Поделиться через

Устранение проблем с входом, связанных с условным доступом

  • Статья

Используйте эту статью для устранения непредвиденных результатов входа, связанных с условным доступом с помощью сообщений об ошибках и журналов входа Microsoft Entra.

Выберите "все" последствия

Платформа условного доступа обеспечивает большую гибкость конфигурации. Тем не менее исключительная гибкость также означает, что во избежание нежелательных результатов необходимо внимательно просмотреть каждую политику конфигурации, прежде чем выпускать ее. В этом контексте обратите особое внимание на назначения, влияющие на полные наборы, такие как все пользователи / группы / облачные приложения.

Организациям следует избегать следующих конфигураций:

Все ресурсы для всех пользователей:

  • блокировка доступа - Эта конфигурация блокирует доступ для всей организации.
  • Требование отмечать устройство как соответствующее требованиям — для пользователей, которые еще не зарегистрировали свои устройства. Эта политика полностью блокирует доступ, включая доступ к порталу Intune. Если вы являетесь администратором без зарегистрированного устройства, то эта политика не позволит вам войти в систему для изменения политики.
  • Требовать гибридное устройство, присоединенное к домену Microsoft Entra. Эта политика также имеет потенциал блокировать доступ для всех пользователей в вашей организации, если у них нет устройства с гибридным присоединением к домену Microsoft Entra.
  • Требовать политику защиты приложений. Эта политика также может блокировать доступ для всех пользователей в организации, если у вас нет политики Intune. Если вы являетесь администратором без клиентского приложения, в котором есть политика защиты приложений Intune, то эта политика не позволит вам войти в порталы Intune, Azure и так далее.

Для всех пользователей все ресурсы, все платформы устройств:

  • Блокировка доступа — эта конфигурация блокирует всю организацию.

Прерывание авторизации условного доступа

Просмотрите отображаемое сообщение об ошибке. Для проблем при входе в систему при использовании веб-браузера сама страница ошибки содержит подробную информацию. Эта информация может описать проблему и предложить решение.

Снимок экрана: ошибка входа, для которой требуется совместимое устройство.

В приведенной выше ошибке появляется сообщение о том, что доступ к приложению можно получить только с устройств или клиентских приложений, которые соответствуют политике управления мобильными устройствами компании. В этом случае приложение и устройство не соответствуют политике.

События входа в систему Microsoft Entra

Второй способ получения подробных сведений о прерывании входа — изучить события входа в Microsoft Entra, чтобы узнать, какие политики условного доступа были применены и почему.

Чтобы получить дополнительные сведения о проблеме, щелкните Дополнительные сведения на начальной странице ошибки. Щелкнув Дополнительные сведения, открывается информация об устранении неполадок, которая будет полезна при поиске событий входа Microsoft Entra для конкретного случая сбоя, который пользователь наблюдал, или при открытии инцидента поддержки с корпорацией Майкрософт.

Снимок экрана, показывающий дополнительные сведения о прерванной авторизации в веб-браузере через Conditional Access.

Чтобы узнать, какие политики или политики условного доступа применены и почему, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средствочтения отчетов.

  2. Перейдите к Идентификация>Мониторинг и работоспособность>Журналы входа.

  3. Найдите событие входа для проверки. Добавьте или удалите фильтры и столбцы, чтобы отфильтровать ненужные сведения.

    1. Сузьте область, добавив такие фильтры:
      1. Идентификатор корреляции, если у вас есть определенное событие для изучения.
      2. Условный доступ для проверки успешности и неудач применения политики. Настройте фильтр для отображения только сбоев, чтобы ограничить результаты.
      3. Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
      4. Дата, отнесенная к рассматриваемому интервалу времени.

    Снимок экрана: выбор фильтра условного доступа в журнале входа.

  4. После поиска события входа, соответствующего сбою входа пользователя, перейдите на вкладку условный доступ. На вкладке "Условный доступ" отображается определенная политика или политики, которые привели к прерыванию входа.

    1. Сведения на вкладке "Устранение неполадок и поддержка " могут привести к четкой причине того, почему вход не удался, например из-за устройства, которое не соответствовало требованиям соответствия.
    2. Для дальнейшего изучения выполните детализацию конфигурации политик, выбрав имя политики. При щелчке по названию политики открывается интерфейс конфигурации выбранной политики для просмотра и редактирования.
    3. Сведения о пользователе и устройстве клиента, которые использовались для оценки политики условного доступа, также доступны на вкладках Основные сведения, Место, Сведения об устройстве, Сведения о проверке подлинности и Дополнительные сведения о событии входа.

Политика не работает должным образом

При выборе многоточия справа от политики в событии входа в систему открываются сведения о политике. Этот параметр дает администраторам дополнительные сведения о том, почему политика была успешно применена или нет.

Снимок экрана: сведения о политике условного доступа, чтобы узнать, почему политика применена или нет.

В левой части содержатся сведения, собранные при входе в систему, а в правой части содержится информация о том, удовлетворяют ли эти сведения требованиям примененных политик условного доступа. Политики условного доступа применяются только при выполнении всех условий или если они не настроены.

Если информации в событии недостаточно, чтобы понять результаты входа в систему или настроить политику так, чтобы получить нужные результаты, используйте средство диагностики входа. Диагностика входа находится в разделе Базовые сведения>устранение неполадоксобытия. Дополнительные сведения о диагностике входа см. в статье Что такое диагностика входа в идентификаторе Microsoft Entra ID. Также можно использовать средство What If для устранения неполадок с политиками условного доступа.

Если вам нужно создать запрос в службу поддержки, укажите в сведениях о создании инцидента идентификатор запроса, дату и время события входа. Эта информация позволяет корпорации Майкрософт найти конкретное событие, о которое вы беспокоитесь.

Распространенные коды ошибок условного доступа

Код ошибки входа Строка ошибки
53000 УстройствоНесоответствующее
53001 УстройствоНеПрисоединеноКДомену
53002 Используемое приложение не является одобренным приложением
53003 Заблокировано политикой условного доступа
53004 Подтверждение заблокировано из-за риска

Дополнительные сведения о кодах ошибок см. в статье Коды ошибок проверки подлинности и авторизации Microsoft Entra. Коды ошибок в списке состоят из префикса AADSTS и кода, который отображается в браузере, например AADSTS53002.

Зависимости служб

В некоторых сценариях пользователи блокируются, так как облачные приложения зависят от ресурсов, заблокированных политикой условного доступа.

Чтобы определить зависимость службы, проверьте журнал событий входа для приложения и ресурс, вызываемый при входе. На следующем снимке экрана вызванное приложение является порталом Azure, а вызванный ресурс — API управления службами Windows Azure. Для реализации этого сценария надлежащим образом все приложения и ресурсы должны быть одинаково объединены в политику условного доступа.

снимок экрана, показывающий пример журнала входа с приложением, вызывающим ресурс. Этот сценарий также называется зависимостью службы.

Что делать, если вы заблокированы

Если вы заблокированы из-за неправильного параметра в политике условного доступа:

  • Проверьте, не заблокированы ли другие администраторы в вашей организации. Администратор с доступом может отключить политику безопасности, влияющую на ваш процесс входа.
  • Если ни один из администраторов в вашей организации не может обновить политику, необходимо отправить запрос в службу поддержки. В службе технической поддержки Майкрософт проверят и обновят политики условного доступа, которые препятствуют доступу.

Следующие шаги