Устранение неполадок с развертыванием политики защиты приложений в Intune

Статья
12/05/2023

Эта статья поможет ИТ-администраторам понять и устранить проблемы при применении политик защиты приложений (APP) в Microsoft Intune. Следуйте инструкциям в разделах, которые относятся к вашей ситуации. Ознакомьтесь с руководством для получения дополнительных рекомендаций по устранению неполадок, связанных с приложением, таких как Устранение неполадок с пользователями политики защиты приложений и Устранение неполадок с передачей данных между приложениями.

Перед началом работы

Прежде чем приступить к устранению неполадок, соберите некоторые основные сведения, которые помогут вам лучше понять проблему и сократить время на поиск решения.

Соберите следующие справочные сведения:

Какой параметр политики применяется или не применяется? Применяется ли какая-либо политика?
Что такое взаимодействие с пользователем? Пользователи установили и запустили целевое приложение?
Момент возникновения проблемы. Сработала ли защита приложений?
На какой платформе (Android или iOS) возникла проблема?
Количество пользователей, столкнувшихся с проблемой. Затронуты ли все пользователи или только некоторые пользователи?
Количество устройств, на которых возникла проблема. Затронуты ли все устройства или только некоторые устройства?
Хотя Intune политикам защиты приложений не требуется служба управления мобильными устройствами (MDM), затронуты ли пользователи, использующие Intune или стороннее решение MDM?
Затрагиваются ли все управляемые приложения или только определенные приложения? Например, связаны ли бизнес-приложения (LOB) с помощью пакета SDK для Intune приложений, а приложения Магазина — нет?
Используется ли на устройстве какая-либо служба управления, кроме Intune?

С помощью приведенных выше сведений можно приступить к устранению неполадок.

Рекомендуемый поток исследования

Успешное развертывание политики защиты приложений зависит от правильной конфигурации параметров и других зависимостей. Ниже приведен рекомендуемый поток для изучения распространенных проблем с Intune APP, который мы рассмотрим более подробно в этой статье.

Убедитесь, что выполнены предварительные требования для развертывания политик защиты приложений.
Проверьте состояние политики защиты приложений и проверка нацеливание.
Убедитесь, что пользователь является целевым.
Убедитесь, что управляемое приложение является целевым.
Убедитесь, что пользователь вошел в затронутое приложение с помощью целевой корпоративной учетной записи.
Сбор данных об устройстве.

Шаг 1. Проверка необходимых условий для политики защиты приложений

Первым шагом в устранении неполадок является проверка, выполнены ли все предварительные требования. Хотя вы можете использовать Intune APP независимо от любого решения MDM, необходимо выполнить следующие предварительные требования:

Пользователю должна быть назначена лицензия Intune.
Пользователь должен принадлежать к группе безопасности, на которую нацелена политика защиты приложений. Ту же политику защиты приложений следует применять к используемому приложению.
На устройствах Android для получения политик защиты приложений требуется приложение "Корпоративный портал".
Если вы используете приложения Word, Excel или PowerPoint, необходимо выполнить следующие дополнительные требования:
- Пользователь должен иметь лицензию на Приложения Microsoft 365 для бизнеса или предприятие, связанное с учетной записью Microsoft Entra пользователя. Подписка должна включать приложения Office на мобильных устройствах и может включать облачную учетную запись хранения с поддержкой OneDrive для бизнеса. Лицензии Microsoft 365 можно назначить в Центр администрирования Microsoft 365, следуя этим инструкциям.
- Пользователь должен иметь управляемое расположение, настроенное с помощью детальной функции Сохранить как. Эта команда находится в параметр Сохранять копии данных организации политики защиты приложений. Например, если управляемое расположение — OneDrive, приложение OneDrive должно быть настроено в приложении Word пользователя, Excel или PowerPoint.
- Если управляемое расположение — OneDrive, на приложение должна распространяться политика защиты, развернутая для пользователя.
Примечание.

Мобильные приложения Office сейчас поддерживают только SharePoint Online, но не локальное приложение SharePoint.
Если вы используете Intune политики защиты приложений вместе с локальными ресурсами (Microsoft Skype для бизнеса и Microsoft Exchange Server), необходимо включить гибридную современную проверку подлинности для Skype для бизнеса и Exchange.

Шаг 2. Проверка состояния политики защиты приложений

Ознакомьтесь со следующими сведениями, чтобы понять состояние политик защиты приложений:

Была ли выполнена проверка пользователя с затронутого устройства?
Управляются ли приложениями для сценария проблемы с помощью целевой политики?
Убедитесь, что время доставки политики соответствует ожидаемому поведению. Дополнительные сведения см. в статье Общие сведения о времени доставки политики защиты приложений.

Чтобы получить подробные сведения, выполните следующие действия.

