Felsöka distribution av appskyddsprinciper i Intune
Den här artikeln hjälper IT-administratörer att förstå och felsöka problem när du tillämpar appskyddsprinciper (APP) i Microsoft Intune. Följ anvisningarna i avsnitten som gäller för din situation. Bläddra i guiden för ytterligare apprelaterad felsökningsvägledning, till exempel Felsöka användarproblem med appskyddsprinciper och Felsöka dataöverföring mellan appar.
Innan du börjar
Innan du börjar felsöka bör du samla in grundläggande information som hjälper dig att bättre förstå problemet och minska tiden för att hitta en lösning.
Samla in följande bakgrundsinformation:
- Vilken principinställning tillämpas eller tillämpas inte? Tillämpas någon princip?
- Vad är användarupplevelsen? Har användarna installerat och startat målappen?
- När började problemet? Har appskydd någonsin fungerat?
- Vilken plattform (Android eller iOS) har problemet?
- Hur många användare påverkas? Påverkas alla användare eller bara vissa användare?
- Hur många enheter påverkas? Påverkas alla enheter eller bara vissa enheter?
- Även om Intune appskyddsprinciper inte kräver en MDM-tjänst (hantering av mobila enheter), använder berörda användare Intune eller en MDM-lösning från tredje part?
- Påverkas alla hanterade appar eller endast specifika appar? Till exempel påverkas verksamhetsspecifika appar (LOB) med Intune App SDK, men inte Store-appar?
- Används någon annan hanteringstjänst än Intune på enheten?
Med ovanstående information på plats kan du börja felsöka.
Rekommenderat undersökningsflöde
En lyckad distribution av appskyddsprinciper förlitar sig på korrekt konfiguration av inställningar och andra beroenden. Det rekommenderade flödet för att undersöka vanliga problem med Intune APP är följande, som vi granskar mer detaljerat i den här artikeln:
- Kontrollera att du uppfyller kraven för att distribuera appskyddsprinciper.
- Kontrollera status för appskyddsprinciper och kontrollera mål.
- Kontrollera att användaren är mål.
- Kontrollera att den hanterade appen är riktad.
- Kontrollera att användaren loggade in på det berörda programmet med sitt målföretagskonto.
- Samla in enhetsdata.
Steg 1: Verifiera krav för appskyddsprinciper
Det första steget i felsökningen är att kontrollera om alla krav är uppfyllda. Även om du kan använda Intune APP oberoende av en MDM-lösning måste följande krav uppfyllas:
Användaren måste ha tilldelats en Intune licens.
Användaren måste tillhöra en säkerhetsgrupp som omfattas av en appskyddsprincip. Samma appskyddsprincip måste vara riktad mot den specifika app som används.
För Android-enheter måste Företagsportal-appen ta emot appskyddsprinciper.
Om du använder Word, Excel eller PowerPoint-appar måste följande ytterligare krav uppfyllas:
- Användaren måste ha en licens för Microsoft 365-applikationer för affärsverksamhet eller företag som är länkad till användarens Microsoft Entra-konto. Prenumerationen måste innehålla Office-appar på mobila enheter och kan innehålla ett molnlagringskonto med OneDrive för företag. Microsoft 365-licenser kan tilldelas i Administrationscenter för Microsoft 365 genom att följa dessa instruktioner.
- Användaren måste ha en hanterad plats som konfigureras med hjälp av den detaljerade Funktionen Spara som . Det här kommandot finns under principinställningen Spara kopior av organisationsdataprogramskydd . Om den hanterade platsen till exempel är OneDrive ska OneDrive-appen konfigureras i användarens Word, Excel eller PowerPoint-app.
- Om den hanterade platsen är OneDrive måste appen vara mål för den appskyddsprincip som distribueras till användaren.
Obs!
Office-mobilapparna stöder för närvarande endast SharePoint Online och inte lokal SharePoint.
Om du använder Intune appskyddsprinciper tillsammans med lokala resurser (Microsoft Skype för företag och Microsoft Exchange Server) måste du aktivera modern hybridautentisering för Skype för företag och Exchange.
Steg 2: Kontrollera status för appskyddsprinciper
Granska följande information för att förstå statusen för dina appskyddsprinciper:
- Har en användare checkats in från den berörda enheten?
- Hanteras programmen för problemscenariot via målprincipen?
- Kontrollera att tidpunkten för principleveransen ligger inom förväntat beteende. Mer information finns i Förstå leveranstid för appskyddsprincip.
Använd de här stegen för att få detaljerad information:
- Logga in på Microsoft Intune administrationscenter.
- VäljAppövervakaren>>Appskydd status och välj sedan panelen Tilldelade användare.
- På sidan Apprapportering väljer du Välj användare för att visa en lista över användare och grupper.
- Sök efter och välj en av de berörda användarna i listan och välj sedan Välj användare. Överst på sidan Apprapportering kan du se om användaren är licensierad för appskydd och har en licens för Microsoft 365. Du kan också se appstatus för alla användarens enheter.
