Conditional Access Compliant Network check: SharePoint Online Anmeldefehler
Ausgangsituation:
Global Secure Access Internet Access wird in Verbindung mit Conditional Access zur Abfrage der Compliant Network Location eingesetzt. Das bedeutet, dass der zugreifende Client für den Zugriff auf M365-Apps zwingend über das Global Secure Access Network zugreifen muss.
Alle anderen zugreifenden IP-Adressen werden entsprechend an der Anmeldung gehindert.
Die CA-Policy wurde wie folgt angelegt:
Sonderfall: SharePoint Online
Problematisch wurde nach Einschalten der CA Location-Policy der User-Zugriff auf SharePoint Online-Services (SharePoint Web, Teams Dateien Tab, OneDrive for Businss Web) über das Windows Betriebssystem.
Das Fehlerbild sah wie folgt aus:
Trotz Eingabe der Anmeldedaten konnte die Authentifizierung nicht erfolgreich durchgeführt werden.
Bugfix durch den Microsoft-Support
Da die Recherche keinerlei weitere Fortschritte brachte, wurde zu guter Letzt ein Ticket bei Microsoft eröffnet. Dem Support war das Fehlerbild sofort bekannt und so konnte sehr schnell ein Lösungsvorschlag angeboten werden.
Schnell wurde eine Einstellung im Session Management der GSA-Konfiguration als Fehlerursache ausgemacht.
Einstellung im Kunden-Tenant:
Einstellung im Kunden-Tenant nach Bugfix durch den Microsoft-Support:
Durch die Bereitstellung einer “modifizierten” URL für den Zugriff auf das GSA Session Management konnte nachfolgendes Setting aktiviert werden:
Mittels nachfolgender URL kann das PREVIEW-Feature im Tenant aktiviert werden:
https://entra.microsoft.com/?GSAOfficePreview=true&Microsoft_Azure_Network_Access=stage1#view/Microsoft_Azure_Network_Access/Security.ReactView
Hinweis: Laut Microsoft-Support sollte dieser (bekannte) Bug bereits in den meisten M365-Tenants abgeschaltet sein.