条件访问身份验证强度疑难解答

  • 项目

本主题介绍了使用 Microsoft Entra 条件访问身份验证强度时可能遇到的错误以及如何解决这些错误。

系统要求用户使用其他方法登录,但用户没有看到期望的方法

若要登录,身份验证方法需要:

  • 为用户注册
  • 由身份验证方法策略启用

有关详细信息,请参阅:条件访问身份验证强度如何工作

若要验证是否可以使用某个方法:

  1. 检查所需的身份验证强度。 单击“安全性”>“身份验证方法”>“身份验证强度”。
  2. 检查是否为用户启用了所需方法:
    1. 检查身份验证方法策略,查看是否为用户启用了身份验证强度所需的任何方法。 单击“安全性”>“身份验证方法”>“策略”。
    2. 根据需要检查是否为租户启用了身份验证强度所需的任何方法。 单击“安全性”>“多重身份验证”>“其他基于云的多重身份验证设置”。
  3. 检查身份验证方法策略中为用户注册的身份验证方法。 单击“用户和组”>“用户名”>“身份验证方法”。

如果已为用户注册了满足身份验证强度的已启用方法,则用户可能需要使用在进行主要身份验证后不可用的其他方法,例如 Windows Hello 企业版。 有关详细信息,请参阅每种身份验证方法的工作原理。 用户需要重启会话,选择“登录”选项,并选择身份验证强度所需的方法。

Screenshot of how to choose another sign-in method.

用户无法访问资源

如果身份验证强度所需的是用户无法使用的方法,则将阻止用户登录。 若要检查身份验证强度所需的方法以及为用户注册并启用的方法,请按照上一部分中的步骤操作。

如何检查登录期间强制执行的身份验证强度

使用“登录”日志查找有关登录的更多信息:

  • 在“身份验证详细信息”选项卡下,“要求”列显示了身份验证强度策略的名称。

    Screenshot showing the authentication strength in the sign-in log.

  • 在“条件访问”选项卡下,可以看到应用的条件访问策略。 单击策略的名称并查找“授权控制”,查看强制执行的身份验证强度。

    Screenshot showing the authentication strength under Conditional Access Policy details in the sign-in log.

用户在登录期间无法注册新方法

某些方法无法在登录期间注册,或者需要在合并注册之外进行更多设置。 有关详细信息,请参阅注册无密码身份验证方法

Screenshot of a sign-in error when they are unable to register the method.

后续步骤