- Anteckna så viktig information som målappar, enhetstyper, principer, enhetsincheckningsstatus och senaste synkroniseringstid.
Obs!
Appskydd principer tillämpas endast när appar används i arbetskontexten. Till exempel när användaren har åtkomst till appar med hjälp av ett arbetskonto.
Mer information finns i Så här validerar du konfigurationen av appskyddsprinciper i Microsoft Intune.
Steg 3: Kontrollera att användaren är riktad
Intune appskyddsprinciper måste riktas till användare. Om du inte tilldelar en appskyddsprincip till en användare eller användargrupp tillämpas inte principen.
Så här kontrollerar du att principen tillämpas på målanvändaren:
- Logga in på Microsoft Intune administrationscenter.
- VäljAppövervakaren>>Appskydd status och välj sedan panelen Användarstatus (baserat på enhetens operativsystemplattform). I fönstret Apprapportering som öppnas väljer du Välj användare för att söka efter en användare.
- Välj användaren från listan. Du kan se information för den användaren. Observera att det kan ta upp till 24 timmar för en nyligen riktad användare att visas i rapporter.
När du tilldelar principen till en användargrupp kontrollerar du att användaren finns i användargruppen. Gör så här:
- Logga in på Microsoft Intune administrationscenter.
- Välj Grupper > Alla grupper och sök sedan efter och välj den grupp som används för tilldelningen av appskyddsprinciper.
- Under avsnittet Hantera väljer du Medlemmar.
- Om den berörda användaren inte visas läser du Hantera app- och resursåtkomst med hjälp av Microsoft Entra grupper och dina gruppmedlemskapsregler. Kontrollera att den berörda användaren ingår i gruppen.
- Kontrollera att den berörda användaren inte finns i någon av de undantagna grupperna för principen.
Viktigt
- Den Intune appskyddsprincipen måste tilldelas till användargrupper och inte enhetsgrupper.
- Om den berörda enheten använder Android Enterprise stöder endast personligt ägda arbetsprofiler appskyddsprinciper.
- Om den berörda enheten använder Apples ADE (Automated Device Enrollment) kontrollerar du att Användartillhörighet är aktiverat. Användartillhörighet krävs för alla appar som kräver användarautentisering under ADE. Mer information om iOS/iPadOS ADE-registrering finns i Registrera iOS/iPadOS-enheter automatiskt.
Steg 4: Kontrollera att den hanterade appen är riktad
När du konfigurerar Intune appskyddsprinciper måste målapparna använda Intune App SDK. Annars kanske appskyddsprinciperna inte fungerar korrekt.
Kontrollera att målappen visas i Microsoft Intune skyddade appar. För LOB eller anpassade appar kontrollerar du att apparna använder den senaste versionen av Intune App SDK.
För iOS är den här metoden viktig eftersom varje version innehåller korrigeringar som påverkar hur dessa principer tillämpas och hur de fungerar. Mer information finns i Intune App SDK iOS-versioner. Android-användare bör ha den senaste versionen av Företagsportal-appen installerad eftersom appen fungerar som agent för principutjämning.
Steg 5: Kontrollera att användaren loggade in på det berörda programmet med sitt målföretagskonto
Vissa appar kan användas utan användarinloggning, men för att hantera en app med hjälp av Intune APP måste användarna logga in på appen med sina företagsautentiseringsuppgifter. Intune appskyddsprinciper kräver att användarens identitet är konsekvent mellan appen och Intune App SDK. Kontrollera att den berörda användaren har loggat in på appen med sitt företagskonto.
I de flesta fall loggar användarna in på sina konton med användarens huvudnamn (UPN). Men i vissa miljöer (till exempel lokala scenarier) kan användarna använda någon annan form av inloggningsuppgifter. I dessa fall kan du upptäcka att UPN som används i appen inte matchar UPN-objektet i Microsoft Entra ID. När det här problemet uppstår tillämpas inte appskyddsprinciper som förväntat.
Microsofts rekommenderade metodtips är att matcha UPN till den primära SMTP-adressen. Med den här metoden kan användare logga in på hanterade appar, Intune appskydd och andra Microsoft Entra resurser genom att ha en konsekvent identitet. Mer information finns i Microsoft Entra UserPrincipalName-population.
Det enda sättet att garantera den här konsekvensen är genom modern autentisering. Det finns scenarier där appar kan fungera i en lokal konfiguration utan modern autentisering. Resultaten är dock inte konsekventa eller garanterade.
Om din miljö kräver alternativa inloggningsmetoder kan du läsa Konfigurera alternativt inloggnings-ID, särskilt modern hybridautentisering med alternativt ID.
