Udostępnij za pośrednictwem

Rozwiązywanie problemów z wdrażaniem zasad ochrony aplikacji w usłudze Intune

  • Artykuł

Ten artykuł pomaga administratorom IT zrozumieć i rozwiązać problemy podczas stosowania zasad ochrony aplikacji (APP) w usłudze Microsoft Intune. Postępuj zgodnie z instrukcjami w sekcjach, które dotyczą Twojej sytuacji. Zapoznaj się z przewodnikiem, aby uzyskać dodatkowe wskazówki dotyczące rozwiązywania problemów związane z aplikacjami, takie jak Rozwiązywanie problemów z użytkownikami zasad ochrony aplikacji i Rozwiązywanie problemów z transferem danych między aplikacjami.

Zanim rozpoczniesz

Przed rozpoczęciem rozwiązywania problemów zbierz podstawowe informacje, aby lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania.

Zbierz następujące informacje podstawowe:

  • Które ustawienie zasad jest lub nie jest stosowane? Czy są stosowane jakiekolwiek zasady?
  • Co to jest środowisko użytkownika? Czy użytkownicy mają zainstalowaną i uruchomioną aplikację docelową?
  • Kiedy problem zaczął występować? Czy ochrona aplikacji kiedykolwiek działała?
  • Która platforma (Android lub iOS) ma problem?
  • Ilu użytkowników dotyczy problem? Czy dotyczy to wszystkich użytkowników, czy tylko niektórych użytkowników?
  • Ilu urządzeń dotyczy problem? Czy dotyczy to wszystkich urządzeń, czy tylko niektórych urządzeń?
  • Mimo że zasady ochrony aplikacji usługi Intune nie wymagają usługi zarządzania urządzeniami przenośnymi (MDM), mają wpływ na użytkowników korzystających z usługi Intune lub rozwiązania MDM innej firmy?
  • Czy dotyczy to wszystkich zarządzanych aplikacji, czy tylko określonych aplikacji? Na przykład czy aplikacje biznesowe (LOB) są tworzone przy użyciu zestawu SDK aplikacji usługi Intune, ale aplikacje ze sklepu nie mają wpływu?
  • Czy na urządzeniu jest używana usługa zarządzania inna niż usługa Intune?

Po zainstalowaniu powyższych informacji możesz rozpocząć rozwiązywanie problemów.

Pomyślne wdrożenie zasad ochrony aplikacji opiera się na odpowiedniej konfiguracji ustawień i innych zależności. Zalecany przepływ do badania typowych problemów z aplikacją usługi Intune jest następujący, co bardziej szczegółowo opisano w tym artykule:

  1. Sprawdź, czy spełniono wymagania wstępne dotyczące wdrażania zasad ochrony aplikacji.
  2. Sprawdź stan zasad ochrony aplikacji i sprawdź określanie wartości docelowej.
  3. Sprawdź, czy użytkownik jest docelowy.
  4. Sprawdź, czy aplikacja zarządzana jest przeznaczona.
  5. Sprawdź, czy użytkownik zalogował się do aplikacji, której dotyczy problem, przy użyciu docelowego konta firmowego.
  6. Zbieranie danych urządzenia.

Krok 1. Weryfikowanie wymagań wstępnych zasad ochrony aplikacji

Pierwszym krokiem rozwiązywania problemów jest sprawdzenie, czy zostały spełnione wszystkie wymagania wstępne. Mimo że można używać aplikacji usługi Intune niezależnie od dowolnego rozwiązania MDM, należy spełnić następujące wymagania wstępne:

  • Użytkownik musi mieć przypisaną licencję usługi Intune.

  • Użytkownik musi należeć do grupy zabezpieczeń objętej zasadami ochrony aplikacji. Te same zasady ochrony aplikacji muszą być przeznaczone dla określonej używanej aplikacji.

  • W przypadku urządzeń z systemem Android aplikacja Portal firmy jest wymagana do odbierania zasad ochrony aplikacji.

  • Jeśli używasz aplikacji Word, Excel lub PowerPoint , należy spełnić następujące dodatkowe wymagania:

    • Użytkownik musi mieć licencję na Aplikacje Microsoft 365 dla firm lub przedsiębiorstwa połączonego z kontem Microsoft Entra użytkownika. Subskrypcja musi zawierać aplikacja pakietu Office na urządzeniach przenośnych i może zawierać konto magazynu w chmurze z OneDrive dla Firm. Licencje platformy Microsoft 365 można przypisać w Centrum administracyjne platformy Microsoft 365, postępując zgodnie z tymi instrukcjami.
    • Użytkownik musi mieć zarządzaną lokalizację skonfigurowaną przy użyciu szczegółowej funkcji Zapisz jako . To polecenie znajduje się w obszarze ustawienia zasad Zapisywania kopii danych organizacji ochrony aplikacji. Jeśli na przykład zarządzana lokalizacja to OneDrive, aplikacja OneDrive powinna być skonfigurowana w aplikacji Word, Excel lub PowerPoint użytkownika.
    • Jeśli zarządzana lokalizacja to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożonym dla użytkownika.