Войдите в Центр администрирования Microsoft Intune.
ВыберитеМонитор>приложений>защита приложений состояние, а затем выберите плитку Назначенные пользователи.
На странице Отчеты по приложениям выберите Выбрать пользователя , чтобы открыть список пользователей и групп.
Найдите и выберите одного из затронутых пользователей из списка, а затем выберите Выбрать пользователя. В верхней части страницы Отчеты приложений можно узнать, лицензирован ли пользователь для защиты приложений и есть ли у него лицензия на Microsoft 365. Вы также можете увидеть состояние приложений для всех устройств пользователя.
Запишите такие важные сведения, как целевые приложения, типы устройств, политики, состояние проверка устройства и время последней синхронизации.

Примечание.

Политики защиты приложений применяются только в том случае, если приложения используются в рабочем контексте. Например, когда пользователь получает доступ к приложениям с помощью рабочей учетной записи.

Дополнительные сведения см. в статье Способ проверки настройки политики защиты приложений в Microsoft Intune

Шаг 3. Проверка целевого пользователя

Политики защиты приложений Intune должны быть нацелены на пользователей. Если вы не назначите политику защиты приложений пользователю или группе пользователей, она не применяется.

Чтобы убедиться, что политика применена к целевому пользователю, выполните следующие действия.

Войдите в Центр администрирования Microsoft Intune.
ВыберитеМонитор>приложений>защита приложений состояние, а затем выберите плитку Состояние пользователя (на основе платформы ОС устройства). В открывающейся области Отчеты по приложениям выберите Выбрать пользователя , чтобы найти пользователя.
Выберите пользователя из списка. Вы можете просмотреть сведения для этого пользователя. Обратите внимание, что для того, чтобы новый целевой пользователь появился в отчетах, может потребоваться до 24 часов.

При назначении политики группе пользователей убедитесь, что пользователь входит в группу пользователей. Для этого выполните следующие действия:

Войдите в Центр администрирования Microsoft Intune.
Выберите Группы > Все группы, а затем найдите и выберите группу, которая используется для назначения политики защиты приложений.
В разделе Управление выберите Участники.
Если затронутого пользователя нет в списке, см. раздел Управление доступом к приложениям и ресурсам с помощью Microsoft Entra групп и правил членства в группах. Убедитесь, что затронутый пользователь включен в группу.
Убедитесь, что затронутый пользователь не входит ни в одну из исключенных групп политики.

Важно!

Политика защиты приложений Intune должна быть назначена группам пользователей, а не группам устройств.
Если затронуто устройство использует Android Enterprise, политики защиты приложений будут поддерживать только личные рабочие профили.
Если на затронутом устройстве используется автоматическая регистрация устройств Apple (ADE), убедитесь, что включено сходство пользователей . Сопоставление пользователей требуется для любого приложения, которое требует проверки подлинности пользователя в ADE. Дополнительные сведения о регистрации iOS/iPadOS с помощью ADE см. в статье Автоматическая регистрация устройств с iOS/iPadOS.

Шаг 4. Проверка целевого управляемого приложения

При настройке политик защиты приложений Intune целевые приложения должны использовать пакет SDK для Intune приложений. В противном случае политики защиты приложений могут работать неправильно.

Убедитесь, что целевое приложение указано в списке Microsoft Intune защищенных приложений. Убедитесь, что для бизнес-приложений или пользовательских приложений используется последняя версия пакета SDK для Intune приложений.

Для iOS эта практика важна, так как каждая версия содержит исправления, влияющие на то, как эти политики применяются и как они работают. Дополнительные сведения см. в статье Выпуски пакета SDK для приложений Intune на iOS. У пользователей Android должна быть установлена последняя версия приложения Корпоративный портал, так как приложение работает в качестве агента брокера политики.

Шаг 5. Убедитесь, что пользователь вошел в затронутое приложение с помощью целевой корпоративной учетной записи.

Некоторые приложения можно использовать без входа пользователя, но для успешного управления приложением с помощью Intune APP пользователям необходимо войти в приложение, используя корпоративные учетные данные. Intune политиках защиты приложений требуется, чтобы удостоверение пользователя было согласовано между приложением и пакетом SDK для Intune приложений. Убедитесь, что затронутый пользователь успешно вошел в приложение с помощью корпоративной учетной записи.

В большинстве сценариев пользователи входят в свои учетные записи со своими именами участников-пользователей (UPN). Однако в некоторых средах (например, в локальных сценариях) пользователи могут использовать другие формы учетных данных для входа. В таких случаях может оказаться, что имя участника-пользователя, используемое в приложении, не соответствует объекту имени участника-пользователя в Microsoft Entra ID. При возникновении этой проблемы политики защиты приложений не применяются должным образом.

Корпорация Майкрософт рекомендует сопоставлять имя участника-пользователя с основным SMTP-адресом. Эта практика позволяет пользователям входить в управляемые приложения, Intune защиту приложений и другие Microsoft Entra ресурсы, имея согласованное удостоверение. Дополнительные сведения см. в разделе Microsoft Entra заполнение UserPrincipalName.

