Felsöka distribution av appskyddsprinciper i Intune

Den här artikeln hjälper IT-administratörer att förstå och felsöka problem när du tillämpar appskyddsprinciper (APP) i Microsoft Intune. Följ anvisningarna i de avsnitt som gäller för din situation. Bläddra i guiden för ytterligare apprelaterad felsökningsvägledning, till exempel Felsöka användarproblem med appskyddsprinciper och Felsöka dataöverföring mellan appar.

Innan du börjar

Innan du börjar felsöka bör du samla in grundläggande information som hjälper dig att bättre förstå problemet och minska tiden för att hitta en lösning.

Samla in följande bakgrundsinformation:

• Vilken principinställning tillämpas eller tillämpas inte? Tillämpas någon princip?
• Vad är användarupplevelsen? Har användarna installerat och startat målappen?
• När började problemet? Har appskyddet någonsin fungerat?
• Vilken plattform (Android eller iOS) har problemet?
• Hur många användare påverkas? Påverkas alla användare eller bara vissa användare?
• Hur många enheter påverkas? Påverkas alla enheter eller bara vissa enheter?
• Även om Intune-appskyddsprinciper inte kräver en MDM-tjänst (hantering av mobila enheter), påverkas användarna av Intune eller en MDM-lösning från tredje part?
• Påverkas alla hanterade appar eller endast specifika appar? Till exempel skapas verksamhetsspecifika appar (LOB) med Intune App SDK som påverkas, men inte store-appar?
• Används någon annan hanteringstjänst än Intune på enheten?

Med ovanstående information på plats kan du börja felsöka.

Rekommenderat undersökningsflöde

En lyckad distribution av appskyddsprinciper förlitar sig på korrekt konfiguration av inställningar och andra beroenden. Det rekommenderade flödet för att undersöka vanliga problem med Intune APP är följande, som vi granskar mer detaljerat i den här artikeln:

1. Kontrollera att du uppfyller kraven för att distribuera appskyddsprinciper.
2. Kontrollera status för appskyddsprinciper och kontrollera mål.
3. Kontrollera att användaren är mål.
4. Kontrollera att den hanterade appen är riktad.
5. Kontrollera att användaren loggade in på det berörda programmet med sitt målföretagskonto.
6. Samla in enhetsdata.

Steg 1: Verifiera krav för appskyddsprinciper

Det första steget i felsökningen är att kontrollera om alla krav uppfylls. Även om du kan använda Intune APP oberoende av en MDM-lösning måste följande krav uppfyllas:

• Användaren måste ha en Tilldelad Intune-licens.

• Användaren måste tillhöra en säkerhetsgrupp som är mål för en appskyddsprincip. Samma appskyddsprincip måste vara riktad mot den specifika app som används.

• För Android-enheter krävs den Företagsportal appen för att ta emot appskyddsprinciper.

• Om du använder Word-, Excel- eller PowerPoint-appar måste följande ytterligare krav uppfyllas:

  • Användaren måste ha en licens för Microsoft 365-applikationer för företag eller företag som är länkade till användarens Microsoft Entra-konto. Prenumerationen måste innehålla Office-appen på mobila enheter och kan innehålla ett molnlagringskonto med OneDrive för företag. Microsoft 365-licenser kan tilldelas i Administrationscenter för Microsoft 365 genom att följa dessa instruktioner.
  • Användaren måste ha en hanterad plats som konfigureras med hjälp av den detaljerade Funktionen Spara som . Det här kommandot finns under inställningen Spara kopior av organisationsdataprogramskydd . Om den hanterade platsen till exempel är OneDrive ska OneDrive-appen konfigureras i användarens Word-, Excel- eller PowerPoint-app.
  • Om den hanterade platsen är OneDrive måste appen vara mål för den appskyddsprincip som distribueras till användaren.

  Anteckning

  Office-mobilapparna stöder för närvarande endast SharePoint Online och inte lokalt SharePoint.

• Om du använder Intune-appskyddsprinciper tillsammans med lokala resurser (Microsoft Skype för företag och Microsoft Exchange Server) måste du aktivera modern hybridautentisering för Skype för företag och Exchange.

Steg 2: Kontrollera status för appskyddsprinciper

Granska följande information för att förstå statusen för dina appskyddsprinciper:

• Har en användare checkats in från den berörda enheten?
• Hanteras program för problemscenariot via målprincipen?
• Kontrollera att tidpunkten för principleveransen ligger inom förväntat beteende. Mer information finns i Förstå leveranstid för appskyddsprinciper.

Använd de här stegen för att få detaljerad information:

1. Logga in på administrationscentret för Microsoft Intune.
2. Välj Appövervakaren>> Appskydd status och välj sedan panelen Tilldelade användare.
3. På sidan Apprapportering väljer du Välj användare för att visa en lista över användare och grupper.
4. Sök efter och välj en av de berörda användarna i listan och välj sedan Välj användare. Överst på sidan Apprapportering kan du se om användaren är licensierad för appskydd och har en licens för Microsoft 365. Du kan också se appstatus för alla användarens enheter.
5. Anteckna viktig information som målappar, enhetstyper, principer, enhetsincheckningsstatus och senaste synkroniseringstid.

