Resolución de problemas de inicio de sesión con el acceso condicional

La información de este artículo se puede usar para solucionar problemas de resultados inesperados de inicio de sesión relacionados con el acceso condicional mediante mensajes de error y el registro de inicios de sesión de Microsoft Entra.

Selección de "todas" las consecuencias

El marco de trabajo de acceso condicional le proporciona una gran flexibilidad de configuración. Sin embargo, una gran flexibilidad también implica revisar cuidadosamente cada directiva de configuración antes de liberarla para evitar resultados no deseados. En este contexto, debe prestar especial atención a las asignaciones que afectan a conjuntos completos, como todos los usuarios / grupos / aplicaciones en la nube.

Las organizaciones deberían evitar las siguientes configuraciones:

Para todos los usuarios, todos los recursos:

  • Bloquear acceso: esta configuración bloquea toda la organización.
  • Requerir que el dispositivo esté marcado como compatible: para usuarios que aún no han inscrito sus dispositivos, esta directiva bloquea todo el acceso, incluido el acceso al portal de Intune. Si es un administrador y no tiene un dispositivo inscrito, esta directiva le impide volver a acceder para cambiar la directiva.
  • Requerir dispositivo unido a Microsoft Entra: este acceso al bloqueo de directivas también ofrece la posibilidad de bloquear el acceso a todos los usuarios de su organización si no tiene un dispositivo unido a Microsoft Entra.
  • Requerir la directiva de protección de aplicaciones: este acceso al bloqueo de directivas también ofrece la posibilidad de bloquear el acceso a todos los usuarios de su organización si no tiene una directiva de Intune. Si es un administrador sin una aplicación cliente que tenga una directiva de protección de aplicaciones de Intune, esta directiva le impedirá acceder a portales como el de Intune o el de Azure.

Para todos los usuarios, todos los recursos, todas las plataformas de dispositivos:

  • Bloquear acceso: esta configuración bloquea toda la organización.

Interrupción de inicio de sesión del acceso condicional

El primer método consiste en revisar el mensaje de error que aparece. En el caso de los problemas de inicio de sesión al usar un explorador web, la página de error en sí contiene información detallada. Esta información por sí sola podría describir cuál es el problema y puede sugerir una solución.

Captura de pantalla que muestra un error de inicio de sesión en el que se requiere un dispositivo compatible.

En el error anterior, el mensaje indica que solo se puede obtener acceso a la aplicación desde dispositivos o aplicaciones cliente que cumplan la directiva de administración de dispositivos móviles de la empresa. En este caso, la aplicación y el dispositivo no cumplen la directiva.

Eventos de inicio de sesión de Microsoft Entra

El segundo método para obtener información detallada sobre la interrupción del inicio de sesión consiste en revisar los eventos de inicio de sesión de Microsoft Entra para ver qué directivas de acceso condicional se han aplicado y por qué.

Para obtener más información sobre el problema, haga clic en Más detalles en la página inicial del error. Al hacer clic en Más detalles se muestra información de resolución de problemas que resulta útil al buscar en los eventos de inicio de sesión de Microsoft Entra el evento de error concreto que ha visto el usuario o al abrir un incidente de soporte técnico con Microsoft.

Captura de pantalla que muestra más detalles de un inicio de sesión en el explorador web interrumpido de acceso condicional.

Para averiguar qué directiva o directivas de acceso condicional se han aplicado y por qué, haga lo siguiente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

  2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.

  3. Busque el evento del inicio de sesión que se va a revisar. Agregue o quite filtros y columnas para filtrar la información innecesaria.

    1. Restrinja el ámbito agregando filtros como:
      1. Id. de correlación si tiene un evento específico para investigar.
      2. Acceso condicional para ver el mensaje de error y de confirmación de la directiva. Defina el ámbito del filtro para mostrar solo los errores a fin de limitar los resultados.
      3. Nombre de usuario para ver información relacionada con usuarios específicos.
      4. Fecha con el ámbito definido para el período de tiempo en cuestión.

    Captura de pantalla que muestra la selección del filtro de acceso condicional en el registro de inicios de sesión.

