Fehlerbehebung bei Microsoft Entra ID

Ausgabe

Ein Benutzer kann sich nicht im VPN-Portal anmelden und es wird folgende Fehlermeldung angezeigt:

You don't have permission to sign in to the VPN portal. Contact your firewall administrator.

Ursache

Aufgrund verschiedener Probleme, wie beispielsweise des verwendeten Browsers oder Konfigurationsproblemen, können die Benutzer nicht auf das VPN-Portal zugreifen.

Im Protokoll-Viewer können Sie folgende Fehlermeldungen sehen:

• User not authorized
• Invalid credentials

Lösung

Um Ihr Problem zu lösen, befolgen Sie die folgenden Schritte.

Browserprüfung

Melden Sie sich mit einem anderen Browser an, um Browserkompatibilitätsprobleme und Probleme mit Erweiterungen auszuschließen.

VPN-Portalzugriff

Stellen Sie sicher, dass die Microsoft Entra ID-Gruppe des Benutzers der Liste der zulässigen Benutzer für IPsec-VPN oder SSL-VPN hinzugefügt wurde. Benutzer, die in keiner der beiden Richtlinien aufgeführt sind, können nicht auf das VPN-Portal zugreifen, selbst wenn die SSO-Authentifizierung erfolgreich war.

Um den VPN-Portalzugriff des Benutzers zu überprüfen, gehen Sie wie folgt vor:

• Remote-Zugriff über IPsec-VPN

  1. Gehe zu VPN-Fernzugriff > IPsec.
  2. Stellen Sie sicher, dass die Microsoft Entra ID-Gruppe des Benutzers ausgewählt ist in Zugelassene Benutzer und Gruppen.

• Fernzugriff per SSL-VPN

  1. Gehe zu VPN-Fernzugriff > SSL-VPN.
  2. Klicken Sie hier, um Ihre SSL-VPN-Konfiguration für den Fernzugriff zu konfigurieren.
  3. Stellen Sie sicher, dass die Microsoft Entra ID-Gruppe des Benutzers ausgewählt ist in Richtlinienmitglieder.

Authentifizierungsmethoden

Prüfen Sie die Anforderungen für die Authentifizierungsmethoden IPsec-VPN und SSL-VPN für den Fernzugriff. Siehe Anforderungen.

Fehlkonfigurationen können zu Anmeldefehlern führen, wie z. B. Autorisierungs- und Anmeldeinformationsfehlern.

Ausgabe

Sie können nicht darauf klicken. Single Sign-On (SSO) Wenn ich im Sophos Connect Client (SCC) auf die Schaltfläche klicke, wird folgender Fehler angezeigt:

SSO is not configured. Please contact your administrator.

Ursache

Konfigurationsprobleme.

Lösung

Um Ihr Problem zu lösen, befolgen Sie die folgenden Schritte.

Verbindungstest

Überprüfen Sie die Verbindung der Firewall zum Microsoft Entra ID-Server wie folgt:

1. Gehe zu Authentifizierung > Server.
2. Klicken Sie auf Ihren Microsoft Entra ID-Server.

3. Klicken Testverbindung.

   Stellen Sie sicher, dass der Test erfolgreich war. Falls nicht, überprüfen Sie Ihre Konfiguration. Siehe Microsoft Entra ID (Azure AD) Server.

Authentifizierungsmethoden

Überprüfen Sie die Authentifizierungsmethode für SSL-VPN-Authentifizierungsmethoden wie folgt:

1. Gehe zu Authentifizierung > Dienstleistungen.
2. Stellen Sie sicher, dass Ihr Microsoft Entra ID-Server eingerichtet ist. SSL-VPN-Authentifizierungsmethoden.

Ausgabe

SSO funktioniert nicht und zeigt folgenden Fehler an:

Selected user account does not exist in tenant <tenant ID> and cannot access the application <application ID> in that tenant.

Ursache

Der Benutzer existiert in der Mandantenanwendung nicht, da die Authentifizierungsmethoden für den Remotezugriff über IPsec-VPN und SSL-VPN unterschiedliche Microsoft Entra ID-Server verwenden.

Lösung

Um Ihr Problem zu lösen, befolgen Sie die folgenden Schritte.

Authentifizierungsmethoden

Prüfen Sie die Anforderungen für die Authentifizierungsmethoden IPsec-VPN und SSL-VPN für den Fernzugriff. Siehe Anforderungen.

Fehlkonfigurationen können zu Anmeldefehlern führen, wie z. B. Autorisierungs- und Anmeldeinformationsfehlern.

Erzwingen einer erneuten SSO-Anmeldung

Wenn sich Benutzer per SSO anmelden und über einen gemeinsam genutzten Endpunkt eine Verbindung zum Netzwerk herstellen, empfehlen wir, eine erneute SSO-Anmeldung zu erzwingen. Siehe Erzwingen einer erneuten SSO-Anmeldung.