Delen via

Problemen met voorwaardelijke toegang

  • Artikel

In dit artikel wordt beschreven wat u moet doen wanneer uw gebruikers geen toegang krijgen tot resources die zijn beveiligd met voorwaardelijke toegang, of wanneer gebruikers toegang hebben tot beveiligde resources, maar moeten worden geblokkeerd.

Met Intune en voorwaardelijke toegang kunt u de toegang tot Microsoft 365-services, zoals Exchange Online en SharePoint Online, en verschillende andere services beveiligen. Met deze mogelijkheid kunt u ervoor zorgen dat alleen apparaten die zijn ingeschreven bij Intune en voldoen aan de regels voor voorwaardelijke toegang die u hebt ingesteld in Intune of Microsoft Entra ID toegang hebben tot uw bedrijfsbronnen.

Vereisten voor voorwaardelijke toegang

Aan de volgende vereisten moet worden voldaan om voorwaardelijke toegang te laten werken:

  • Het apparaat moet zijn ingeschreven bij Mobile Device Management (MDM) en worden beheerd door Intune.

  • Zowel de gebruiker als het apparaat moeten voldoen aan het toegewezen Intune-nalevingsbeleid.

  • Standaard moet aan de gebruiker een nalevingsbeleid voor apparaten worden toegewezen. Dit kan afhankelijk zijn van de configuratie van de instelling Apparaten markeren waaraan geen nalevingsbeleid is toegewezen, zoals die zich in de Intune-beheerportal bevindt onder Instellingen voor nalevingsbeleid voor apparaatnaleving>.

  • Exchange ActiveSync moet op het apparaat worden geactiveerd als de gebruiker de systeemeigen e-mailclient van het apparaat gebruikt in plaats van Outlook. Dit gebeurt automatisch voor iOS-/iPadOS- en Android Knox-apparaten.

  • Voor on-premises Exchange moet uw Intune Exchange Connector correct zijn geconfigureerd. Zie Problemen met de Exchange Connector in Microsoft Intune oplossen voor meer informatie.

  • Voor on-premises Skype moet u Hybride moderne verificatie configureren. Zie Overzicht van hybride moderne verificatie.

U kunt deze voorwaarden voor elk apparaat weergeven in Azure Portal en in het rapport over de apparaatinventaris.

Het lijkt of apparaten aan de eisen voldoen, maar gebruikers zijn nog steeds geblokkeerd

  • Zorg ervoor dat de gebruiker een Intune-licentie heeft toegewezen voor de juiste nalevingsevaluatie.

  • Niet-Knox Android-apparaten krijgen pas toegang als de gebruiker op de koppeling Nu aan de slag klikt in de quarantaine-e-mail die ze ontvangen. Dit geldt zelfs als de gebruiker al is ingeschreven bij Intune. Als de gebruiker het e-mailbericht niet ontvangt met de koppeling op zijn telefoon, kan hij of zij een pc gebruiken om toegang te krijgen tot hun e-mail en deze door te sturen naar een e-mailaccount op hun apparaat.

  • Wanneer een apparaat voor het eerst wordt ingeschreven of bijgewerkt, kan het enige tijd duren voordat nalevingsgegevens en -kenmerken voor een apparaat zijn geregistreerd. Wacht een paar minuten en probeer het opnieuw.

  • Voor iOS-/iPadOS-apparaten kan een bestaand e-mailprofiel de implementatie blokkeren van een door de Intune-beheerder gemaakt e-mailprofiel dat aan die gebruiker is toegewezen, waardoor het apparaat niet compatibel is. In dit scenario stelt de Bedrijfsportal app de gebruiker op de hoogte dat deze niet compatibel is vanwege het handmatig geconfigureerde e-mailprofiel en wordt de gebruiker gevraagd dat profiel te verwijderen. Zodra de gebruiker het bestaande e-mailprofiel verwijdert, kan het Intune-e-mailprofiel worden geïmplementeerd. Als u dit probleem wilt voorkomen, moet u uw gebruikers instrueren om bestaande e-mailprofielen op hun apparaat te verwijderen voordat ze worden ingeschreven.

