Solución de problemas de acceso condicional

  • Artículo

En este artículo se describe qué hacer cuando los usuarios no pueden obtener acceso a los recursos protegidos con acceso condicional o cuando los usuarios pueden acceder a recursos protegidos, pero deben bloquearse.

Con Intune y acceso condicional, puede proteger el acceso a los servicios de Microsoft 365, como Exchange Online y SharePoint Online, y a otros servicios. Esta funcionalidad le permite asegurarse de que solo los dispositivos inscritos con Intune y conformes a las reglas de acceso condicional que establezca en Intune o Microsoft Entra ID tengan acceso a los recursos de la empresa.

Requisitos para el acceso condicional

Se deben cumplir los siguientes requisitos para que el acceso condicional funcione:

  • El dispositivo debe estar inscrito en la administración de dispositivos móviles (MDM) y administrado por Intune.

  • Tanto el usuario como el dispositivo deben ser compatibles con las directivas de cumplimiento de Intune asignadas.

  • De forma predeterminada, al usuario se le debe asignar una directiva de cumplimiento de dispositivos. Esto puede depender de la configuración de la configuración Marcar dispositivos sin ninguna directiva de cumplimiento asignada como que se encuentra enConfiguración de directiva de cumplimiento> de dispositivos en el portal de administración de Intune.

  • Exchange ActiveSync debe activarse en el dispositivo si el usuario usa el cliente de correo nativo del dispositivo en lugar de Outlook. Esto sucede automáticamente para dispositivos iOS/iPadOS y Android Knox.

  • Para Exchange local, el Intune Exchange Connector debe estar configurado correctamente. Para obtener más información, consulte Solución de problemas de Exchange Connector en Microsoft Intune.

  • Para Skype local, debe configurar la autenticación moderna híbrida. Consulte Introducción a la autenticación moderna híbrida.

Puede ver estas condiciones para cada dispositivo en el Azure Portal y en el informe de inventario de dispositivos.

Los dispositivos parecen compatibles, pero los usuarios siguen bloqueados

  • Asegúrese de que el usuario tiene una licencia de Intune asignada para una evaluación de cumplimiento adecuada.

  • No se concederá acceso a los dispositivos Android que no sean Knox hasta que el usuario haga clic en el vínculo Empezar ahora en el correo electrónico de cuarentena que recibe. Esto se aplica incluso si el usuario ya está inscrito en Intune. Si el usuario no recibe el correo electrónico con el vínculo en su teléfono, puede usar un equipo para acceder a su correo electrónico y reenviarlo a una cuenta de correo electrónico en su dispositivo.

  • Cuando un dispositivo se inscribe por primera vez, puede tardar algún tiempo en registrarse información de cumplimiento para un dispositivo. Espere unos minutos e inténtelo de nuevo.

  • Para dispositivos iOS/iPadOS, un perfil de correo electrónico existente podría bloquear la implementación de un perfil de correo electrónico creado por el administrador Intune asignado a ese usuario, lo que hace que el dispositivo no sea compatible. En este escenario, la aplicación Portal de empresa notificará al usuario que no es compatible debido a su perfil de correo electrónico configurado manualmente y le pide que quite ese perfil. Una vez que el usuario quita el perfil de correo electrónico existente, el perfil de correo electrónico Intune se puede implementar correctamente. Para evitar este problema, indique a los usuarios que quiten los perfiles de correo electrónico existentes en su dispositivo antes de inscribirse.

  • Es posible que un dispositivo se bloquee en un estado de cumplimiento de comprobación, lo que impide que el usuario inicie otra comprobación. Si tiene un dispositivo en este estado:

    • Asegúrese de que el dispositivo usa la versión más reciente de la aplicación Portal de empresa.
    • Reinicie el dispositivo.
    • Compruebe si el problema persiste en redes diferentes (por ejemplo, telefonía móvil, Wi-Fi, etc.).

    Si el problema persiste, póngase en contacto con Soporte técnico de Microsoft como se describe en Obtener soporte técnico en Microsoft Intune.

  • Es posible que algunos dispositivos Android parezcan estar cifrados, pero la aplicación Portal de empresa reconoce estos dispositivos como no cifrados y los marca como no conformes. En este escenario, el usuario verá una notificación en la aplicación Portal de empresa pidiéndole que establezca un código de acceso de inicio para el dispositivo. Después de pulsar la notificación y confirmar el PIN o la contraseña existentes, elija la opción Requerir PIN para iniciar el dispositivo en la pantalla Inicio seguro y, a continuación, pulse el botón Comprobar cumplimiento del dispositivo desde la aplicación Portal de empresa. El dispositivo ahora debe detectarse como cifrado.

    Nota:

    Algunos fabricantes de dispositivos cifran sus dispositivos mediante un PIN predeterminado en lugar de un PIN establecido por el usuario. Intune ve el cifrado que usa un PIN predeterminado como no seguro y marca esos dispositivos como no conformes hasta que el usuario crea un nuevo PIN no predeterminado.

  • Es posible que un dispositivo Android inscrito y compatible siga bloqueado y reciba un aviso de cuarentena al intentar acceder por primera vez a los recursos corporativos. Si esto ocurre, asegúrese de que la aplicación de Portal de empresa no se está ejecutando y, a continuación, seleccione el vínculo Empezar ahora en el correo electrónico de cuarentena para desencadenar la evaluación. Esto solo debe realizarse cuando el acceso condicional esté habilitado por primera vez.

