Rozwiązywanie problemów z dostępem warunkowym

  • Artykuł

W tym artykule opisano, co zrobić, gdy użytkownicy nie uzyskają dostępu do zasobów chronionych dostępem warunkowym lub gdy użytkownicy mogą uzyskiwać dostęp do chronionych zasobów, ale powinny być blokowane.

Dzięki Intune i dostępowi warunkowi można chronić dostęp do usług platformy Microsoft 365, takich jak Exchange Online i SharePoint Online, oraz różnych innych usług. Ta funkcja umożliwia upewnienie się, że tylko urządzenia zarejestrowane w Intune i zgodne z regułami dostępu warunkowego ustawionymi w Intune lub Tożsamość Microsoft Entra mają dostęp do zasobów firmy.

Wymagania dotyczące dostępu warunkowego

Aby dostęp warunkowy działał, należy spełnić następujące wymagania:

  • Urządzenie musi być zarejestrowane w zarządzaniu urządzeniami przenośnymi (MDM) i zarządzane przez Intune.

  • Zarówno użytkownik, jak i urządzenie muszą być zgodne z przypisanymi zasadami zgodności Intune.

  • Domyślnie użytkownik musi mieć przypisane zasady zgodności urządzeń. Może to zależeć od konfiguracji ustawienia Oznacz urządzenia bez przypisanych zasad zgodności, które znajdują się w obszarzeUstawienia zasad zgodności>urządzeńw portalu administracyjnym Intune.

  • Exchange ActiveSync musi zostać aktywowana na urządzeniu, jeśli użytkownik korzysta z natywnego klienta poczty urządzenia, a nie programu Outlook. Dzieje się to automatycznie w przypadku urządzeń z systemami iOS/iPadOS i Android Knox.

  • W przypadku lokalnego programu Exchange program Intune Exchange Connector musi być poprawnie skonfigurowany. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z programem Exchange Connector w Microsoft Intune.

  • W przypadku lokalnego programu Skype należy skonfigurować nowoczesne uwierzytelnianie hybrydowe. Zobacz Omówienie uwierzytelniania nowoczesnego hybrydowego.

Te warunki dla każdego urządzenia można wyświetlić w Azure Portal i w raporcie spisu urządzeń.

Urządzenia wydają się zgodne, ale użytkownicy są nadal blokowane

  • Upewnij się, że użytkownik ma przypisaną licencję Intune na potrzeby właściwej oceny zgodności.

  • Urządzenia z systemem Android spoza systemu Knox nie będą miały dostępu, dopóki użytkownik nie kliknie linku Rozpocznij teraz w otrzymanej wiadomości e-mail kwarantanny. Ma to zastosowanie nawet wtedy, gdy użytkownik jest już zarejestrowany w Intune. Jeśli użytkownik nie otrzyma wiadomości e-mail z linkiem w telefonie, może użyć komputera, aby uzyskać dostęp do poczty e-mail i przekazać ją do konta e-mail na swoim urządzeniu.

  • Po pierwszym zarejestrowaniu urządzenia może upłynąć trochę czasu, gdy informacje o zgodności zostaną zarejestrowane dla urządzenia. Poczekaj kilka minut i spróbuj ponownie.

  • W przypadku urządzeń z systemem iOS/iPadOS istniejący profil poczty e-mail może zablokować wdrożenie profilu poczty e-mail utworzonego przez administratora Intune przypisanego do tego użytkownika, co powoduje niezgodność urządzenia. W tym scenariuszu aplikacja Portal firmy powiadomi użytkownika, że nie jest zgodny z powodu ręcznie skonfigurowanego profilu poczty e-mail, i wyświetli monit o usunięcie tego profilu. Gdy użytkownik usunie istniejący profil poczty e-mail, profil Intune poczty e-mail może zostać pomyślnie wdrożony. Aby zapobiec temu problemowi, przed zarejestrowaniem należy poinstruować użytkowników, aby usunęli wszystkie istniejące profile poczty e-mail na urządzeniu.

