Testen von Richtlinien für bedingten Zugriff und Problembehandlung

  • 3 Minuten

Die Struktur des bedingten Zugriffs bietet große Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden. In diesem Zusammenhang sollten Sie besonders auf Aufgaben achten, die sich auf vollständige Mengen auswirken, z. B. alle Benutzer/Gruppen/Cloud-Apps.

Organisationen sollten die folgenden Konfigurationen vermeiden:

Für alle Benutzer, alle Cloud-Apps:

  • Zugriff blockieren – Diese Konfiguration blockiert Ihre gesamte Organisation.
  • Erforderlich: Hybridgerät, das mit der Microsoft Entra-Domäne verbunden ist – Diese Richtlinie zur Zugriffsblockierung birgt auch das Potenzial, den Zugriff für alle Benutzer in Ihrer Organisation zu blockieren, wenn sie nicht über ein Hybridgerät verfügen, das mit Microsoft Entra verbunden ist.
  • App-Schutzrichtlinie erforderlich – Diese Zugriffsblockierungsrichtlinie hat auch das Potenzial, den Zugriff für alle Benutzer in Ihrer Organisation zu blockieren, wenn Sie keine Intune-Richtlinie haben. Wenn Sie als administrierende Person nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.

Für alle Benutzer, alle Cloud-Apps, alle Geräteplattformen:

  • Zugriff blockieren – Diese Konfiguration blockiert Ihre gesamte Organisation.

Unterbrechung der Anmeldung bei bedingtem Zugriff

Die erste Möglichkeit besteht darin, die angezeigte Fehlermeldung zu überprüfen. Bei Problemen mit der Anmeldung über einen Webbrowser enthält die eigentliche Fehlerseite ausführliche Informationen. Diese Informationen allein beschreiben, was das Problem ist und schlägt eine Lösung vor.

Screenshot des Anmeldefehlers – kompatibles Gerät erforderlich. Mit einer Schaltfläche zum Abbrechen oder Abrufen weiterer Informationen.

Die Meldung für den obigen Fehler besagt, dass der Zugriff auf die Anwendung nur von Geräten oder Clientanwendungen erfolgen kann, welche die Richtlinie für die Verwaltung mobiler Geräte im Unternehmen erfüllen. In diesem Fall erfüllen die Anwendung und das Gerät diese Richtlinie nicht.

Microsoft Entra-Anmeldeereignisse

Die zweite Methode zum Abrufen detaillierter Informationen zu der Anmeldeunterbrechung besteht darin, die Microsoft Entra-Anmeldeereignisse zu überprüfen, um festzustellen, welche Richtlinie(n) für den bedingten Zugriff angewendet wurde(n) und aus welchem Grund.

Weitere Informationen zum Problem finden Sie, indem Sie auf der anfänglichen Fehlerseite auf "Weitere Details " klicken. Wenn Sie auf "Weitere Details " klicken, werden Informationen zur Problembehandlung angezeigt, die beim Durchsuchen der Microsoft Entra-Anmeldeereignisse nach dem spezifischen Fehlerereignis, das der Benutzer gesehen hat, oder beim Öffnen eines Supportvorfalls mit Microsoft hilfreich sind.

Screenshot: Weitere Informationen zu einer unterbrochenen Webbrowseranmeldung bei bedingtem Zugriff.

Gehen Sie wie folgt vor, um herauszufinden, welche Richtlinien für bedingten Zugriff angewendet wurden und aus welchem Grund:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Sicherheitsadministrator oder globaler Reader an.

  2. Navigieren Sie zu Identität – Überwachung und Gesundheit, dann Anmeldungen.

  3. Suchen Sie nach dem Ereignis für die zu überprüfende Anmeldung. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.

    1. Fügen Sie Filter hinzu, um den Bereich einzugrenzen:

      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.

      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.

      3. Benutzername zum Anzeigen von Informationen zu bestimmten benutzenden Personen.

      4. Datum zur Festlegung des fraglichen Zeitraums.

        Screenshot des Fehlermeldungsbildschirms. Der Benutzer wählt den Filter für bedingten Zugriff im Anmeldeprotokoll aus.

  4. Sobald das Anmeldeereignis, das dem Anmeldefehler des Benutzers entspricht, gefunden wurde, die Registerkarte " Bedingter Zugriff " ausgewählt wurde, zeigt die Registerkarte die spezifische Richtlinie oder Richtlinien an, die zu einer Anmeldeunterbrechung geführt haben.

    1. Informationen auf der Registerkarte "Problembehandlung und Support " bieten einen klaren Grund dafür, warum eine Anmeldung fehlgeschlagen ist, z. B. ein Gerät, das die Complianceanforderungen nicht erfüllt hat.
    2. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird für die ausgewählte Richtlinie die Benutzeroberfläche für die Richtlinienkonfiguration angezeigt. Hier können Sie die Richtlinie überprüfen und bearbeiten.
    3. Die Clientbenutzer- und Gerätedetails, die für die Richtlinienbewertung für bedingten Zugriff verwendet wurden, sind auch in den Registerkarten "Grundlegende Informationen", "Standort", "Geräteinformationen", " Authentifizierungsdetails" und "Zusätzliche Details " des Anmeldeereignisses verfügbar.

Richtliniendetails

Wenn Sie in einem Anmeldeereignis auf die drei Punkte rechts neben der Richtlinie klicken, werden die Richtliniendetails angezeigt. So erhalten Administratoren zusätzliche Informationen zum Grund für die erfolgreiche oder nicht erfolgreiche Anwendung einer Richtlinie.

Screenshot der Registerkarte „Anmeldeereignis mit bedingtem Zugriff“. Warten auf Benutzereingabe.

Screenshot des Bildschirms „Richtliniendetails (Vorschau)“ in Microsoft Entra mit bedingtem Zugriff.

Auf der linken Seite werden die bei der Anmeldung erfassten Details angezeigt, auf der rechte Seite Informationen darüber, ob diese Details den Anforderungen der angewendeten Richtlinien für bedingten Zugriff entsprechen. Richtlinien für bedingten Zugriff gelten nur, wenn alle Bedingungen erfüllt oder nicht konfiguriert sind.

Wenn die im Ereignis angezeigten Informationen nicht ausreichen, um die Anmeldeergebnisse zu verstehen oder die Richtlinie anzupassen, um die gewünschten Ergebnisse zu erhalten, kann ein Supportfall geöffnet werden. Navigieren Sie zur Registerkarte "Problembehandlung und Support" dieses Anmeldeereignisses, und wählen Sie " Neue Supportanfrage erstellen" aus.

Screenshot der Registerkarte „Problembehandlung und Support“ des Anmeldeereignisses. Der Assistent hilft beim Beheben von Problemen.

Geben Sie bei der Übermittlung des Vorfalls die Anforderungs-ID sowie Uhrzeit und Datum des Anmeldeereignisses in den Details an. Diese Informationen ermöglichen es dem Microsoft-Support, das betreffende Ereignis zu finden.