Inhalt

The case of the... Die von Ihnen verwendete Anmeldemethode ist nicht zulässig

The case of the...

In dieser Kategorie veröffentliche ich Blogeinträge, in denen ich ein Problem, die Lösung und den Weg dorthin erläutere.

Der Name ist Homage an “The Case of the Unexplained” von Mark Russinovich.

Der Fehler

Du nutzt das Feature Anmelden bei einem virtuellen Windows-Computer in Azure mit der Azure Active Directory-Authentifizierung und die Benutzer erhalten bei der Anmeldung folgende Fehlermeldung.

Fehler
Die von Ihnen verwendete Anmeldemethode ist nicht zulässig. Verwenden Sie eine andere Anmeldemethode, oder wenden Sie sich an Ihren Systemadministrator.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/Sign-inMethodNotAllowed-de.png

Im Troubleshooting Guide von Microsoft wird beschrieben, dass die Ursache eine konfigurierten Conditional Access Policy mit Multi-Faktor Authentifizierung (MFA), einer nicht unterstützten Windows 10 Client Version und nicht aktiviertem Windows Hello for Business ist.

Aber was, wenn alle Voraussetzungen erfüllt sind?

  • Der Client hat Windows Hello for Business konfiguriert
  • Die installierte Windows 10 Version ist 1809 oder neuer
    Für Anmeldung mit Biometrie ist diese notwendig, mit PIN ging es schon länger.

Die Analyse

Eventlog

Das Security Eventlog auf dem Server war nicht sehr ergiebig.
Der Anmeldungsvorgang wird mit einem fehlerhaften Login im Kontext des SYSTEM Accounts geloggt.

EventID 4625 An account failed to log on
SubjectDomainName WORKGROUP
SubjectLogonId 0x3e7 SYSTEM
TargetUserSid S-1-0-0 SYSTEM
Status 0xc000006d An account failed to log on
FailureReason %%2304 An Error occurred during Logon
SubStatus 0xc0000250
LogonType 10 Remote interactive logon
LogonProcessName User32
AuthenticationPackageName Negotiate

Weitere Informationen waren auf dem Server nicht zu finden.

Azure AD Sign-In Logs

Da es sich hierbei um einen Login am Entra ID (Azure AD) handelt, müssen dort weitere Logs vorliegen.

Interactive Sign-In Logs

In den interaktiven Sign-In Logs finden sich keinerlei Informationen zu diesem Login. Das war zu erwarten, da die Anmeldung mit Windows Hello for Business, nicht interaktiv ist, sondern mit dem Entra ID (Azure AD) Benutzerzertifikat durchgeführt wird.

Non-interactive Sign-In Logs

Im ersten Schritt habe ich nur nach fehlerhaften Logins für den betroffenen Benutzer gefiltert.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/Sign-InLogsFailureFilter.png

Dabei sind mir folgende Windows Sign-In Logs ins Auge gefallen. Die Anmeldung erfolgt am Policy Administration Service von einer IP Adresse aus dem Microsoft Rechenzentrum in Amsterdam (West Europe).

Wichtig ist bei den nicht interaktiven Logs ist, dass die Events gruppiert werden. Im Standard werden alle Events eines Tages zusammengefasst angezeigt und können dann erweitert werden.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/Sign-InLogsFailureEntries.png

Die Fehlermeldung hier war eindeutig:

Failure reason
Device is not in required device state: {state}. Conditional Access policy requires a compliant device, and the device is not compliant. The user must enroll their device with an approved MDM provider like Intune.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/Sign-InLogsFailureReason.png

Ein Blick in die Device Infos zeigt, dass der Server als noncompliant angezeigt wird.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/Sign-InLogsFailureDeviceTab.png

Die Ursache

In diesem Fall ist dies völlig korrekt. Der Windows Server wird nicht durch Intune verwaltet und soll dies ohne offiziellen Support nicht werden.

Die betreffende Conditional Access Policy erfordert aber bei der Anmeldung an Cloud Apps grundsätzlich ein compliant Device.

Wer alle betroffenen Benutzer ausfindig machen möchte, kann folgende KQL Abfrage in den Entra ID (Azure AD) Logs nutzen.

AADNonInteractiveUserSignInLogs
| where AppId == "38aa3b87-a06d-4817-b275-7a316988d93b"
| where ConditionalAccessStatus == "failure"
| sort by CreatedDateTime
| project CreatedDateTime, UserPrincipalName,AppDisplayName, AppId, IPAddress, ConditionalAccessStatus, ConditionalAccessPolicies

Die Lösung

Die Lösung ist in diesem Fall die Cloud App “Azure Windows VM Sign-In” von der entsprechenden Conditional Access Policy auszunehmen.

Dies ist etwas unintuitiv, da die im Log angezeigte App der Policy Administration Service ist. Zum Glück hat Microsoft aber die korrekte App schon bei der Ausnahme für MFA Authentifizierung dokumentiert.

/the-case-of-die-von-ihnen-verwendete-anmeldemethode-ist-nicht-zulassig/images/ConditionalAccessPolicyExcludeVMAzureVMSignin.png