  • Urządzenie może utknąć w stanie sprawdzania zgodności, uniemożliwiając użytkownikowi rozpoczęcie kolejnego ewidencjonowania. Jeśli masz urządzenie w tym stanie:

    • Upewnij się, że urządzenie korzysta z najnowszej wersji aplikacji Portal firmy.
    • Uruchom urządzenie ponownie.
    • Sprawdź, czy problem nadal występuje w różnych sieciach (na przykład w sieci komórkowej, sieci Wi-Fi itp.).

    Jeśli problem pozostanie, skontaktuj się z pomoc techniczna firmy Microsoft zgodnie z opisem w temacie Uzyskiwanie pomocy technicznej w Microsoft Intune.

  • Niektóre urządzenia z systemem Android mogą wydawać się szyfrowane, jednak aplikacja Portal firmy rozpoznaje te urządzenia jako niezaszyfrowane i oznacza je jako niezgodne. W tym scenariuszu użytkownik zobaczy powiadomienie w aplikacji Portal firmy z prośbą o skonfigurowanie kodu dostępu do uruchamiania urządzenia. Po naciśnięciu powiadomienia i potwierdzeniu istniejącego numeru PIN lub hasła wybierz opcję Wymagaj numeru PIN do uruchomienia urządzenia na ekranie bezpiecznego uruchamiania, a następnie naciśnij przycisk Sprawdź zgodność dla urządzenia z aplikacji Portal firmy. Urządzenie powinno być teraz wykrywane jako zaszyfrowane.

    Uwaga

    Niektórzy producenci urządzeń szyfrują swoje urządzenia przy użyciu domyślnego numeru PIN zamiast numeru PIN ustawionego przez użytkownika. Intune wyświetla szyfrowanie, które używa domyślnego numeru PIN jako niezabezpieczonego i oznacza te urządzenia jako niezgodne, dopóki użytkownik nie utworzy nowego, niewykonanego numeru PIN.

  • Zarejestrowane i zgodne urządzenie z systemem Android może nadal zostać zablokowane i otrzymać powiadomienie o kwarantannie podczas pierwszej próby uzyskania dostępu do zasobów firmy. Jeśli tak się stanie, upewnij się, że aplikacja Portal firmy nie jest uruchomiona, a następnie wybierz link Rozpocznij teraz w wiadomości e-mail kwarantanny, aby wyzwolić ocenę. Należy to zrobić tylko po pierwszym włączeniu dostępu warunkowego.

  • Zarejestrowane urządzenie z systemem Android może monitować użytkownika o wartość "Nie znaleziono certyfikatów" i nie otrzymać dostępu do zasobów platformy Microsoft 365. Użytkownik musi włączyć opcję Włącz dostęp do przeglądarki na zarejestrowanym urządzeniu w następujący sposób:

    1. Otwórz aplikację Portal firmy.
    2. Przejdź do strony Ustawienia z potrójnych kropek (...) lub przycisku menu sprzętu.
    3. Wybierz przycisk Włącz dostęp do przeglądarki .
    4. W przeglądarce Chrome wyloguj się z platformy Microsoft 365 i uruchom ponownie przeglądarkę Chrome.

  • Aplikacje klasyczne muszą używać nowoczesnych metod uwierzytelniania, które opierają się na wierszu polecenia uwierzytelniania wyświetlanym w przeglądarce internetowej lub brokerze uwierzytelniania. Skrypty wysyłające hasła bezpośrednio mogą dostarczyć dowód tożsamości urządzenia tylko wtedy, gdy używają brokera uwierzytelniania.

Urządzenia są blokowane i nie odebrano wiadomości e-mail o kwarantannie

  • Sprawdź, czy urządzenie znajduje się w konsoli administracyjnej Intune jako urządzenie Exchange ActiveSync. Jeśli tak nie jest, prawdopodobnie odnajdywanie urządzeń kończy się niepowodzeniem, prawdopodobnie z powodu problemu z programem Exchange Connector. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z programem Intune Exchange Connector.

  • Zanim program Exchange Connector zablokuje urządzenie, wysyła wiadomość e-mail dotyczącą aktywacji (kwarantanny). Jeśli urządzenie jest w trybie offline, może nie otrzymać wiadomości e-mail dotyczącej aktywacji.

  • Sprawdź, czy klient poczty e-mail na urządzeniu jest skonfigurowany do pobierania wiadomości e-mail przy użyciu opcji Wypychanie zamiast Sondowanie. Jeśli tak, może to spowodować pominięcie wiadomości e-mail przez użytkownika. Przejdź do opcji Sonda i sprawdź, czy urządzenie otrzyma wiadomość e-mail.