Anteckning

Appskydd principer tillämpas endast när appar används i arbetskontexten. Till exempel när användaren har åtkomst till appar med hjälp av ett arbetskonto.

Mer information finns i Verifiera konfigurationen av din appskyddsprincip i Microsoft Intune.

Steg 3: Kontrollera att användaren är riktad

Intune-appskyddsprinciper måste vara riktade till användare. Om du inte tilldelar en appskyddsprincip till en användare eller användargrupp tillämpas inte principen.

Följ dessa steg för att kontrollera att principen tillämpas på målanvändaren:

1. Logga in på administrationscentret för Microsoft Intune.
2. Välj Appövervakare>> Appskydd status och välj sedan panelen Användarstatus (baserat på enhetens operativsystemplattform). I fönstret Apprapportering som öppnas väljer du Välj användare för att söka efter en användare.
3. Välj användaren från listan. Du kan se information för den användaren. Observera att det kan ta upp till 24 timmar för en nyligen riktad användare att visas i rapporter.

När du tilldelar principen till en användargrupp kontrollerar du att användaren finns i användargruppen. För att göra detta följer du stegen nedan:

1. Logga in på administrationscentret för Microsoft Intune.
2. Välj Grupper > Alla grupper och sök sedan efter och välj den grupp som används för tilldelningen av appskyddsprinciper.
3. Under avsnittet Hantera väljer du Medlemmar.
4. Om den berörda användaren inte visas läser du Hantera app- och resursåtkomst med hjälp av Microsoft Entra-grupper och dina gruppmedlemskapsregler. Kontrollera att den berörda användaren ingår i gruppen.
5. Kontrollera att den berörda användaren inte finns i någon av de undantagna grupperna för principen.

Viktigt

• Intune-appskyddsprincipen måste tilldelas till användargrupper och inte enhetsgrupper.
• Om den berörda enheten använder Android Enterprise stöder endast personligt ägda arbetsprofiler appskyddsprinciper.
• Om den berörda enheten använder Apples ADE (Automated Device Enrollment) kontrollerar du att användartillhörighet är aktiverat. Användartillhörighet krävs för alla appar som kräver användarautentisering under ADE. Mer information om iOS/iPadOS ADE-registrering finns i Registrera iOS/iPadOS-enheter automatiskt.

Steg 4: Kontrollera att den hanterade appen är riktad

När du konfigurerar Intune-appskyddsprinciper måste de riktade apparna använda Intune App SDK. Annars kanske appskyddsprinciper inte fungerar korrekt.

Kontrollera att målappen visas i Microsoft Intune-skyddade appar. För LOB eller anpassade appar kontrollerar du att apparna använder den senaste versionen av Intune App SDK.

För iOS är den här metoden viktig eftersom varje version innehåller korrigeringar som påverkar hur dessa principer tillämpas och hur de fungerar. Mer information finns i Intune App SDK iOS-versioner. Android-användare bör ha den senaste versionen av den Företagsportal appen installerad eftersom appen fungerar som principkoordinatoragent.

Steg 5: Kontrollera att användaren loggade in på det berörda programmet med sitt målföretagskonto

Vissa appar kan användas utan användarinloggning, men för att hantera en app med Intune APP måste användarna logga in på appen med sina företagsautentiseringsuppgifter. Intune-appskyddsprinciper kräver att användarens identitet är konsekvent mellan appen och Intune App SDK. Kontrollera att den berörda användaren har loggat in på appen med sitt företagskonto.

I de flesta scenarier loggar användarna in på sina konton med användarens huvudnamn (UPN). Men i vissa miljöer (till exempel lokala scenarier) kan användarna använda någon annan form av inloggningsuppgifter. I dessa fall kan du upptäcka att UPN som används i appen inte matchar UPN-objektet i Microsoft Entra-ID:t. När det här problemet uppstår tillämpas inte appskyddsprinciper som förväntat.

Microsofts rekommenderade metodtips är att matcha UPN till den primära SMTP-adressen. Med den här metoden kan användare logga in på hanterade appar, Intune-appskydd och andra Microsoft Entra-resurser genom att ha en konsekvent identitet. Mer information finns i Microsoft Entra UserPrincipalName-populationen.

Det enda sättet att garantera den här konsekvensen är genom modern autentisering. Det finns scenarier där appar kan fungera i en lokal konfiguration utan modern autentisering. Resultaten är dock inte konsekventa eller garanterade.

Om din miljö kräver alternativa inloggningsmetoder kan du läsa Konfigurera alternativt inloggnings-ID, särskilt modern hybridautentisering med alternativ-ID.

Steg 6: Samla in enhetsdata med Microsoft Edge

Arbeta med användaren för att samla in information om de försöker göra och de steg de vidtar. Be användaren att samla in skärmbilder eller videoinspelning av beteendet. Detta hjälper till att klargöra de explicita enhetsåtgärder som utförs. Samla sedan in loggar för hanterade appar via Microsoft Edge på enheten.

