Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Gründe für eine fehlgeschlagene Anmeldung zu ermitteln, kann zu einer großen Herausforderung werden. Sie müssen analysieren, was während des Anmeldeversuchs passiert ist, und anschließend die verfügbaren Empfehlungen untersuchen, um das Problem zu beheben. Im Idealfall möchten Sie das Problem lösen, ohne andere Personen, z. B. den Microsoft-Support, einzuschalten. Wenn Sie sich in einer solchen Situation befinden, ist die Anmeldediagnose in Microsoft Entra ID hilfreich. Hierbei handelt es sich um ein Tool, mit dem Sie Anmeldevorgänge in Microsoft Entra ID überprüfen können.
In diesem Artikel erhalten Sie eine Übersicht über die Anmeldediagnose und erfahren, wie Sie diese zur Problembehandlung von Anmeldefehlern verwenden können.
Voraussetzungen
- Die Rolle mit den geringsten Rechten für die Anmeldediagnose aus einer Supportanfrage oder das Diagnostizieren und Lösen von Problemen ist Abrechnungsadministrator.
- Um die Anmeldediagnose aus den Anmeldeprotokollen zu verwenden, benötigen Sie auch den Berichtsleser.
- Eine vollständige Liste der Rollen finden Sie unter "Rolle mit den geringsten Rechten nach Aufgabe".
- Gekennzeichnete Anmeldeereignisse können auch über die Anmeldediagnose überprüft werden.
- Gekennzeichnete Anmeldeereignisse werden erfasst, nachdem ein Benutzer die Kennzeichnung während seiner Anmeldeerfahrung aktiviert hat.
- Weitere Informationen finden Sie unter gekennzeichnete Anmeldungen.
Wie funktioniert dies?
In Microsoft Entra ID werden Anmeldeversuche durch Folgendes gesteuert:
- Wer hat einen Anmeldeversuch ausgeführt.
- Wie wurde der Anmeldeversuch ausgeführt.
Sie können z. B. Richtlinien für den bedingten Zugriff konfigurieren, die es Administratoren ermöglichen, alle Aspekte des Mandanten zu konfigurieren, wenn sie sich über das Unternehmensnetzwerk anmelden. Derselbe Benutzer kann jedoch blockiert werden, wenn er sich von einem nicht vertrauenswürdigen Netzwerk aus bei demselben Konto anmeldet.
Aufgrund der größeren Flexibilität des Systems bei der Reaktion auf einen Anmeldeversuch kann es zu Szenarien kommen, in denen Sie eine Problembehandlung für Anmeldungen durchführen müssen. Das Anmeldediagnosetool ermöglicht die Diagnose von Anmeldeproblemen durch:
- Analysieren von Daten aus Anmeldeereignissen und gekennzeichneten Anmeldungen.
- Informationen darüber anzeigt, was passiert ist.
- Empfehlungen zum Beheben von Problemen bereitstellt.
Zugreifen auf die Anmeldediagnose
Es gibt drei Möglichkeiten, auf die Anmeldediagnose in Microsoft Entra ID zuzugreifen. Wählen Sie eine Registerkarte aus, um mehr über die einzelnen Methoden zu erfahren.
Sie können die Anmeldediagnose aus dem Bereich Diagnostizieren und Lösen von Problemen in Microsoft Entra ID starten. Aus dem Bereich „Diagnostizieren und Lösen von Problemen“ können Sie alle gekennzeichneten Anmeldeereignisse überprüfen oder nach einem bestimmten Anmeldeereignis suchen. Sie können diesen Prozess auch im Bereich „Diagnostizieren und Lösen von Problemen für bedingten Zugriff“ starten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
Navigieren Sie zu Diagnose & Lösung von Problemen am oberen Rand der linken Navigation.
- Sie können auf Diagnose & Lösung von Problemen auch über bedingten Zugriff, Benutzer, Gruppen, Identitätsschutz und Multi-Faktor-Authentifizierung zugreifen.
Wählen Sie den Link Problembehandlung auf der Kachel Anmeldediagnose aus.
Wählen Sie die Registerkarte Alle Anmeldeereignisse aus, um eine Suche zu starten.
