Поделиться через

Устранение неполадок со входом при использовании условного доступа

Эта статья позволяет устранить непредвиденные результаты входа, связанные с условным доступом, проверив сообщения об ошибках и журналы входа Microsoft Entra.

Выберите "все" последствия

Платформа условного доступа обеспечивает большую гибкость конфигурации. Но эта гибкость означает, что необходимо тщательно проверить каждую политику конфигурации, прежде чем освободить ее, чтобы избежать нежелательных результатов. В этом контексте обратите особое внимание на назначения, которые влияют на полные наборы, такие как все пользователи/ группы / ресурсы.

Не используйте следующие конфигурации:

Все ресурсы для всех пользователей:

  • блокировка доступа - Эта конфигурация блокирует доступ для всей организации.
  • Требовать, чтобы устройство было помечено как соответствующее требованиям. Для пользователей, которые еще не зарегистрировали свои устройства, эта политика блокирует весь доступ, включая доступ к порталу Intune. Если вы администратор без зарегистрированного устройства, эта политика блокирует вас, препятствуя изменению политики.
  • Требовать гибридное устройство, присоединенное к домену Microsoft Entra . Эта политика также может блокировать доступ для всех пользователей в организации, если у них нет гибридного устройства, присоединенного к Microsoft Entra.
  • Требовать политику защиты приложений . Эта политика также может блокировать доступ для всех пользователей в организации, если у вас нет политики Intune. Если вы являетесь администратором без клиентского приложения с политикой защиты приложений Intune, эта политика блокирует возвращение на порталы, такие как Intune и Azure.

Для всех пользователей все ресурсы, все платформы устройств:

  • Блокировка доступа — эта конфигурация блокирует всю организацию.

Прерывание авторизации условного доступа

Проверьте отображаемое сообщение об ошибке. Если вы входите через веб-браузер, страница ошибок обычно содержит подробные сведения. Эта информация часто описывает проблему и предлагает решение.

Снимок экрана: ошибка входа, которая говорит, что требуется соответствующее устройство.

В этом сообщении говорится, что приложение можно использовать только с устройств или клиентских приложений, которые соответствуют политике управления мобильными устройствами вашей компании. Здесь приложение и устройство не соответствуют политике.

События входа в систему Microsoft Entra

Чтобы получить подробные сведения о прерывании входа, просмотрите события входа Microsoft Entra, чтобы узнать, какая политика или политики условного доступа применены и почему.

Чтобы получить дополнительные сведения о проблеме, щелкните Дополнительные сведения на начальной странице ошибки. Щелкнув Дополнительные сведения, открывается информация об устранении неполадок, которая будет полезна при поиске событий входа Microsoft Entra для конкретного случая сбоя, который пользователь наблюдал, или при открытии инцидента поддержки с корпорацией Майкрософт.

Снимок экрана, показывающий дополнительные сведения о прерванной авторизации в веб-браузере через Conditional Access.

Выполните следующие действия, чтобы узнать, какие политики или политики условного доступа применяются и почему.

  1. Войдите в Центр администрирования Microsoft Entra как минимум читателем отчетов.

  2. Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входов в систему.

  3. Найдите событие входа для проверки. Добавьте или удалите фильтры и столбцы, чтобы отфильтровать ненужные сведения.

    1. Сузьте область, добавив такие фильтры:
      1. Идентификатор корреляции, если у вас есть определенное событие для изучения.
      2. Условный доступ для проверки успешности и неудач применения политики. Настройте фильтр для отображения только сбоев, чтобы ограничить результаты.
      3. Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
      4. Дата, отнесенная к рассматриваемому интервалу времени.
      5. Ресурс для получения информации, связанной с вызванным ресурсом.

    Снимок экрана: выбор фильтра условного доступа в журнале входа.

  4. После поиска события входа, соответствующего сбою входа пользователя, перейдите на вкладку условный доступ. На вкладке "Условный доступ" отображается определенная политика или политики, которые привели к прерыванию входа.

    1. Сведения на вкладке "Устранение неполадок и поддержка " могут привести к четкой причине того, почему вход не удался, например из-за устройства, которое не соответствовало требованиям соответствия.
    2. Для дальнейшего изучения выполните детализацию конфигурации политик, выбрав имя политики. При щелчке по названию политики открывается интерфейс конфигурации выбранной политики для просмотра и редактирования.
    3. Сведения о пользователе и устройстве клиента, которые использовались для оценки политики условного доступа, также доступны на вкладках Основные сведения, Место, Сведения об устройстве, Сведения о проверке подлинности и Дополнительные сведения о событии входа.

