beoordelen. Filters en kolommen toevoegen of verwijderen om overbodige informatie uit te filteren.

    1. Beperk het bereik door filters toe te voegen, zoals:
      1. Correlatie-id wanneer u een specifieke gebeurtenis hebt om te onderzoeken.
      2. Voorwaardelijke toegang om beleidsfouten en geslaagde pogingen te zien. Beperk uw filter om alleen fouten weer te geven en de resultaten te beperken.
      3. Gebruikersnaam voor informatie met betrekking tot specifieke gebruikers.
      4. Datum die betrekking heeft op de betreffende periode.

    Schermopname van het selecteren van het filter voor voorwaardelijke toegang in het aanmeldingslogboek.

  4. Nadat u de aanmeldingsgebeurtenis hebt gevonden die overeenkomt met de aanmeldingsfout van de gebruiker, selecteert u het tabblad Voorwaardelijke toegang. Op het tabblad Voorwaardelijke toegang ziet u het specifieke beleid of beleid dat heeft geresulteerd in een onderbreking van de aanmelding.

    1. Informatie op het tabblad Probleemoplossing en ondersteuning kan een duidelijke reden bieden waarom een aanmelding is mislukt, zoals een apparaat dat niet voldoet aan de nalevingsvereisten.
    2. Als u verder wilt onderzoeken, zoomt u in op de configuratie van het beleid door op de beleidsnaam te klikken. Als u op de beleidsnaam klikt, wordt de gebruikersinterface van de beleidsconfiguratie voor het geselecteerde beleid weergegeven voor controle en bewerking.
    3. De details van de clientgebruiker en het apparaat die zijn gebruikt voor de evaluatie van het beleid voor voorwaardelijke toegang, zijn ook beschikbaar op de tabbladen Basisgegevens, Locatie, Apparaatgegevens, Verificatiedetails en Aanvullende details van de aanmeldingsgebeurtenis.

Beleid werkt niet zoals bedoeld

Als u de ellips rechts van het beleid in een inlog gebeurtenis selecteert, worden de beleidsgegevens weergegeven. Deze optie biedt beheerders aanvullende informatie over waarom een beleid al dan niet is toegepast.

Schermopname van beleidsdetails voor voorwaardelijke toegang om te zien waarom beleid is toegepast of niet.

Aan de linkerkant vindt u details die worden verzameld bij het aanmelden en aan de rechterkant vindt u details over of deze details voldoen aan de vereisten van het toegepaste beleid voor voorwaardelijke toegang. Beleid voor voorwaardelijke toegang is alleen van toepassing wanneer aan alle voorwaarden wordt voldaan of niet is geconfigureerd.

Als de informatie in de gebeurtenis niet voldoende is om de aanmeldingsresultaten te begrijpen of het beleid aan te passen om de gewenste resultaten te verkrijgen, gebruikt u het diagnostische hulpprogramma voor aanmelding. De aanmeldingsdiagnose bevindt zich onder Basisinfo>Problemen met evenementen oplossen. Zie voor meer informatie over de aanmelddiagnose in Microsoft Entra ID Wat is de aanmelddiagnose in Microsoft Entra ID. U kunt ook het hulpprogramma What If gebruiken om problemen met beleid voor voorwaardelijke toegang op te lossen.

Als u een ondersteuningsincident moet indienen, geeft u de aanvraag-id, de tijd en de datum van de aanmeldingsgebeurtenis op in de details bij het indienen van het incident. Met deze informatie kan Microsoft Ondersteuning de specifieke gebeurtenis vinden waarover u zich zorgen maakt.

Veelvoorkomende foutcodes voor voorwaardelijke toegang

Foutcode voor aanmelding Foutmelding
53000 Niet-conform apparaat
53001 ApparaatNietAanDomeinGekoppeld
53002 De gebruikte applicatie is geen goedgekeurde app.
53003 GeblokkeerdDoorVoorwaardelijkeToegang
53004 ProofUpGeblokkeerdVanwegeRisico

Meer informatie over foutcodes vindt u in het artikel Microsoft Entra-foutcodes voor verificatie en autorisatie. Foutcodes in de lijst worden weergegeven met het voorvoegsel AADSTS gevolgd door de code die in de browser wordt weergegeven, bijvoorbeeld AADSTS53002.

Service-afhankelijkheden

In sommige scenario's worden gebruikers geblokkeerd omdat cloud-apps afhankelijk zijn van resources die worden geblokkeerd door beleid voor voorwaardelijke toegang.

Als u de serviceafhankelijkheid wilt bepalen, controleert u het aanmeldingslogboek voor de toepassing en de bron die door de aanmelding worden aangeroepen. In deze schermopname is de aangeroepen toepassing Azure Portal, maar de resource die wordt aangeroepen is Windows Azure Service Management API. Om dit scenario op de juiste manier in te richten, moeten alle toepassingen en bronnen op dezelfde manier worden gecombineerd in het beleid voor voorwaardelijke toegang.

Schermopname van een voorbeeld van een aanmeldingslogboek met een toepassing die een resource aanroept. Dit scenario wordt ook wel een serviceafhankelijkheid genoemd.

Wat te doen als u bent buitengesloten

Als u bent vergrendeld vanwege een onjuiste instelling in een beleid voor voorwaardelijke toegang:

  • Controleer of er nog andere beheerders in uw organisatie zijn die nog niet zijn geblokkeerd. Een beheerder met toegang kan het beleid uitschakelen dat van invloed is op uw aanmelding.
  • Als geen van de beheerders in uw organisatie het beleid kan bijwerken, dient u een ondersteuningsaanvraag in. Microsoft-ondersteuning kan het beleid voor voorwaardelijke toegang dat de toegang verhindert, controleren en bij bevestiging bijwerken.

Volgende stappen