Steg 6: Samla in enhetsdata med Microsoft Edge
Arbeta med användaren för att samla in information om de försöker göra och de steg de vidtar. Be användaren att samla in skärmbilder eller videoinspelning av beteendet. Detta hjälper till att klargöra de explicita enhetsåtgärder som utförs. Samla sedan in loggar för hanterade appar via Microsoft Edge på enheten.
Användare med Microsoft Edge installerat på sina iOS- eller Android-enheter kan visa hanteringsstatus för alla Microsoft-publicerade appar. De kan använda följande steg för att skicka loggar för felsökning.
- Öppna Microsoft Edge för iOS och Android på enheten.
- I adressfältet skriver du about:intunehelp.
- Microsoft Edge för iOS och Android startas i felsökningsläge.
Från den här skärmen visas två alternativ och data om enheten.
Välj Visa Intune appstatus för att se en lista över appar. Om du väljer en specifik app visas de APP-inställningar som är associerade med appen som för närvarande är aktiva på enheten.
Om informationen som visas för en specifik app är begränsad till appversionen och paketeras med tidsstämpeln för principkontroll innebär det att ingen princip tillämpas på appen på enheten för närvarande.
Med alternativet Kom igång kan du samla in loggar om appaktiverade program. Om du öppnar ett supportärende med Microsoft för appskyddsprinciper bör du alltid ange dessa loggar från en berörd enhet om det är möjligt. Android-specifika instruktioner finns i Ladda upp och e-postloggar.
En lista över de inställningar som lagras i loggarna för Intune diagnostik (APP) finns i Granska klientappskyddsloggar.
Ytterligare felsökningsscenarier
Granska följande vanliga scenarier när du felsöker APP-problem. Du kan också granska scenarierna i Vanliga dataöverföringsproblem.
Scenario: Principändringar tillämpas inte
Intune App SDK söker regelbundet efter principändringar. Den här processen kan dock fördröjas av någon av följande orsaker:
- Appen har inte checkat in med tjänsten.
- Den Företagsportal appen har tagits bort från enheten.
Intune appskyddsprincip förlitar sig på användaridentitet. Därför krävs en giltig inloggning som använder ett arbets- eller skolkonto till appen och en konsekvent anslutning till tjänsten. Om användaren inte har loggat in på appen, eller om Företagsportal-appen har tagits bort från enheten, gäller inte principuppdateringar.
Viktigt
Intune App SDK kontrollerar var 30:e minut för selektiv rensning. Ändringar i den befintliga principen för användare som redan är inloggade kanske inte visas på upp till 8 timmar. Du kan påskynda den här processen genom att låta användaren logga ut från appen och sedan logga in igen eller starta om enheten.
Följ dessa steg om du vill kontrollera appskyddsstatusen:
- Logga in på Microsoft Intune administrationscenter.
- VäljAppövervakaren>>Appskydd status och välj sedan panelen Tilldelade användare.
- På sidan Apprapportering väljer du Välj användare för att öppna en lista över användare och grupper.
- Sök efter och välj en av de berörda användarna i listan och välj sedan Välj användare.
- Granska de principer som för närvarande tillämpas, inklusive status och senaste synkroniseringstid.
- Om statusen är Inte incheckad, eller om visningen anger att det inte har gjorts någon synkronisering nyligen, kontrollerar du om användaren har en konsekvent nätverksanslutning. För Android-användare kontrollerar du att de har den senaste versionen av Företagsportal-appen installerad.
Intune appskyddsprinciper omfattar stöd för flera identiteter. Intune kan endast tillämpa appskyddsprinciper på det arbets- eller skolkonto som är inloggat i appen. Men endast ett arbets- eller skolkonto per enhet stöds.
Scenario: Intune registrerade iOS-enheter kräver ytterligare konfiguration
När du skapar en appskyddsprincip kan du rikta den mot alla apptyper eller till följande apptyper:
- Appar på ohanterade enheter
- Appar på Intune hanterade enheter
- Appar i den personligt ägda Android-arbetsprofilen
Obs!
Om du vill ange apptyperna ställer du in Mål på alla apptyper till Nej och väljer sedan från listan Apptyper .
Om du endast riktar in dig på iOS-Intune hanterade enheter måste följande ytterligare appkonfigurationsinställningar vara riktade tillsammans med din appskyddsprincip:
- IntuneMAMUPN måste konfigureras för alla MDM-hanterade program (Intune eller EMM från tredje part). Mer information finns i Konfigurera användarens UPN-inställning för Microsoft Intune eller EMM från tredje part.
- IntuneMAMDeviceID måste konfigureras för alla MDM-hanterade program från tredje part och LOB.
- IntuneMAMDeviceID måste konfigureras som enhets-ID-token. Till exempel key=IntuneMAMDeviceID, value={{deviceID}}. Mer information finns i Lägga till appkonfigurationsprinciper för hanterade iOS-enheter.
- Om endast intuneMAMDeviceID-värdet har konfigurerats kommer Intune APP att betrakta enheten som ohanterad.