Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie diesen Artikel, um unerwartete Anmeldeergebnisse im Zusammenhang mit bedingtem Zugriff zu beheben, indem Sie Fehlermeldungen und Microsoft Entra-Anmeldeprotokolle überprüfen.
Auswählen von Konsequenzen vom Typ „Alle“
Das Framework für bedingten Zugriff bietet Ihnen viele Flexibilität bei der Konfiguration. Diese Flexibilität bedeutet jedoch, dass Sie jede Konfigurationsrichtlinie sorgfältig überprüfen müssen, bevor Sie sie freigeben, um unerwünschte Ergebnisse zu vermeiden. Achten Sie in diesem Zusammenhang besonders auf Zuordnungen, die sich auf vollständige Sätze wie alle Benutzer/Gruppen/Ressourcen auswirken.
Verwenden Sie nicht die folgenden Konfigurationen:
Für alle Benutzer, alle Ressourcen:
- Zugriff blockieren – Diese Konfiguration blockiert die gesamte Organisation.
- Erfordern, dass das Gerät als kompatibel gekennzeichnet wird – Für Benutzer, die ihre Geräte noch nicht registriert haben, blockiert diese Richtlinie den gesamten Zugriff, einschließlich des Zugriffs auf das Intune-Portal. Wenn Sie ein Administrator ohne ein registriertes Gerät sind, wird durch diese Richtlinie verhindert, dass Sie wieder Zugriff erhalten, um die Richtlinie zu ändern.
- Hybrid Microsoft Entra Gerät mit Domänenzugehörigkeit voraussetzen - Diese Richtlinie kann auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn diese nicht über ein hybrides Gerät mit Microsoft Entra-Zugehörigkeit verfügen.
- App-Schutzrichtlinie erforderlich – Diese Richtlinie kann auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn Sie nicht über eine Intune-Richtlinie verfügen. Wenn Sie ein Administrator ohne eine Client-App sind, die über eine Intune-App-Schutzrichtlinie verfügt, können Sie mit dieser Richtlinie nicht wieder zu Portalen wie Intune und Azure zurückkehren.
Für alle Benutzer, alle Ressourcen, alle Geräteplattformen:
- Zugriff blockieren – Diese Konfiguration blockiert Ihre gesamte Organisation.
Unterbrechung der Anmeldung bei bedingtem Zugriff
Überprüfen Sie die angezeigte Fehlermeldung. Wenn Sie sich mit einem Webbrowser anmelden, enthält die Fehlerseite in der Regel detaillierte Informationen. Diese Informationen beschreiben häufig das Problem und schlägt eine Lösung vor.
In diesem Fehler besagt die Meldung, dass Sie die Anwendung nur von Geräten oder Clientanwendungen verwenden können, die der Richtlinie für die Verwaltung mobiler Geräte Ihres Unternehmens entsprechen. Hier erfüllen die Anwendung und das Gerät die Richtlinie nicht.
Microsoft Entra-Anmeldeereignisse
Um detaillierte Informationen zur Anmeldeunterbrechung zu erhalten, lesen Sie die Microsoft Entra-Anmeldeereignisse, um zu sehen, welche Richtlinie für bedingten Zugriff oder welche Richtlinien angewendet wurden und warum.
Weitere Informationen finden Sie über das Problem, indem Sie auf der anfänglichen Fehlerseite auf "Weitere Details " klicken. Wenn Sie auf "Weitere Details " klicken, werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Microsoft Entra-Anmeldeereignisse nach dem spezifischen Fehlerereignis, das der Benutzer gesehen hat, oder beim Öffnen eines Supportvorfalls mit Microsoft hilfreich ist.
Führen Sie die folgenden Schritte aus, um herauszufinden, welche Richtlinie oder Richtlinien für bedingten Zugriff angewendet wurden und warum.
Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
Navigieren Sie zu
Entra ID Überwachung & Gesundheit Sign-In-Protokollen .Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.
- Beschränken Sie den Bereich, indem Sie Filter wie die folgenden hinzufügen:
- Korrelations-ID wenn ein bestimmtes Ereignis untersucht werden soll.
- Bedingter Zugriff auf Richtlinienfehler und -erfolg. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
- Benutzername , um Informationen zu bestimmten Benutzern anzuzeigen.
- Datum ist auf den betreffenden Zeitrahmen begrenzt.
- Ressource zum Anzeigen von Informationen im Zusammenhang mit der aufgerufenen Ressource.
- Beschränken Sie den Bereich, indem Sie Filter wie die folgenden hinzufügen:
Nachdem Sie das Anmeldeereignis gefunden haben, das dem Anmeldefehler des Benutzers entspricht, wählen Sie die Registerkarte "Bedingter Zugriff " aus. Auf der Registerkarte "Bedingter Zugriff" werden die spezifischen Richtlinien oder Richtlinien angezeigt, die zu einer Anmeldeunterbrechung geführt haben.
- Informationen auf der Registerkarte "Problembehandlung" und "Support " stellen möglicherweise einen eindeutigen Grund dafür bereit, warum eine Anmeldung fehlgeschlagen ist, z. B. ein Gerät, das die Complianceanforderungen nicht erfüllt hat.
- Um weiter zu untersuchen, klicken Sie auf den Richtliniennamen, um eine detaillierte Konfiguration der Richtlinien zu erhalten. Wenn Sie auf den Richtliniennamen klicken, wird die Benutzeroberfläche für die Richtlinienkonfiguration für die ausgewählte Richtlinie zur Überprüfung und Bearbeitung angezeigt.