  • Un dispositivo Android inscrito podría pedir al usuario que "No se encontraron certificados" y que no se le conceda acceso a los recursos de Microsoft 365. El usuario debe habilitar la opción Habilitar acceso al explorador en el dispositivo inscrito de la siguiente manera:

    1. Abra la aplicación Portal de empresa.
    2. Vaya a la página Configuración desde los puntos triples (...) o el botón de menú hardware.
    3. Seleccione el botón Habilitar acceso al explorador .
    4. En el explorador Chrome, cierre la sesión de Microsoft 365 y reinicie Chrome.

  • Las aplicaciones de escritorio deben usar métodos de autenticación modernos que se basan en un símbolo del sistema de autenticación que se muestra en un explorador web o en un agente de autenticación. Los scripts que envían contraseñas directamente pueden proporcionar una prueba de la identidad de un dispositivo solo si usan un agente de autenticación.

Los dispositivos están bloqueados y no se recibe ningún correo electrónico de cuarentena

  • Compruebe que el dispositivo está presente en la consola de administración de Intune como dispositivo Exchange ActiveSync. Si no es así, es probable que se produzca un error en la detección de dispositivos, probablemente debido a un problema de Exchange Connector. Para obtener más información, consulte Solución de problemas de Intune Exchange Connector.

  • Antes de que Exchange Connector bloquee un dispositivo, envía un correo electrónico de activación (cuarentena). Si el dispositivo está sin conexión, es posible que no reciba el correo electrónico de activación.

  • Compruebe si el cliente de correo electrónico del dispositivo está configurado para recuperar el correo electrónico mediante Push en lugar de Poll. Si es así, esto podría hacer que el usuario se pierda el correo electrónico. Cambie a Sondear y vea si el dispositivo recibe el correo electrónico.

Los dispositivos no son compatibles, pero los usuarios no están bloqueados

  • Para equipos Windows, el acceso condicional solo bloquea la aplicación de correo electrónico nativa, Office 2013 con autenticación moderna o Office 2016. El bloqueo de versiones anteriores de Outlook o de todas las aplicaciones de correo en equipos Windows requiere configuraciones de Microsoft Entra registro de dispositivos y Servicios de federación de Active Directory (AD FS) (AD FS) según cómo: Bloquear la autenticación heredada para Microsoft Entra ID con condicional Acceso.

  • Si el dispositivo se borra o se retira de forma selectiva de Intune, es posible que siga teniendo acceso durante varias horas después de la retirada. Esto se debe a que Exchange almacena en caché los derechos de acceso durante seis horas. Tenga en cuenta otros medios de protección de datos en dispositivos retirados en este escenario.

  • Los dispositivos Windows inscritos en Surface Hub, Bulk-Enrolled y DEM pueden admitir el acceso condicional cuando un usuario al que se asigna una licencia para Intune haya iniciado sesión. Sin embargo, debe implementar la directiva de cumplimiento en grupos de dispositivos (no en grupos de usuarios) para una evaluación correcta.

  • Compruebe las asignaciones de las directivas de cumplimiento y las directivas de acceso condicional. Si un usuario no está en el grupo al que se asignan las directivas o está en un grupo excluido, el usuario no se bloqueará. Solo se comprueba el cumplimiento de los dispositivos de los usuarios de un grupo asignado.

El dispositivo no compatible no está bloqueado

Si un dispositivo no es compatible pero sigue teniendo acceso, realice las siguientes acciones.

  • Revise los grupos de destino y exclusión. Si un usuario no está en el grupo de destino correcto o está en el grupo de exclusión, no se bloqueará. Solo se comprueba el cumplimiento de los dispositivos de los usuarios de un grupo de destino.

  • Asegúrese de que se está detectando el dispositivo. ¿Exchange Connector apunta a un CAS de Exchange 2010 mientras el usuario está en un servidor de Exchange 2013? En este caso, si la regla de Exchange predeterminada es Permitir, incluso si el usuario está en el grupo de destino, Intune no puede tener en cuenta la conexión del dispositivo a Exchange.

  • Compruebe la existencia o el estado de acceso del dispositivo en Exchange:

    • Use este cmdlet de PowerShell para obtener una lista de todos los dispositivos móviles de un buzón: "Get-MobileDeviceStatistics -mailbox mbx". Si el dispositivo no aparece en la lista, no tiene acceso a Exchange. Para obtener más información, consulte los documentos de Exchange PowerShell.

    • Si el dispositivo aparece en la lista, use "Get-CASmailbox -identity:'upn" | cmdlet fl' para obtener información detallada sobre su estado de acceso y proporcionar esa información para Soporte técnico de Microsoft. Para obtener más información, consulte los documentos de Exchange PowerShell.

Errores de inicio de sesión con acceso condicional basado en la aplicación

Intune directivas de protección de aplicaciones le ayudan a proteger los datos de la empresa en el nivel de aplicación, incluso en los dispositivos que no administra en Intune. Si los usuarios no pueden iniciar sesión en aplicaciones protegidas, puede haber un problema con las directivas de acceso condicional basadas en aplicaciones. Consulte Solución de problemas de inicio de sesión con acceso condicional para obtener instrucciones detalladas.