Solução de Problemas de Acesso Condicional

Este artigo descreve o que fazer quando seus usuários não conseguem obter acesso a recursos protegidos com acesso condicional ou quando os usuários podem acessar recursos protegidos, mas devem ser bloqueados.

Com Intune e acesso condicional, você pode proteger o acesso a serviços do Microsoft 365, como Exchange Online e SharePoint Online, e vários outros serviços. Essa funcionalidade permite que você certifique-se de que apenas dispositivos registrados com Intune e em conformidade com as regras de Acesso Condicional que você define em Intune ou Microsoft Entra ID tenham acesso aos recursos da sua empresa.

Requisitos para acesso condicional

Os seguintes requisitos devem ser atendidos para que o Acesso Condicional funcione:

• O dispositivo deve ser registrado no MDM (gerenciamento de dispositivo móvel) e gerenciado por Intune.

• O usuário e o dispositivo devem estar em conformidade com as políticas de conformidade atribuídas Intune.

• Por padrão, o usuário deve receber uma política de conformidade do dispositivo. Isso pode depender da configuração da configuração de dispositivos Mark sem nenhuma política de conformidade atribuída como que está emConfigurações de Política de Conformidade> do Dispositivono portal de administração Intune.

• Exchange ActiveSync deve ser ativado no dispositivo se o usuário estiver usando o cliente de email nativo do dispositivo em vez do Outlook. Isso acontece automaticamente para dispositivos iOS/iPadOS e Android Knox.

• Para o Exchange local, seu Intune Exchange Connector deve estar configurado corretamente. Para obter mais informações, confira Solução de problemas do Exchange Connector em Microsoft Intune.

• Para o Skype local, você deve configurar a Autenticação Moderna Híbrida. Confira Visão geral de auth moderna híbrida.

Você pode exibir essas condições para cada dispositivo no portal do Azure e no relatório de inventário do dispositivo.

Os dispositivos aparecem em conformidade, mas os usuários ainda estão bloqueados

• Verifique se o usuário tem uma licença Intune atribuída para avaliação de conformidade adequada.

• Dispositivos Android não Knox não receberão acesso até que o usuário clique no link Get Started Now no email de quarentena que receber. Isso se aplica mesmo que o usuário já esteja registrado em Intune. Se o usuário não receber o email com o link em seu telefone, poderá usar um computador para acessar seu email e encaminhá-lo para uma conta de email em seu dispositivo.

• Quando um dispositivo é registrado pela primeira vez, pode levar algum tempo para que as informações de conformidade sejam registradas em um dispositivo. Aguarde alguns minutos e tente novamente.

• Para dispositivos iOS/iPadOS, um perfil de email existente pode bloquear a implantação de um perfil de email criado por administrador Intune atribuído a esse usuário, tornando o dispositivo não compatível. Nesse cenário, o aplicativo Portal da Empresa notificará o usuário de que ele não está em conformidade devido ao perfil de email configurado manualmente e solicitará que o usuário remova esse perfil. Depois que o usuário remove o perfil de email existente, o perfil de email Intune pode ser implantado com êxito. Para evitar esse problema, instrua seus usuários a remover os perfis de email existentes em seu dispositivo antes de se registrarem.

• Um dispositivo pode ficar preso em um estado de conformidade de verificação, impedindo que o usuário inicie outra marcar. Se você tiver um dispositivo nesse estado:

  • Verifique se o dispositivo está usando a versão mais recente do aplicativo Portal da Empresa.
  • Reinicie o dispositivo.
  • Veja se o problema persiste em redes diferentes (por exemplo, celular, Wi-Fi etc.).

  Se o problema permanecer, entre em contato com Suporte da Microsoft conforme descrito em Obter suporte no Microsoft Intune.

• Alguns dispositivos Android podem parecer criptografados, no entanto, o aplicativo Portal da Empresa reconhece esses dispositivos como não criptografados e os marca como não compatíveis. Nesse cenário, o usuário verá uma notificação no aplicativo Portal da Empresa solicitando que ele defina uma senha de inicialização para o dispositivo. Depois de tocar na notificação e confirmar o PIN ou senha existentes, escolha a opção Exigir PIN para iniciar o dispositivo na tela Inicialização segura e toque no botão Verificar Conformidade para o dispositivo no aplicativo Portal da Empresa. O dispositivo agora deve ser detectado como criptografado.

  Observação

  Alguns fabricantes de dispositivos criptografam seus dispositivos usando um PIN padrão em vez de um PIN definido pelo usuário. Intune exibe a criptografia que usa um PIN padrão como inseguro e marca esses dispositivos como não compatíveis até que o usuário crie um PIN novo e não padrão.

• Um dispositivo Android registrado e compatível ainda pode ser bloqueado e receber um aviso de quarentena ao tentar acessar recursos corporativos pela primeira vez. Se isso ocorrer, verifique se o aplicativo Portal da Empresa não está em execução e selecione o link Iniciar Agora no email de quarentena para disparar a avaliação. Isso só deve ser feito quando o Acesso Condicional estiver habilitado pela primeira vez.