Единственный способ обеспечить такую согласованность — использовать современные средства проверки подлинности. Есть сценарии, в которых приложения могут работать в локальной конфигурации без современных средств проверки подлинности. Однако результаты не являются согласованными и не гарантированы.

Если в вашей среде требуются альтернативные методы входа, см . раздел Настройка альтернативного идентификатора входа, в частности гибридная современная проверка подлинности с помощью альтернативного идентификатора.

Шаг 6. Сбор данных об устройстве с помощью Microsoft Edge

Обратитесь к пользователю, чтобы собрать сведения о том, что он пытается сделать, и о шагах, которые он предпринимает. Попросите пользователя собрать снимки экрана или видеозапись поведения. Это помогает прояснить явные действия устройства, выполняемые. Затем соберите журналы управляемых приложений через Microsoft Edge на устройстве.

Пользователи с Microsoft Edge, установленные на устройстве iOS или Android, могут просматривать состояние управления всеми опубликованными приложениями Майкрософт. Они могут использовать следующие действия, чтобы отправить журналы для устранения неполадок.

Откройте Microsoft Edge для iOS и Android на своем устройстве.
В адресной строке введите about:intunehelp.
Microsoft Edge для iOS и Android запускается в режиме устранения неполадок.

На этом экране вы увидите два варианта и данные об устройстве.

Снимок экрана: сведения об общем устройстве.

Выберите Просмотреть Intune состояние приложения, чтобы просмотреть список приложений. Если выбрать определенное приложение, будут отображаться параметры приложения, связанные с этим приложением, которые в настоящее время активны на устройстве.

Снимок экрана: сведения о приложении.

Если информация, отображаемая для определенного приложения, ограничена версией приложения и связана с политикой, проверка меткой времени, это означает, что политика в настоящее время не применяется к этому приложению на устройстве.

Параметр Приступая к работе позволяет собирать журналы о приложениях с поддержкой приложений. Если вы открываете запрос в службу поддержки Майкрософт для политик защиты приложений, вы всегда должны предоставлять эти журналы с затронутого устройства, если это возможно. Инструкции для Android см. в статье Загрузка и отправка журналов по электронной почте.

Снимок экрана: параметры для общего доступа к журналам.

Список параметров, хранимый в журналах диагностики Intune (APP), см. в статье Просмотр журналов защиты клиентских приложений.

Дополнительные сценарии по устранению неполадок

Ознакомьтесь со следующими распространенными сценариями при устранении неполадок с приложением. Вы также можете просмотреть сценарии в статье Общие проблемы с передачей данных.

Сценарий: изменения политики не применяются

Пакет SDK для приложений Intune регулярно проверяет наличие изменений политики. Однако этот процесс может быть задержан по одной из следующих причин.

Приложение не было зарегистрировано в службе.
Приложение Корпоративный портал удалено с устройства.

Политика защиты приложений Intune зависит от удостоверения пользователя. Поэтому требуется допустимое имя входа, использующее рабочую или учебную учетную запись для приложения и согласованное подключение к службе. Если пользователь не вошел в приложение или приложение Корпоративный портал было удалено с устройства, обновления политик применяться не будут.

Важно!

Пакет SDK для приложений Intune каждые 30 минут проверяет выборочную очистку. Однако изменения существующей политики для пользователей, которые уже вошли в систему, могут не отображаться в течение 8 часов. Чтобы ускорить этот процесс, пользователь должен выйти из приложения, а затем снова войти в систему или перезапустить устройство.

Чтобы проверка состояние защиты приложений, выполните следующие действия.

Войдите в Центр администрирования Microsoft Intune.
ВыберитеМонитор>приложений>защита приложений состояние, а затем выберите плитку Назначенные пользователи.
На странице Отчеты о приложениях выберите Выбрать пользователя , чтобы открыть список пользователей и групп.
Найдите и выберите одного из затронутых пользователей из списка, а затем выберите Выбрать пользователя.
Просмотрите политики, которые применяются в настоящее время, включая состояние и время последней синхронизации.
Если состояние не возвращено или отображается сообщение о том, что не было последней синхронизации, проверка, имеет ли пользователь согласованное сетевое подключение. Для пользователей Android убедитесь, что у них установлена последняя версия приложения Корпоративный портал.

Политики защиты приложений Intune включают поддержку нескольких удостоверений. Intune может применять политики защиты приложений только к учетной записи компании или учебного заведения, которая в ней зарегистрирована. Однако поддерживается только одна рабочая или учебная учетная запись на устройство.

Сценарий: Intune зарегистрированным устройствам iOS требуется дополнительная настройка

При создании политики защиты приложений вы можете нацелить ее на все типы приложений или на следующие типы приложений:

Приложения на неуправляемых устройствах
Приложения на управляемых Intune устройствах
Приложения в личном рабочем профиле Android