Urządzenia są niezgodne, ale użytkownicy nie są blokowane

  • W przypadku komputerów z systemem Windows dostęp warunkowy blokuje tylko natywną aplikację poczty e-mail, pakiet Office 2013 z nowoczesnym uwierzytelnianiem lub pakiet Office 2016. Blokowanie wcześniejszych wersji programu Outlook lub wszystkich aplikacji poczty na komputerach z systemem Windows wymaga Microsoft Entra konfiguracji rejestracji urządzeń i Active Directory Federation Services (AD FS) zgodnie z instrukcjami: Blokowanie starszego uwierzytelniania w celu Tożsamość Microsoft Entra z dostępem warunkowym.

  • Jeśli urządzenie zostało selektywnie wyczyszczone lub wycofane z Intune, może nadal mieć dostęp przez kilka godzin po wycofaniu. Dzieje się tak, ponieważ program Exchange buforuje prawa dostępu przez sześć godzin. W tym scenariuszu rozważ inne sposoby ochrony danych na wycofanych urządzeniach.

  • Urządzenia surface hub, zarejestrowane zbiorczo i zarejestrowane przez menedżera rejestracji urządzeń z systemem Windows mogą obsługiwać dostęp warunkowy, gdy użytkownik, któremu przypisano licencję na Intune, jest zalogowany. Należy jednak wdrożyć zasady zgodności w grupach urządzeń (a nie w grupach użytkowników) w celu poprawnej oceny.

  • Sprawdź przypisania zasad zgodności i zasad dostępu warunkowego. Jeśli użytkownik nie należy do grupy, do którą przypisano zasady, lub znajduje się w grupie, która jest wykluczona, użytkownik nie jest blokowany. Pod kątem zgodności sprawdzane są tylko urządzenia dla użytkowników w przypisanej grupie.

Niezgodne urządzenie nie jest blokowane

Jeśli urządzenie nie jest zgodne, ale nadal ma dostęp, wykonaj następujące czynności.

  • Przejrzyj grupy docelowe i wykluczeń. Jeśli użytkownik nie znajduje się w odpowiedniej grupie docelowej lub znajduje się w grupie wykluczeń, nie zostanie zablokowany. Tylko urządzenia użytkowników w grupie Docelowe są sprawdzane pod kątem zgodności.

  • Upewnij się, że urządzenie jest odnalezione. Czy program Exchange Connector wskazuje serwer CAS programu Exchange 2010, gdy użytkownik znajduje się na serwerze programu Exchange 2013? W takim przypadku, jeśli domyślną regułą programu Exchange jest Zezwalaj, nawet jeśli użytkownik znajduje się w grupie Docelowe, Intune nie może być świadomy połączenia urządzenia z programem Exchange.

  • Sprawdź stan istnienia/dostępu urządzenia w programie Exchange:

    • Użyj tego polecenia cmdlet programu PowerShell, aby uzyskać listę wszystkich urządzeń przenośnych dla skrzynki pocztowej: "Get-MobileDeviceStatistics -mailbox mbx". Jeśli urządzenia nie ma na liście, nie uzyskuje dostępu do programu Exchange. Aby uzyskać więcej informacji, zobacz dokumentację programu Exchange PowerShell.

    • Jeśli urządzenie znajduje się na liście, użyj polecenia "Get-CASmailbox -identity:'upn" | fl' polecenie cmdlet, aby uzyskać szczegółowe informacje na temat jego stanu dostępu i dostarczyć te informacje do pomoc techniczna firmy Microsoft. Aby uzyskać więcej informacji, zobacz dokumentację programu Exchange PowerShell.

Błędy logowania z dostępem warunkowym opartym na aplikacji

Intune zasady ochrony aplikacji pomagają chronić dane firmowe na poziomie aplikacji, nawet na urządzeniach, które nie są zarządzane w Intune. Jeśli użytkownicy nie mogą zalogować się do chronionych aplikacji, może wystąpić problem z zasadami dostępu warunkowego opartego na aplikacji. Aby uzyskać szczegółowe wskazówki , zobacz Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego .