Compartir a través de

Solución de problemas de acceso condicional

  • Artículo

En este artículo se describe qué hacer cuando los usuarios no obtienen acceso a los recursos protegidos con acceso condicional, o cuando los usuarios pueden acceder a los recursos protegidos, pero deben bloquearse.

Con Intune y el acceso condicional, puede proteger el acceso a servicios de Microsoft 365, como Exchange Online y SharePoint Online, y otros servicios. Esta funcionalidad le permite asegurarse de que solo los dispositivos inscritos con Intune y que cumplen las reglas de acceso condicional que establezca en Intune o microsoft Entra ID tengan acceso a los recursos de la empresa.

Requisitos para el acceso condicional

Se deben cumplir los siguientes requisitos para que el acceso condicional funcione:

  • El dispositivo debe inscribirse en la administración de dispositivos móviles (MDM) y administrarlo Intune.

  • Tanto el usuario como el dispositivo deben ser compatibles con las directivas de cumplimiento de Intune asignadas.

  • De forma predeterminada, al usuario se le debe asignar una directiva de cumplimiento de dispositivos. Esto puede depender de la configuración de la configuración Marcar dispositivos sin ninguna directiva de cumplimiento asignada como se encuentra en >Configuración de directivas de cumplimiento de dispositivos en el portal de administración de Intune.

  • Exchange ActiveSync debe activarse en el dispositivo si el usuario usa el cliente de correo nativo del dispositivo en lugar de Outlook. Esto sucede automáticamente para dispositivos iOS/iPadOS y Android Knox.

  • Para Exchange local, Intune Exchange Connector debe estar configurado correctamente. Para obtener más información, consulte Solución de problemas de Exchange Connector en Microsoft Intune.

  • Para Skype local, debe configurar la autenticación moderna híbrida. Consulte Introducción a la autenticación moderna híbrida.

Puede ver estas condiciones para cada dispositivo en Azure Portal y en el informe de inventario de dispositivos.

Los dispositivos aparecen como compatibles pero los usuarios siguen bloqueados

  • Asegúrese de que el usuario tiene asignada una licencia de Intune para la evaluación de cumplimiento adecuada.

  • No se concederá acceso a dispositivos Android que no sean knox hasta que el usuario haga clic en el vínculo Introducción ahora en el correo electrónico de cuarentena que recibe. Esto se aplica incluso si el usuario ya está inscrito en Intune. Si el usuario no recibe el correo electrónico con el vínculo en su teléfono, puede usar un equipo para acceder a su correo electrónico y reenviarlo a una cuenta de correo electrónico en su dispositivo.

  • Cuando un dispositivo se inscribe por primera vez o se actualiza, puede tardar algún tiempo en registrarse información de cumplimiento y atributos para un dispositivo. Espere unos minutos y pruebe otra vez.

  • En el caso de los dispositivos iOS/iPadOS, un perfil de correo electrónico existente podría bloquear la implementación de un perfil de correo electrónico creado por el administrador de Intune asignado a ese usuario, lo que hace que el dispositivo no sea compatible. En este escenario, la aplicación Portal de empresa notificará al usuario que no es compatible debido a su perfil de correo electrónico configurado manualmente y solicita al usuario que quite ese perfil. Una vez que el usuario quita el perfil de correo electrónico existente, el perfil de correo electrónico de Intune se puede implementar correctamente. Para evitar este problema, indique a los usuarios que quiten los perfiles de correo electrónico existentes en su dispositivo antes de inscribirse.

  • Es posible que un dispositivo se bloquee en un estado de comprobación de cumplimiento, lo que impide que el usuario inicie otra comprobación. Si tiene un dispositivo en este estado:

    • Asegúrese de que el dispositivo usa la versión más reciente de la aplicación de Portal de empresa.
    • Reinicie el dispositivo.
    • Vea si el problema persiste en diferentes redes (por ejemplo, telefonía móvil, Wi-Fi, etc.).

    Si el problema persiste, póngase en contacto con Soporte técnico de Microsoft tal y como se describe en Obtener soporte técnico en Microsoft Intune.

  • Es posible que determinados dispositivos Android parezcan estar cifrados, pero la aplicación Portal de empresa reconoce estos dispositivos como no cifrados y los marca como no conformes. En este escenario, el usuario verá una notificación en la aplicación Portal de empresa pidiéndole que configure un código de acceso de inicio para el dispositivo. Después de pulsar la notificación y confirmar el PIN o la contraseña existentes, elija la opción Requerir PIN para iniciar el dispositivo en la pantalla Inicio seguro y, a continuación, pulse el botón Comprobar cumplimiento del dispositivo desde la aplicación Portal de empresa. El dispositivo debe detectarse ahora como cifrado.

    Nota:

    Algunos fabricantes de dispositivos cifran sus dispositivos mediante un PIN predeterminado en lugar de un PIN establecido por el usuario. Intune ve el cifrado que usa un PIN predeterminado como no seguro y marca esos dispositivos como no conformes hasta que el usuario crea un PIN nuevo y no predeterminado.

  • Es posible que un dispositivo Android inscrito y compatible siga bloqueado y reciba un aviso de cuarentena cuando intente acceder a los recursos corporativos por primera vez. Si esto ocurre, asegúrese de que la aplicación Portal de empresa no se está ejecutando y, a continuación, seleccione el vínculo Introducción ahora en el correo electrónico de cuarentena para desencadenar la evaluación. Esto solo debe realizarse cuando el acceso condicional está habilitado por primera vez.