- In manchen Fällen beginnt das System automatisch, nach markierten Anmeldeereignissen zu suchen. Wenn nichts gefunden wird, werden Sie zur Registerkarte Alle Anmeldeereignisse umgeleitet.
Geben Sie so viele Details wie möglich in die Suchfelder ein.
- Benutzer: Geben Sie den Namen oder die E-Mail-Adresse der Person an, die den Anmeldeversuch durchführte.
- Anwendung: Geben Sie den Anzeigenamen der Anwendung oder die Anwendungs-ID an.
- correlationId oder requestId: Diese Details können im Fehlerbericht oder in den Anmeldeprotokolldetails gefunden werden.
- Datum und Uhrzeit: Geben Sie ein Datum und eine Uhrzeit an, um nach Anmeldeereignissen zu suchen, die innerhalb von 48 Stunden aufgetreten sind.
Wählen Sie die Schaltfläche Weiter aus.
Untersuchen Sie die Ergebnisse, und ergreifen Sie nach Bedarf Maßnahmen.
Verwenden der Diagnoseergebnisse
Nachdem die Anmeldediagnose die Suche abgeschlossen hat, werden einige Dinge auf dem Bildschirm angezeigt.
In der Authentifizierungszusammenfassung werden alle Ereignisse aufgelistet, die mit den von Ihnen angegebenen Details übereinstimmen. Wählen Sie in der oberen rechten Ecke der Zusammenfassung die Option Spalten anzeigen aus, um die Spalten zu ändern, die erscheinen.
Die Diagnoseergebnisse beschreiben, was während der Anmeldeereignisse passiert ist.
Szenarien können MFA-Anforderungen aus einer Richtlinie für bedingten Zugriff umfassen, Anmeldeereignisse, für die möglicherweise eine Richtlinie für bedingten Zugriff angewendet werden muss, oder eine große Anzahl fehlgeschlagener Anmeldeversuche in den letzten 48 Stunden.
Verwandte Inhalte und Links zu Problembehandlungstools können bereitgestellt werden.
Lesen Sie die Ergebnisse durch, um alle Aktionen zu identifizieren, die Sie ausführen können.
Da es nicht immer möglich ist, Probleme ohne weitere Hilfe zu beheben, empfiehlt es sich, in einem weiteren Schritt ein Supportticket zu öffnen.
Gängige Szenarien
Lesen Sie die Tipps im folgenden Abschnitt für einige gängige Szenarien, in denen die Anmeldediagnose hilfreiche Informationen zur Problembehandlung bereitstellen kann.
Bedingter Zugriff
Richtlinien für den bedingten Zugriff werden verwendet, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten. Da Richtlinien für bedingten Zugriff verwendet werden können, um den Zugriff auf Ressourcen zu gewähren oder zu blockieren, tauchen sie häufig in der Anmeldediagnose auf.
Blockiert durch bedingten Zugriff: Ihre Richtlinien für den bedingten Zugriff haben die Anmeldung durch den Benutzer verhindert.
Fehlschlag beim bedingten Zugriff: Möglicherweise sind Ihre Richtlinien für den bedingten Zugriff zu streng. Überprüfen Sie Ihre Konfigurationen auf vollständige Sätze von Benutzenden, Gruppen und Anwendungen. Stellen Sie sicher, dass Sie die Auswirkungen von Zugriffsbeschränkungen bestimmter Gerätetypen kennen.
Multi-Faktor-Authentifizierung (MFA) bei bedingtem Zugriff: Ihre Richtlinien für den bedingten Zugriff haben den MFA-Prozess für den Benutzer ausgelöst.
B2B-blockierte Anmeldung aufgrund des bedingten Zugriffs: Sie haben eine Richtlinie für den bedingten Zugriff erstellt, um die Anmeldung externer Identitäten zu blockieren.
Mehrstufige Authentifizierung
Es gibt mehrere mit der Multi-Faktor-Authentifizierung (MFA) zusammenhängende Ereignisse, die Sie mithilfe des Anmeldediagnosetools beheben können.