  • Een apparaat kan vastlopen in een controle-nalevingsstatus, waardoor de gebruiker geen andere check-in kan starten. Als u een apparaat in deze status hebt:

    • Zorg ervoor dat het apparaat de nieuwste versie van de Bedrijfsportal-app gebruikt.
    • Start het apparaat opnieuw op.
    • Kijk of het probleem zich blijft voordoen op verschillende netwerken (bijvoorbeeld mobiel, Wi-Fi, enzovoort).

    Als het probleem zich blijft voordoen, neemt u contact op met Microsoft Ondersteuning zoals beschreven in Ondersteuning krijgen in Microsoft Intune.

  • Bepaalde Android-apparaten lijken mogelijk versleuteld te zijn, maar de Bedrijfsportal app herkent deze apparaten als niet-versleuteld en markeert deze als niet-compatibel. In dit scenario ziet de gebruiker een melding in de Bedrijfsportal-app waarin wordt gevraagd om een opstartwachtwoordcode voor het apparaat in te stellen. Nadat u op de melding hebt getikt en de bestaande pincode of wachtwoord hebt bevestigd, kiest u de optie Pincode vereisen om het apparaat te starten op het scherm Beveiligd opstarten en tikt u vervolgens op de knop Naleving controleren voor het apparaat vanuit de Bedrijfsportal-app. Het apparaat moet nu worden gedetecteerd als versleuteld.

    Notitie

    Sommige fabrikanten van apparaten versleutelen hun apparaten met behulp van een standaardpincode in plaats van een pincode die door de gebruiker is ingesteld. Intune bekijkt versleuteling die gebruikmaakt van een standaardpincode als onveilig en markeert deze apparaten als niet-compatibel totdat de gebruiker een nieuwe, niet-standaardpincode maakt.

  • Een Android-apparaat dat is ingeschreven en compatibel is, kan nog steeds worden geblokkeerd en ontvangt een quarantainemelding wanneer u voor het eerst toegang probeert te krijgen tot bedrijfsbronnen. Als dit gebeurt, controleert u of de Bedrijfsportal-app niet wordt uitgevoerd en selecteert u vervolgens de koppeling Nu aan de slag in de quarantaine-e-mail om evaluatie te activeren. Dit hoeft alleen te gebeuren wanneer voorwaardelijke toegang voor het eerst is ingeschakeld.

  • Een Android-apparaat dat is ingeschreven, kan de gebruiker vragen om 'Geen certificaten gevonden' en geen toegang krijgen tot Microsoft 365-resources. De gebruiker moet de optie Browsertoegang inschakelen op het ingeschreven apparaat als volgt inschakelen:

    1. Open de Bedrijfsportal-app.
    2. Ga naar de pagina Instellingen vanaf de drie puntjes (...) of de knop hardwaremenu.
    3. Selecteer de knop Browsertoegang inschakelen.
    4. Meld u in de Chrome-browser af bij Microsoft 365 en start Chrome opnieuw.

  • Desktoptoepassingen moeten moderne verificatiemethoden gebruiken die afhankelijk zijn van een verificatieprompt die wordt weergegeven in een webbrowser of een verificatiebroker. Scripts die rechtstreeks wachtwoorden verzenden, kunnen alleen bewijs van de identiteit van een apparaat leveren als ze een verificatiebroker gebruiken.

Apparaten worden geblokkeerd en er is geen quarantaine-e-mail ontvangen

  • Controleer of het apparaat aanwezig is in de Intune-beheerconsole als een Exchange ActiveSync-apparaat. Als dit niet het probleem is, mislukt de detectie van apparaten waarschijnlijk vanwege een probleem met de Exchange Connector. Zie Problemen met de Intune Exchange Connector oplossen voor meer informatie.

  • Voordat een apparaat wordt geblokkeerd door de Exchange Connector, wordt er een activerings-e-mail (quarantaine) verzonden. Als het apparaat offline is, ontvangt het mogelijk niet de activerings-e-mail.