  • Un dispositivo Android inscrito podría solicitar al usuario "No se encontraron certificados" y no se le concederá acceso a los recursos de Microsoft 365. El usuario debe habilitar la opción Habilitar acceso al explorador en el dispositivo inscrito de la siguiente manera:

    1. Abra la aplicación del portal de empresa.
    2. Vaya a la página Configuración desde los puntos triples (...) o el botón de menú de hardware.
    3. Seleccione el botón Habilitar acceso al explorador.
    4. En el explorador Chrome, cierre la sesión de Microsoft 365 y reinicie Chrome.

  • Las aplicaciones de escritorio deben usar métodos de autenticación modernos que se basan en un símbolo del sistema de autenticación que se muestra en un explorador web o en un agente de autenticación. Los scripts que envían contraseñas directamente pueden proporcionar una prueba de identidad de un dispositivo solo si usan un agente de autenticación.

Los dispositivos están bloqueados y no se recibe ningún correo electrónico de cuarentena

  • Compruebe que el dispositivo está presente en la consola de administración de Intune como un dispositivo Exchange ActiveSync. Si no es así, es probable que se produzca un error en la detección de dispositivos, probablemente debido a un problema de Exchange Connector. Para obtener más información, consulte Solución de problemas de Intune Exchange Connector.

  • Antes de que Exchange Connector bloquee un dispositivo, envía un correo electrónico de activación (cuarentena). Si el dispositivo está sin conexión, es posible que no reciba el correo electrónico de activación.

  • Compruebe si el cliente de correo electrónico del dispositivo está configurado para recuperar el correo electrónico mediante Push en lugar de Sondear. Si es así, esto podría hacer que el usuario pierda el correo electrónico. Cambie a Sondear y compruebe si el dispositivo recibe el correo electrónico.

Los dispositivos no son compatibles pero no se bloquean a los usuarios

  • Para equipos Windows, el acceso condicional solo bloquea la aplicación de correo electrónico nativa, Office 2013 con autenticación moderna u Office 2016. Bloquear versiones anteriores de Outlook o todas las aplicaciones de correo en equipos Windows requieren configuraciones de registro de dispositivos y Servicios de federación de Active Directory (AD FS) (AD FS) de Microsoft Entra según Cómo: Bloquear la autenticación heredada a Microsoft Entra ID con acceso condicional.

  • Si el dispositivo se borra o se retira de Intune de forma selectiva, es posible que siga teniendo acceso durante varias horas después de la retirada. Esto se debe a que Exchange almacena en caché los derechos de acceso durante seis horas. Considere otros medios para proteger los datos en dispositivos retirados en este escenario.

  • Los dispositivos Windows inscritos en Masa, Surface Hub y DEM inscritos pueden admitir el acceso condicional cuando un usuario que tenga asignada una licencia para Intune haya iniciado sesión. Sin embargo, debe implementar la directiva de cumplimiento en grupos de dispositivos (no grupos de usuarios) para la evaluación correcta.

  • Compruebe las asignaciones de las directivas de cumplimiento y las directivas de acceso condicional. Si un usuario no está en el grupo al que se asignan las directivas o está en un grupo excluido, el usuario no se bloquea. Solo se comprueba el cumplimiento de los dispositivos de los usuarios de un grupo asignado.

No se bloquea un dispositivo que no es compatible

Si un dispositivo no es compatible, pero sigue teniendo acceso, realice las siguientes acciones.

  • Revise los grupos de destino y exclusión. Si un usuario no está en el grupo de destino correcto o está en el grupo de exclusión, no se bloqueará. Solo se comprueba el cumplimiento de los dispositivos de los usuarios de un grupo de destino.

  • Asegúrese de que el dispositivo se está detectando. ¿El conector de Exchange apunta a un CAS de Exchange 2010 mientras el usuario está en un servidor de Exchange 2013? En este caso, si la regla predeterminada de Exchange es Permitir, incluso si el usuario está en el grupo Destino, Intune no puede tener en cuenta la conexión del dispositivo a Exchange.

  • Compruebe la existencia del dispositivo o el estado de acceso en Exchange:

    • Use este cmdlet de PowerShell para obtener una lista de todos los dispositivos móviles de un buzón: "Get-MobileDeviceStatistics -mailbox mbx". Si el dispositivo no aparece en la lista, no tiene acceso a Exchange. Para obtener más información, consulte la documentación de Exchange PowerShell.

    • Si el dispositivo aparece en la lista, use "Get-CASmailbox -identity:"upn" | Cmdlet fl' para obtener información detallada sobre su estado de acceso y proporcionar esa información para Soporte técnico de Microsoft. Para obtener más información, consulte la documentación de Exchange PowerShell.

Errores de inicio de sesión con el acceso condicional basado en la aplicación

Las directivas de protección de aplicaciones de Intune le ayudan a proteger los datos de la empresa en el nivel de aplicación, incluso en dispositivos que no administra en Intune. Si los usuarios no pueden iniciar sesión en aplicaciones protegidas, puede haber un problema con las directivas de acceso condicional basadas en la aplicación. Consulte Solución de problemas de inicio de sesión con el acceso condicional para obtener instrucciones detalladas.