  4. Una vez que se encuentre el evento de inicio de sesión correspondiente al error de inicio de sesión del usuario, seleccione la pestaña Acceso condicional. En la pestaña Acceso condicional se muestran la directiva o directivas específicas que provocaron la interrupción del inicio de sesión.

    1. La información de la pestaña Solución de problemas y soporte técnico podría proporcionar una razón clara sobre por qué se produjo un error de inicio de sesión, como un dispositivo que no cumple los requisitos de cumplimiento.
    2. Para seguir investigando, explore en profundidad la configuración de las directivas haciendo clic en el nombre de la directiva. Al hacer clic en el nombre de la directiva se muestra la interfaz de usuario de configuración de la directiva seleccionada para revisarla y editarla.
    3. El usuario de cliente y los detalles del dispositivo usados para la evaluación de la directiva de acceso condicional también están disponibles en las pestañas Información básica, Ubicación, Información del dispositivo, Detalles de autenticación y Detalles adicionales del evento de inicio de sesión.

La directiva no funciona según lo previsto

Al seleccionar los puntos suspensivos situados a la derecha de la directiva en un evento de inicio de sesión, se muestran los detalles de la directiva. Esta opción ofrece a los administradores información adicional sobre si una directiva se aplicó correctamente o no.

Captura de pantalla en la que se muestran los detalles de la directiva de acceso condicional para ver por qué se ha aplicado o no la directiva.

En el lado izquierdo se proporcionan los detalles recopilados en el inicio de sesión y en el lado derecho se detalla si cumplen los requisitos de las directivas de acceso condicional aplicadas. Las directivas de acceso condicional solo se aplican cuando se cumplen todas las condiciones o no se han configurado.

Si la información del problema no es suficiente para comprender los resultados de inicio de sesión o para ajustar la directiva a fin de obtener los resultados deseados, se puede utilizar la herramienta de diagnóstico de inicio de sesión. El diagnóstico de inicio de sesión se puede encontrar en Información básica> Resolución de problemas. Para obtener más información sobre el diagnóstico de inicio de sesión, consulte el artículo Qué es el diagnóstico de inicio de sesión en Microsoft Entra ID. También puede usar la herramienta What If para solucionar problemas de directivas de acceso condicional.

Al enviar el incidente, proporcione el id. de solicitud y la fecha y hora del problema de inicio de sesión en los detalles del envío del incidente. Esta información permite al servicio de soporte técnico de Microsoft encontrar el problema que le preocupa.

Códigos de error comunes del acceso condicional

Código de error de inicio de sesión Cadena de error
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Para obtener más información sobre los códigos de error, consulte el artículo Autenticación de Microsoft Entra y códigos de error de autorización. Los códigos de error de la lista aparecen con un prefijo AADSTS seguido del código que se ve en el explorador, por ejemplo AADSTS53002.

Dependencias del servicio

En algunos escenarios específicos, los usuarios se bloquean porque hay aplicaciones en la nube con dependencias en los recursos bloqueados por la directiva de acceso condicional.

Para determinar la dependencia del servicio, compruebe el registro de inicios de sesión de la aplicación y el recurso a los que llama el inicio de sesión. En la captura de pantalla siguiente, la aplicación a la que se llama es Azure Portal, pero el recurso al que se llama es la Service Management API de Windows Azure. Para tener como destino este escenario, todas las aplicaciones y recursos deben combinarse de forma similar en la directiva de acceso condicional.

Captura de pantalla que muestra un registro de inicio de sesión de ejemplo que muestra una aplicación que llama a un recurso. Este escenario también se conoce como dependencia del servicio.

Qué hacer si está bloqueado

Si está bloqueado debido a una configuración incorrecta de una directiva de acceso condicional:

  • Compruebe si hay otros administradores en su organización que aún no estén bloqueados. Un administrador con acceso puede deshabilitar la directiva que está afectando al inicio de sesión.
  • Si ninguno de los administradores de la organización puede actualizar la directiva, envíe una solicitud de soporte técnico. El servicio de soporte técnico de Microsoft puede revisar y, tras la confirmación, actualizar las directivas de acceso condicional que impidan el acceso.

Pasos siguientes