Användare med Microsoft Edge installerat på sin iOS- eller Android-enhet kan visa hanteringsstatus för alla Microsoft-publicerade appar. De kan använda följande steg för att skicka loggar för felsökning.

1. Öppna Microsoft Edge för iOS och Android på enheten.
2. I adressfältet skriver du about:intunehelp.
3. Microsoft Edge för iOS och Android startas i felsökningsläge.

Från den här skärmen visas två alternativ och data om enheten.

Välj Visa Intune-appstatus för att se en lista över appar. Om du väljer en specifik app visas de APP-inställningar som är associerade med appen som för närvarande är aktiva på enheten.

Om informationen som visas för en specifik app är begränsad till appversionen och paketeras med tidsstämpeln för principkontroll innebär det att ingen princip för närvarande tillämpas på appen på enheten.

Med alternativet Kom igång kan du samla in loggar om appaktiverade program. Om du öppnar ett supportärende med Microsoft för appskyddsprinciper bör du alltid ange dessa loggar från en berörd enhet om möjligt. Android-specifika instruktioner finns i Ladda upp och e-postloggar.

En lista över de inställningar som lagras i Loggarna för Intune-diagnostik (APP) finns i Granska klientappskyddsloggar.

Ytterligare felsökningsscenarier

Granska följande vanliga scenarier när du felsöker APP-problem. Du kan också granska scenarierna i Vanliga problem med dataöverföring.

Scenario: Principändringar tillämpas inte

Intune App SDK söker regelbundet efter principändringar. Den här processen kan dock fördröjas av någon av följande orsaker:

• Appen har inte checkat in med tjänsten.
• Den Företagsportal appen har tagits bort från enheten.

Intune-appskyddsprincipen förlitar sig på användaridentitet. Därför krävs en giltig inloggning som använder ett arbets- eller skolkonto till appen och en konsekvent anslutning till tjänsten. Om användaren inte har loggat in på appen eller om den Företagsportal appen har tagits bort från enheten gäller inte principuppdateringar.

Viktigt

Intune App SDK kontrollerar var 30:e minut för selektiv rensning. Ändringar i den befintliga principen för användare som redan är inloggade kanske inte visas på upp till 8 timmar. För att påskynda den här processen måste användaren logga ut från appen och sedan logga in igen eller starta om enheten.

Följ dessa steg för att kontrollera appskyddsstatus:

1. Logga in på administrationscentret för Microsoft Intune.
2. Välj Appövervakaren>> Appskydd status och välj sedan panelen Tilldelade användare.
3. På sidan Apprapportering väljer du Välj användare för att öppna en lista över användare och grupper.
4. Sök efter och välj en av de berörda användarna i listan och välj sedan Välj användare.
5. Granska de principer som för närvarande tillämpas, inklusive status och senaste synkroniseringstid.
6. Om statusen Inte är incheckad, eller om visningen visar att det inte har gjorts någon synkronisering nyligen, kontrollerar du om användaren har en konsekvent nätverksanslutning. För Android-användare kontrollerar du att de har den senaste versionen av Företagsportal appen installerad.

Intune-appskyddsprinciper omfattar stöd för flera identiteter. Intune kan endast tillämpa appskyddsprinciper på det arbets- eller skolkonto som är inloggat i appen. Endast ett arbets- eller skolkonto per enhet stöds dock.

Scenario: Intune-registrerade iOS-enheter kräver ytterligare konfiguration

När du skapar en appskyddsprincip kan du rikta den mot alla apptyper eller till följande apptyper:

• Appar på ohanterade enheter
• Appar på Intune-hanterade enheter
• Appar i den Personligt ägda Android-arbetsprofilen

Anteckning

Om du vill ange apptyperna anger du Mål till alla apptyper till Nej och väljer sedan från listan Apptyper .

Om du endast riktar in dig på iOS Intune-hanterade enheter måste följande ytterligare appkonfigurationsinställningar vara riktade tillsammans med din appskyddsprincip:

• IntuneMAMUPN och IntuneMAMOID måste konfigureras för alla MDM-hanterade program (Intune eller EMM)-hanterade program från tredje part. Mer information finns i Konfigurera upn-inställning för användare för Microsoft Intune eller EMM från tredje part.
• IntuneMAMDeviceID måste konfigureras för alla MDM-hanterade program från tredje part och LOB.
• IntuneMAMDeviceID måste konfigureras som enhets-ID-token. Till exempel key=IntuneMAMDeviceID, value={{deviceID}}. Mer information finns i Lägga till appkonfigurationsprinciper för hanterade iOS-enheter.
• Om endast IntuneMAMDeviceID-värdet har konfigurerats kommer Intune APP att betrakta enheten som ohanterad.

Nästa steg

• Felsöka användarproblem med appskyddsprinciper
• Vanliga frågor och svar om MAM och appskydd
• Verifiera konfigurationen av din appskyddsprincip i Microsoft Intune