Политика не работает должным образом

Выберите многоточие в правой части политики в событии входа в систему, чтобы просмотреть сведения о политике. Этот параметр предоставляет администраторам дополнительные сведения о том, почему политика была применена или нет.

Снимок экрана: сведения о политике условного доступа, чтобы узнать, почему политика применена или нет.

В левой части содержатся сведения, собранные при входе в систему, а в правой части содержится информация о том, удовлетворяют ли эти сведения требованиям примененных политик условного доступа. Политики условного доступа применяются только при выполнении всех условий или если они не настроены.

Если информации в событии недостаточно, чтобы понять результаты входа в систему или настроить политику так, чтобы получить нужные результаты, используйте средство диагностики входа. Диагностика входа находится в разделе Базовые сведения>устранение неполадоксобытия. Дополнительные сведения о диагностике входа см. в статье Что такое диагностика входа в идентификаторе Microsoft Entra ID. Также можно использовать средство What If для устранения неполадок с политиками условного доступа.

Если необходимо отправить инцидент в службу поддержки, добавьте идентификатор запроса, время и дату события входа в сведения об инциденте. Эта информация помогает корпорации Майкрософт найти конкретное событие, о которое вы беспокоитесь.

Распространенные коды ошибок условного доступа

Код ошибки входа Строка ошибки
53000 УстройствоНесоответствующее
53001 УстройствоНеПрисоединеноКДомену
53002 Используемое приложение не является одобренным приложением
53003 Заблокировано политикой условного доступа
53004 Подтверждение заблокировано из-за риска
53009 Приложению необходимо применить политики защиты Intune

Узнайте больше о кодах ошибок проверки подлинности и авторизации Microsoft Entra. Коды ошибок в списке отображаются с префиксом AADSTS , за которым следует код, который отображается в браузере, например AADSTS53002.

Зависимости служб

В некоторых сценариях пользователи блокируются, так как облачные приложения зависят от ресурсов, блокируемых политикой условного доступа.

Чтобы проверить зависимость службы, просмотрите журнал входа для приложения и ресурса, вызываемого входом. На следующем снимке экрана приложение — портал Azure, но ресурс — Azure Resource Manager. Для этого сценария объедините все приложения и ресурсы в политике условного доступа.

Снимок экрана: журнал входа, показывающий приложение, вызывающее ресурс. Этот сценарий также называется зависимостью службы.

Отчеты аудитории

Когда пользователь входит в приложение, например Microsoft Teams, он фактически запрашивает доступ к нескольким ресурсам, таким как чат Teams, календарь Outlook, документы Excel и многое другое. Хотя пользователи могут думать, что они вошли только в клиент Teams, политики условного доступа применяются ко всем этим ресурсам. Например, если администратор ограничивает доступ к SharePoint или определенным сайтам SharePoint, политика применяется, даже если пользователь считает, что он входит только в Teams.

Отчеты аудитории в журналах входа позволяют администраторам просматривать все ресурсы, запрошенные в рамках события входа. Это отображается как Аудитория в разделе Ресурсы для всех активированных или предназначенных только для отчетов политик.

Снимок экрана: запись журнала входа с подробными сведениями о политике условного доступа и развернутой информацией о ресурсах и аудитории.

Администраторы находят Аудиторию в журналах входа, выбрав политику на вкладке условного доступа.

Администраторы используют отчет по аудитории, чтобы узнать, почему политика условного доступа применяется или не применяется к событию входа. Например, политика применяется к конкретному событию входа, так как одна из целевых групп в списке подпадает под действие политики.

Что делать, если вы заблокированы

Если вы заблокированы из-за неправильного параметра в политике условного доступа:

  • Проверьте, не заблокированы ли другие администраторы в вашей организации. Администратор с доступом может отключить правило, которое влияет на ваш вход.
  • Если администратор в вашей организации не может обновить политику, отправьте запрос на поддержку. Поддержка Microsoft проводит ревизии и, после подтверждения, обновляет политики условного доступа, которые препятствуют доступу.

Следующие шаги