    Uwaga 16.

    Aplikacje mobilne pakietu Office obsługują obecnie tylko usługę SharePoint Online, a nie lokalną usługę SharePoint.

  • Jeśli używasz zasad ochrony aplikacji usługi Intune wraz z zasobami lokalnymi (Microsoft Skype dla firm i Microsoft Exchange Server), musisz włączyć nowoczesne uwierzytelnianie hybrydowe dla Skype dla firm i programu Exchange.

Krok 2. Sprawdzanie stanu zasad ochrony aplikacji

Zapoznaj się z poniższymi szczegółami, aby zrozumieć stan zasad ochrony aplikacji:

  • Czy na urządzeniu, którego dotyczy problem, zaewidencjonowano użytkownika?
  • Czy aplikacje dla scenariusza problemu są zarządzane za pośrednictwem zasad docelowych?
  • Sprawdź, czy czas dostarczania zasad mieści się w oczekiwanym zachowaniu. Aby uzyskać więcej informacji, zobacz Omówienie czasu dostarczania zasad ochrony aplikacji.

Aby uzyskać szczegółowe informacje, wykonaj następujące czynności:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Monitor> aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Przypisani użytkownicy.
  3. Na stronie Raportowanie aplikacji wybierz pozycję Wybierz użytkownika, aby wyświetlić listę użytkowników i grup.
  4. Wyszukaj i wybierz jednego z użytkowników, których dotyczy problem, z listy, a następnie wybierz pozycję Wybierz użytkownika. W górnej części strony Raportowanie aplikacji możesz sprawdzić, czy użytkownik ma licencję na ochronę aplikacji i ma licencję platformy Microsoft 365. Można również zobaczyć stan aplikacji dla wszystkich urządzeń użytkownika.
  5. Zanotuj takie ważne informacje, jak docelowe aplikacje, typy urządzeń, zasady, stan ewidencjonowania urządzeń i czas ostatniej synchronizacji.

Uwaga 16.

Ochrona aplikacji zasady są stosowane tylko wtedy, gdy aplikacje są używane w kontekście służbowym. Na przykład gdy użytkownik uzyskuje dostęp do aplikacji przy użyciu konta służbowego.

Aby uzyskać więcej informacji, zobacz Jak zweryfikować konfigurację zasad ochrony aplikacji w usłudze Microsoft Intune.

Krok 3. Sprawdzanie, czy użytkownik jest ukierunkowany

Zasady ochrony aplikacji usługi Intune muszą być przeznaczone dla użytkowników. Jeśli zasady ochrony aplikacji nie zostaną przypisane do użytkownika lub grupy użytkowników, zasady nie zostaną zastosowane.

Aby sprawdzić, czy zasady są stosowane do docelowego użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Monitor> aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Stan użytkownika (na podstawie platformy systemu operacyjnego urządzenia). W otwartym okienku Raportowanie aplikacji wybierz pozycję Wybierz użytkownika , aby wyszukać użytkownika.
  3. Wybierz użytkownika z listy. Szczegółowe informacje dotyczące tego użytkownika można wyświetlić. Pamiętaj, że wyświetlenie nowo wybranego użytkownika w raportach może potrwać do 24 godzin.

Po przypisaniu zasad do grupy użytkowników upewnij się, że użytkownik znajduje się w grupie użytkowników. W tym celu wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Grupy > Wszystkie grupy, a następnie wyszukaj i wybierz grupę używaną do przypisania zasad ochrony aplikacji.
  3. W sekcji Zarządzanie wybierz pozycję Członkowie.
  4. Jeśli użytkownik, którego dotyczy problem, nie znajduje się na liście, zapoznaj się z artykułem Zarządzanie dostępem do aplikacji i zasobów przy użyciu grup Firmy Microsoft i reguł członkostwa w grupach. Upewnij się, że użytkownik, którego dotyczy problem, jest uwzględniony w grupie.
  5. Upewnij się, że użytkownik, którego dotyczy problem, nie znajduje się w żadnej z wykluczonych grup zasad.

Ważne

  • Zasady ochrony aplikacji usługi Intune muszą być przypisane do grup użytkowników, a nie grup urządzeń.
  • Jeśli urządzenie, którego dotyczy problem, korzysta z systemu Android Enterprise, tylko należące do użytkownika profile służbowe będą obsługiwać zasady ochrony aplikacji.
  • Jeśli urządzenie, którego dotyczy problem, korzysta z funkcji automatycznego rejestrowania urządzeń (ADE) firmy Apple, upewnij się, że koligacja użytkownika jest włączona. Koligacja użytkownika jest wymagana dla każdej aplikacji wymagającej uwierzytelniania użytkownika w ramach programu ADE. Aby uzyskać więcej informacji na temat rejestracji w programie ADE dla systemu iOS/iPadOS, zobacz Automatyczne rejestrowanie urządzeń z systemem iOS/iPadOS.