- Die Clientbenutzer - und Gerätedetails , die für die Richtlinienbewertung für bedingten Zugriff verwendet wurden, sind auch in den Registerkarten "Grundlegende Informationen", "Standort", "Geräteinformationen", " Authentifizierungsdetails" und "Zusätzliche Details " des Anmeldeereignisses verfügbar.
Richtlinie funktioniert nicht wie beabsichtigt
Wählen Sie die Auslassungspunkte auf der rechten Seite der Richtlinie in einem Anmeldeereignis, um Details zur Richtlinie anzuzeigen. Mit dieser Option erhalten Administratoren weitere Informationen dazu, warum eine Richtlinie angewendet wurde oder nicht.
Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.
Wenn die Informationen im Ereignis nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen, um die gewünschten Ergebnisse zu erhalten, verwenden Sie das Anmeldediagnosetool. Die Anmeldediagnose befindet sich unter Grundlegende Informationen>Problembehandlungsereignis. Weitere Informationen zur Anmeldediagnose finden Sie unter What is the sign-in diagnostic in Microsoft Entra ID. Sie können auch das What If-Tool verwenden, um Probleme mit Richtlinien für bedingten Zugriff zu beheben.
Wenn Sie einen Supportvorfall übermitteln müssen, schließen Sie die Anforderungs-ID, uhrzeit und das Datum aus dem Anmeldeereignis in die Vorfalldetails ein. Diese Informationen helfen microsoft-Support beim Auffinden des jeweiligen Ereignisses, das Sie betreffen.
Gängige Feldercodes bei bedingtem Zugriff
| Anmeldefehlercode | Fehlerzeichenfolge |
|---|---|
| 53000 | GerätNichtKonform |
| 53001 | DeviceNotDomainJoined |
| 53002 | VerwendeteAnwendungIstKeineZugelasseneApp |
| 53003 | Blockiert durch bedingten Zugriff |
| 53004 | ProofUp gesperrt aufgrund von Risiko |
| 53009 | Die Anwendung muss die Intune-Schutzrichtlinien erzwingen. |
Erfahren Sie mehr über Fehlercodes in Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes. Fehlercodes in der Liste erscheinen mit einem Präfix AADSTS, gefolgt von dem Code, den Sie im Browser sehen, wie z.B. AADSTS53002.
Dienstabhängigkeiten
In einigen Szenarien werden Benutzer blockiert, da Cloud-Apps von Ressourcen abhängen, die von einer Richtlinie für bedingten Zugriff blockiert werden.
Um die Dienstabhängigkeit zu überprüfen, überprüfen Sie das Anmeldeprotokoll für die Anwendung und Ressource, die von der Anmeldung aufgerufen wird. Im folgenden Screenshot ist die Anwendung Azure Portal, aber die Ressource ist Azure Resource Manager. Um dieses Szenario zu erreichen, kombinieren Sie alle Anwendungen und Ressourcen in der Richtlinie für bedingten Zugriff.
Zielgruppenberichte
Wenn sich ein Benutzer bei einer App wie Microsoft Teams anmeldet, fordert er tatsächlich Zugriff auf mehrere Ressourcen an, z. B. Teams-Chat, Outlook-Kalender, Excel-Dokumente und vieles mehr. Während Benutzer denken, dass sie sich nur beim Teams-Client anmelden, gelten Richtlinien für den bedingten Zugriff für alle diese Ressourcen. Wenn ein Administrator beispielsweise den Zugriff auf SharePoint oder bestimmte SharePoint-Websites einschränkt, gilt die Richtlinie auch dann, wenn der Benutzer glaubt, dass er sich nur bei Teams anmeldet.
Die Benutzergruppenberichterstattung in den Anmeldeprotokollen ermöglicht Administratoren, alle ressourcen anzuzeigen, die als Teil eines Anmeldeereignisses angefordert werden. Dies wird als Zielgruppe unter dem Abschnitt "Ressource" für alle aktivierten oder nur berichtsgeschützten Richtlinien angezeigt.
Administratoren finden "Zielgruppe " in den Anmeldeprotokollen, nachdem Sie auf der Registerkarte "Bedingter Zugriff" eine Richtlinie ausgewählt haben.
Admins verwenden den Zielgruppe-Bericht, um zu erfahren, warum eine CA-Richtlinie für ein Ereignis gilt oder nicht gilt. Beispielsweise gilt eine Richtlinie für ein bestimmtes Anmeldeereignis, da eine der Benutzergruppen in der Liste den Gültigkeitsbereich der Richtlinie hat.
Schritte bei gesperrtem Zugriff
Wenn Sie aufgrund einer falschen Einstellung in einer Richtlinie für bedingten Zugriff gesperrt sind:
- Überprüfen Sie, ob andere Administratoren in Ihrer Organisation vorhanden sind, die noch nicht blockiert sind. Ein Administrator mit Zugriff kann die Richtlinie deaktivieren, die sich auf Ihre Anmeldung auswirkt.
- Wenn kein Administrator in Ihrer Organisation die Richtlinie aktualisieren kann, senden Sie eine Supportanfrage. Microsoft Support prüft und bestätigt die Richtlinien für den bedingten Zugriff und aktualisiert sie, um den Zugriff zu verhindern.