• Um dispositivo Android registrado pode solicitar ao usuário "Nenhum certificado encontrado" e não ter acesso aos recursos do Microsoft 365. O usuário deve habilitar a opção Habilitar Acesso ao Navegador no dispositivo registrado da seguinte maneira:

  1. Abra o aplicativo Portal da Empresa.
  2. Vá para a página Configurações dos ponto triplos (...) ou no botão menu de hardware.
  3. Selecione o botão Habilitar Acesso ao Navegador .
  4. No navegador Chrome, saia do Microsoft 365 e reinicie o Chrome.

• Os aplicativos de área de trabalho devem usar métodos de autenticação modernos que dependem de um prompt de autenticação exibido em um navegador da Web ou em um agente de autenticação. Scripts que enviam senhas diretamente podem fornecer uma prova da identidade de um dispositivo somente se eles usarem um agente de autenticação.

Dispositivos são bloqueados e nenhum email de quarentena é recebido

• Verifique se o dispositivo está presente no console de administração Intune como um dispositivo Exchange ActiveSync. Se não for, é provável que a descoberta do dispositivo esteja falhando, provavelmente devido a um problema do Exchange Connector. Para obter mais informações, consulte Solucionar problemas do Intune Exchange Connector.

• Antes que o Exchange Connector bloqueie um dispositivo, ele envia um email de ativação (quarentena). Se o dispositivo estiver offline, ele poderá não receber o email de ativação.

• Verifique se o cliente de email no dispositivo está configurado para recuperar email usando Push em vez de Sondagem. Nesse caso, isso pode fazer com que o usuário perca o email. Alterne para Sondagem e veja se o dispositivo recebe o email.

Os dispositivos não são compatíveis, mas os usuários não são bloqueados

• Para computadores Windows, o Acesso Condicional bloqueia apenas o aplicativo de email nativo, o Office 2013 com a Autenticação Moderna ou o Office 2016. Bloquear versões anteriores do Outlook ou de todos os aplicativos de email em computadores Windows exige Microsoft Entra configurações do AD FS (Registro de Dispositivo e Serviços de Federação do Active Directory (AD FS)) de acordo com Como bloquear a autenticação herdada para Microsoft Entra ID com o Condicional Acesso.

• Se o dispositivo for removido seletivamente ou retirado do Intune, ele poderá continuar a ter acesso por várias horas após a aposentadoria. Isso ocorre porque o Exchange armazena em cache direitos de acesso por seis horas. Considere outros meios de proteger dados em dispositivos aposentados nesse cenário.

• Dispositivos Windows registrados no Surface Hub, Registrado em Massa e DEM podem dar suporte ao Acesso Condicional quando um usuário que recebe uma licença para Intune está conectado. No entanto, você deve implantar a política de conformidade em grupos de dispositivos (não grupos de usuários) para avaliação correta.

• Verifique as atribuições de suas políticas de conformidade e suas políticas de Acesso Condicional. Se um usuário não estiver no grupo atribuído às políticas ou estiver em um grupo excluído, o usuário não será bloqueado. Somente os dispositivos para usuários em um grupo atribuído são verificados em busca de conformidade.

O dispositivo não compatível não está bloqueado

Se um dispositivo não estiver em conformidade, mas continuar a ter acesso, execute as ações a seguir.

• Examine seus grupos de destino e exclusão. Se um usuário não estiver no grupo de destino certo ou estiver no grupo de exclusão, ele não será bloqueado. Somente dispositivos de usuários em um grupo De destino são verificados em busca de conformidade.

• Verifique se o dispositivo está sendo descoberto. O Exchange Connector está apontando para um CAS do Exchange 2010 enquanto o usuário está em um servidor do Exchange 2013? Nesse caso, se a regra padrão do Exchange for Permitir, mesmo que o usuário esteja no grupo Destino, Intune não poderá estar ciente da conexão do dispositivo com o Exchange.

• Verificar a existência do dispositivo/o estado de acesso no Exchange:

  • Use este cmdlet do PowerShell para obter uma lista de todos os dispositivos móveis para uma caixa de correio: 'Get-MobileDeviceStatistics -mailbox mbx'. Se o dispositivo não estiver listado, ele não acessará o Exchange. Para obter mais informações, confira os documentos do Exchange PowerShell.

  • Se o dispositivo estiver listado, use o 'Get-CASmailbox -identity:'upn' | fl' cmdlet para obter informações detalhadas sobre seu estado de acesso e fornecer essas informações para Suporte da Microsoft. Para obter mais informações, confira os documentos do Exchange PowerShell.

Erros de entrada com acesso condicional baseado em aplicativo

Intune políticas de proteção de aplicativo ajudam você a proteger os dados da empresa no nível do aplicativo, mesmo em dispositivos que você não gerencia em Intune. Se os usuários não puderem entrar em aplicativos protegidos, pode haver um problema com suas políticas de Acesso Condicional baseadas em aplicativo. Consulte Solução de problemas de entrada com o Acesso Condicional para obter diretrizes detalhadas.