Krok 4. Sprawdzanie, czy aplikacja zarządzana jest docelowa

Podczas konfigurowania zasad ochrony aplikacji usługi Intune docelowe aplikacje muszą używać zestawu SDK aplikacji usługi Intune. W przeciwnym razie zasady ochrony aplikacji mogą nie działać poprawnie.

Upewnij się, że aplikacja docelowa znajduje się na liście w aplikacjach chronionych przez usługę Microsoft Intune. W przypadku aplikacji biznesowych lub niestandardowych sprawdź, czy aplikacje korzystają z najnowszej wersji zestawu SDK aplikacji usługi Intune.

W przypadku systemu iOS ta praktyka jest ważna, ponieważ każda wersja zawiera poprawki wpływające na sposób stosowania tych zasad i sposobu ich działania. Aby uzyskać więcej informacji, zobacz Wersje zestawu SDK aplikacji usługi Intune dla systemu iOS. Użytkownicy systemu Android powinni mieć zainstalowaną najnowszą wersję aplikacji Portal firmy, ponieważ aplikacja działa jako agent brokera zasad.

Krok 5. Sprawdź, czy użytkownik zalogował się do aplikacji, której dotyczy problem, przy użyciu docelowego konta firmowego

Niektóre aplikacje mogą być używane bez logowania użytkownika, ale aby pomyślnie zarządzać aplikacją przy użyciu aplikacji usługi Intune, użytkownicy muszą zalogować się do aplikacji przy użyciu poświadczeń firmowych. Zasady ochrony aplikacji usługi Intune wymagają, aby tożsamość użytkownika była spójna między aplikacją a zestawem SDK aplikacji usługi Intune. Upewnij się, że użytkownik, którego dotyczy problem, pomyślnie zalogował się do aplikacji przy użyciu konta firmowego.

W większości scenariuszy użytkownicy logują się do swoich kont przy użyciu głównej nazwy użytkownika (UPN). Jednak w niektórych środowiskach (takich jak scenariusze lokalne) użytkownicy mogą używać innej formy poświadczeń logowania. W takich przypadkach może się okazać, że nazwa UPN używana w aplikacji nie jest zgodna z obiektem UPN w identyfikatorze Entra firmy Microsoft. W przypadku wystąpienia tego problemu zasady ochrony aplikacji nie są stosowane zgodnie z oczekiwaniami.

Zalecane przez firmę Microsoft najlepsze rozwiązania to dopasowanie nazwy UPN do podstawowego adresu SMTP. Dzięki temu użytkownicy mogą logować się do aplikacji zarządzanych, ochrony aplikacji usługi Intune i innych zasobów firmy Microsoft Entra, mając spójną tożsamość. Aby uzyskać więcej informacji, zobacz Microsoft Entra UserPrincipalName population (Populacja userPrincipalName firmy Microsoft).

Jedynym sposobem zagwarantowania tej spójności jest nowoczesne uwierzytelnianie. Istnieją scenariusze, w których aplikacje mogą działać w konfiguracji lokalnej bez nowoczesnego uwierzytelniania. Jednak wyniki nie są spójne ani gwarantowane.

Jeśli środowisko wymaga alternatywnych metod logowania, zobacz Konfigurowanie alternatywnego identyfikatora logowania, w szczególności hybrydowe nowoczesne uwierzytelnianie przy użyciu alternatywnego identyfikatora.

Krok 6. Zbieranie danych urządzenia za pomocą przeglądarki Microsoft Edge

Skontaktuj się z użytkownikiem, aby zebrać szczegółowe informacje o tym, co próbuje wykonać, i czynności, które wykonują. Poproś użytkownika o zebranie zrzutów ekranu lub nagrania wideo z zachowaniem. Pomaga to wyjaśnić jawne wykonywane akcje urządzenia. Następnie zbierz dzienniki aplikacji zarządzanych za pośrednictwem przeglądarki Microsoft Edge na urządzeniu.

Użytkownicy z przeglądarką Microsoft Edge zainstalowaną na urządzeniu z systemem iOS lub Android mogą wyświetlać stan zarządzania wszystkich opublikowanych aplikacji firmy Microsoft. Mogą oni użyć poniższych kroków, aby wysłać dzienniki, aby ułatwić rozwiązywanie problemów.

  1. Otwórz przeglądarkę Microsoft Edge dla systemów iOS i Android na urządzeniu.
  2. Na pasku adresu wpisz about:intunehelp.
  3. Przeglądarka Microsoft Edge dla systemów iOS i Android jest uruchamiana w trybie rozwiązywania problemów.