  • Controleer of de e-mailclient op het apparaat is geconfigureerd voor het ophalen van e-mail met behulp van Push in plaats van Poll. Zo ja, dan kan dit ertoe leiden dat de gebruiker het e-mailbericht mist. Schakel over naar Poll en kijk of het apparaat de e-mail ontvangt.

Apparaten zijn niet-conform maar gebruikers worden niet geblokkeerd

  • Voor Windows-pc's blokkeert voorwaardelijke toegang alleen de systeemeigen e-mail-app, Office 2013 met moderne verificatie of Office 2016. Voor het blokkeren van eerdere versies van Outlook of alle e-mail-apps op Windows-pc's zijn microsoft Entra-apparaatregistratie en AD FS-configuraties (Active Directory Federation Services) vereist volgens instructies: Verouderde verificatie voor Microsoft Entra ID met voorwaardelijke toegang blokkeren.

  • Als het apparaat selectief wordt gewist of buiten gebruik wordt gesteld van Intune, kan het enkele uren na de buitengebruikstelling nog steeds toegang hebben. Dit komt doordat Exchange gedurende zes uur toegangsrechten in de cache opslaat. Overweeg andere manieren om gegevens te beveiligen op buiten gebruik gestelde apparaten in dit scenario.

  • Surface Hub-, bulksgewijs ingeschreven en DEM-ingeschreven Windows-apparaten kunnen voorwaardelijke toegang ondersteunen wanneer een gebruiker aan wie een licentie voor Intune is toegewezen, is aangemeld. U moet echter het nalevingsbeleid implementeren op apparaatgroepen (geen gebruikersgroepen) voor de juiste evaluatie.

  • Controleer de toewijzingen voor uw nalevingsbeleid en uw beleid voor voorwaardelijke toegang. Als een gebruiker zich niet in de groep bevindt waaraan het beleid is toegewezen of zich in een groep bevindt die is uitgesloten, wordt de gebruiker niet geblokkeerd. Alleen apparaten voor gebruikers in een toegewezen groep worden gecontroleerd op naleving.

Niet-compatibel apparaat wordt niet geblokkeerd

Als een apparaat niet compatibel is maar nog steeds toegang heeft, voert u de volgende acties uit.

  • Controleer uw doel- en uitsluitingsgroepen. Als een gebruiker zich niet in de juiste doelgroep bevindt of zich in de uitsluitingsgroep bevindt, wordt deze niet geblokkeerd. Alleen apparaten van gebruikers in een doelgroep worden gecontroleerd op naleving.

  • Zorg ervoor dat het apparaat wordt gedetecteerd. Verwijst de Exchange Connector naar een Exchange 2010-CAS terwijl de gebruiker zich op een Exchange 2013-server bevindt? Als in dit geval de standaardregel voor Exchange toestaan is, zelfs als de gebruiker zich in de doelgroep bevindt, kan Intune niet op de hoogte zijn van de verbinding van het apparaat met Exchange.

  • Controleer het bestaan/de toegangsstatus van het apparaat in Exchange:

    • Gebruik deze PowerShell-cmdlet om een lijst op te halen met alle mobiele apparaten voor een postvak: 'Get-MobileDeviceStatistics -mailbox mbx'. Als het apparaat niet wordt weergegeven, heeft het geen toegang tot Exchange. Zie de Exchange PowerShell-documenten voor meer informatie.

    • Als het apparaat wordt vermeld, gebruikt u de 'Get-CASmailbox -identity:'upn' | fl'-cmdlet voor gedetailleerde informatie over de toegangsstatus en geef die informatie op voor Microsoft Ondersteuning. Zie de Exchange PowerShell-documenten voor meer informatie.

Aanmeldingsfouten met voorwaardelijke toegang op basis van apps

Intune-beveiligingsbeleid voor apps helpt u bij het beveiligen van bedrijfsgegevens op app-niveau, zelfs op apparaten die u niet beheert in Intune. Als uw gebruikers zich niet kunnen aanmelden bij beveiligde toepassingen, is er mogelijk een probleem met het beleid voor voorwaardelijke toegang op basis van uw app. Zie Aanmeldingsproblemen met voorwaardelijke toegang oplossen voor gedetailleerde richtlijnen.