MFA aufgrund sonstiger Anforderungen: Wenn in den Ergebnissen der Anmeldediagnose die Multi-Faktor-Authentifizierung aus einer anderen Anforderung als dem bedingten Zugriff angezeigt wurde, ist sie möglicherweise benutzerbasiert aktiviert. Es wird empfohlen, die benutzerbasierte MFA in einen bedingten Zugriff zu konvertieren. Die Anmeldediagnose enthält Details zur Quelle der MFA-Unterbrechung und zum Ergebnis der Interaktion.
MFA-„Proofup“: MFA hat den Anmeldeversuch unterbrochen, weshalb Informationen zu „Proofup“ in den Diagnoseergebnissen enthalten sind. Dieser Fehler wird angezeigt, wenn Benutzer die MFA zum ersten Mal einrichten und das Setup nicht abschließen, oder ihre Konfiguration nicht im Vorfeld eingerichtet wurde.
Korrekte & inkorrekte Anmeldedaten: Manchmal geben Benutzer einfach nur die falschen Anmeldedaten ein. Das Anmeldediagnosetool kann dabei helfen, zwischen menschlichem Fehler und anderen Problemen zu unterscheiden.
Erfolgreiche Anmeldung: In manchen Fällen möchten Sie wissen, ob Anmeldeereignisse nicht durch bedingten Zugriff oder MFA unterbrochen werden, obwohl dies der Fall sein sollte. Das Anmeldediagnosetool enthält Details zu Anmeldeereignissen, die hätten unterbrochen werden sollen, aber nicht unterbrochen wurden.
Konto gesperrt: Ein Benutzer hat zu oft versucht, sich mit inkorrekten Anmeldedaten anzumelden. Anhand der Diagnoseergebnisse lässt sich feststellen, woher die Versuche kamen, und ob es sich um legitime Anmeldeversuche eines Benutzers handelt. Details zu den Apps, der Anzahl der Versuche, dem verwendeten Gerät, dem Betriebssystem und der IP-Adresse werden bereitgestellt. Weitere Informationen finden Sie unter Microsoft Entra Smart Lockout.
Ungültiger Benutzername oder ungültiges Kennwort: Wenn ein Benutzer versucht, sich mit einem ungültigen Benutzernamen oder ungültigen Kennwort anzumelden, enthält die Anmeldediagnose Details zu den Apps, zur Anzahl der Versuche, zum verwendeten Gerät, zum Betriebssystem und zur IP-Adresse. Anhand dieser Informationen können Sie ermitteln, ob der Benutzer inkorrekte Anmeldedaten eingegeben hat, oder ob die Anwendung ein altes Kennwort zwischengespeichert hat und erneut übermittelt.
Unternehmens-Apps
In Unternehmensanwendungen können Probleme mit der Anwendungskonfiguration des Identitätsanbieters (Microsoft Entra ID) oder der Konfiguration des Dienstanbieters (Anwendungsdienst, auch als SaaS-Anwendung bezeichnet) auftreten.
Dienstanbieter für Unternehmensanwendungen: Wenn die Anmeldung aufgrund eines Problems auf der Seite des Dienstanbieters (Anwendung) im Anmeldefluss fehlgeschlagen ist, müssen die Probleme im Anwendungsdienst behoben werden. Sie müssen sich bei dem anderen Dienst anmelden und die Konfiguration gemäß den Diagnoseleitfäden ändern.
Konfiguration von Unternehmensanwendungen: Wenn die Anmeldung aufgrund eines Konfigurationsproblems auf der Seite von Microsoft Entra ID in der Anwendung fehlgeschlagen ist, müssen Sie die Konfiguration der Anwendung in den Unternehmensanwendungen überprüfen und aktualisieren.
Sicherheitsstandards
Anmeldeereignisse können aufgrund von Einstellungen für Sicherheitsstandards unterbrochen werden. Mithilfe von Sicherheitsstandards werden für Ihre Organisation bewährte Sicherheitsstandards erzwungen. Eine bewährte Methode besteht darin, die Konfiguration und Nutzung der Multi-Faktor-Authentifizierung zu erzwingen, um zu verhindern, dass Kennwort-Spray-Angriffe, Replay-Angriffe und Phishing-Versuche erfolgreich sind.
Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?.
Einblicke in Fehlercode
Wenn ein Ereignis keine kontextbezogene Analyse in der Anmeldediagnose aufweist, wird möglicherweise eine aktualisierte Fehlercodeerklärung und relevanter Inhalt angezeigt. Die Fehlercode-Erkenntnisse enthalten detaillierten Text zum Szenario, zur Behebung des Problems und alle Inhalte, die in Bezug auf das Problem gelesen werden müssen.
Legacyauthentifizierung
Dieses Szenario umfasst ein Anmeldeereignis, das blockiert oder unterbrochen wurde, weil der Client versucht hat, die Legacy-Authentifizierung (oder Standardauthentifizierung) zu verwenden.
Als bewährte Sicherheitsmethode empfehlen wir Ihnen, Anmeldungen per Legacy-Authentifizierung zu verhindern. Bei Legacy-Authentifizierungsprotokollen, z. B. POP, SMTP, IMAP und MAPI, kann die MFA nicht erzwungen werden. Aus diesem Grund werden diese Protokolle bevorzugt für Angriffe auf Ihr Unternehmen genutzt.
Weitere Informationen finden Sie unter Gewusst wie: Blockieren der Legacyauthentifizierung bei Microsoft Entra ID mit bedingtem Zugriff.
B2B blockiert die Anmeldung aufgrund des bedingten Zugriffs
In diesem Diagnoseszenario wird eine blockierte oder unterbrochene Anmeldung entdeckt, da der Nutzer aus einer anderen Organisation stammt. Beispiel: Eine B2B-Anmeldung, bei der eine Richtlinie für bedingten Zugriff erfordert, dass das Gerät des Clients mit dem Ressourcenmandanten verknüpft ist.
Weitere Informationen finden Sie unter Bedingter Zugriff für Benutzer der B2B-Zusammenarbeit.
Blockiert durch Benutzerrisikorichtlinie
In diesem Szenario blockieren risikobasierte Richtlinien für den bedingten Zugriff einen Anmeldeversuch, weil der Anmeldeversuch als risikobehaften identifiziert wurde.
Weitere Informationen finden Sie unter Gewusst wie: Konfigurieren und Aktivieren von Richtlinien.
Passthrough-Authentifizierung
Da bei der Passthrough-Authentifizierung lokale und cloudbasierte Authentifizierungstechnologien integriert werden, kann es schwierig sein, die Ursache des Problems zu ermitteln. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.
In diesem Diagnoseszenario werden benutzerspezifische Anmeldeprobleme identifiziert, wenn als Authentifizierungsmethode die Passthrough-Authentifizierung (PTA) verwendet wird und ein PTA-spezifischer Fehler auftritt. Fehler aufgrund anderer Probleme werden auch dann ordnungsgemäß diagnostiziert, wenn die PTA-Authentifizierung verwendet wird.
In den Diagnoseergebnissen werden Kontextinformationen zum Fehler und zur Anmeldung des Benutzers angezeigt. Die Ergebnisse könnten auch andere Gründe für einen Fehler bei der Anmeldung und andere empfohlene Aktionen zur Behebung des Problems für den Administrator anzeigen. Weitere Informationen finden Sie unter Behandlung von Problemen bei der Microsoft Entra-Passthrough-Authentifizierung.
Nahtloses einmaliges Anmelden
Durch nahtloses einmaliges Anmelden wird die Kerberos-Authentifizierung in die Cloudauthentifizierung integriert. In diesem Szenario kommen zwei Authentifizierungsprotokolle zum Einsatz. Daher kann es schwierig sein, nachzuvollziehen, wo der Fehlerpunkt liegt, wenn Probleme bei der Anmeldung auftreten. Diese Diagnose soll das Diagnostizieren und Auflösen dieser Szenarien vereinfachen.
In diesem Diagnoseszenario werden der Kontext des Anmeldefehlers und die spezifische Fehlerursache untersucht. Die Diagnoseergebnisse können kontextbezogene Informationen zum Anmeldeversuch sowie empfohlene Aktionen enthalten, die der Administrator ausführen kann. Weitere Informationen finden Sie unter Problembehandlung für das nahtlose einmalige Anmelden von Microsoft Entra.