Na tym ekranie zostaną wyświetlone dwie opcje i dane dotyczące urządzenia.

Zrzut ekranu przedstawiający informacje o urządzeniu udostępnionym.

Wybierz pozycję Wyświetl stan aplikacji usługi Intune, aby wyświetlić listę aplikacji. W przypadku wybrania określonej aplikacji zostaną wyświetlone ustawienia aplikacji skojarzone z tą aplikacją, które są obecnie aktywne na urządzeniu.

Zrzut ekranu przedstawiający informacje o aplikacji.

Jeśli informacje wyświetlane dla określonej aplikacji są ograniczone do wersji aplikacji i pakietu ze znacznikiem czasu zaewidencjonowania zasad, oznacza to, że żadne zasady nie są obecnie stosowane do tej aplikacji na urządzeniu.

Opcja Wprowadzenie umożliwia zbieranie dzienników dotyczących aplikacji z obsługą aplikacji. Jeśli otworzysz bilet pomocy technicznej dla firmy Microsoft dla zasad ochrony aplikacji, zawsze należy podać te dzienniki z urządzenia, którego dotyczy problem, jeśli to możliwe. Aby uzyskać instrukcje specyficzne dla systemu Android, zobacz Przekazywanie i wysyłanie dzienników poczty e-mail.

Zrzut ekranu przedstawiający opcje udostępniania dzienników.

Aby uzyskać listę ustawień przechowywanych w dziennikach diagnostyki usługi Intune (APP), zobacz Przeglądanie dzienników ochrony aplikacji klienckich.

Dodatkowe scenariusze rozwiązywania problemów

Zapoznaj się z następującymi typowymi scenariuszami podczas rozwiązywania problemów z aplikacją. Możesz również przejrzeć scenariusze dotyczące typowych problemów z transferem danych.

Scenariusz: Zmiany zasad nie są stosowane

Zestaw SDK aplikacji usługi Intune regularnie sprawdza zmiany zasad. Jednak ten proces może zostać opóźniony z dowolnego z następujących powodów:

  • Aplikacja nie została zaewidencjonowana w usłudze.
  • Aplikacja Portal firmy została usunięta z urządzenia.

Zasady ochrony aplikacji usługi Intune opierają się na tożsamości użytkownika. W związku z tym wymagane jest prawidłowe logowanie, które używa konta służbowego do aplikacji i spójne połączenie z usługą. Jeśli użytkownik nie zalogował się do aplikacji lub aplikacja Portal firmy została usunięta z urządzenia, aktualizacje zasad nie będą stosowane.

Ważne

Zestaw SDK aplikacji usługi Intune sprawdza co 30 minut pod kątem selektywnego czyszczenia. Jednak zmiany istniejących zasad dla użytkowników, którzy są już zalogowani, mogą nie pojawić się przez maksymalnie 8 godzin. Aby przyspieszyć ten proces, użytkownik wyloguj się z aplikacji, a następnie zaloguj się ponownie lub uruchom ponownie swoje urządzenie.

Aby sprawdzić stan ochrony aplikacji, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Monitor> aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Przypisani użytkownicy.
  3. Na stronie Raportowanie aplikacji wybierz pozycję Wybierz użytkownika , aby otworzyć listę użytkowników i grup.
  4. Wyszukaj i wybierz jednego z użytkowników, których dotyczy problem, z listy, a następnie wybierz pozycję Wybierz użytkownika.
  5. Przejrzyj aktualnie stosowane zasady, w tym stan i czas ostatniej synchronizacji.
  6. Jeśli stan nie jest zaewidencjonowany lub jeśli ekran wskazuje, że nie przeprowadzono niedawnej synchronizacji, sprawdź, czy użytkownik ma spójne połączenie sieciowe. W przypadku użytkowników systemu Android upewnij się, że ma zainstalowaną najnowszą wersję aplikacji Portal firmy.

Zasady ochrony aplikacji usługi Intune obejmują obsługę wielu tożsamości. Usługa Intune może stosować zasady ochrony aplikacji tylko do konta służbowego, które jest zalogowane do aplikacji. Obsługiwane jest jednak tylko jedno konto służbowe na urządzenie.

Scenariusz: urządzenia z systemem iOS zarejestrowane w usłudze Intune wymagają dodatkowej konfiguracji

Podczas tworzenia zasad ochrony aplikacji można go kierować do wszystkich typów aplikacji lub do następujących typów aplikacji:

  • Aplikacje na urządzeniach niezarządzanych
  • Aplikacje na urządzeniach zarządzanych przez usługę Intune
  • Aplikacje w profilu służbowym należącym do użytkownika systemu Android

Uwaga 16.

Aby określić typy aplikacji, ustaw pozycję Target na wszystkie typy aplikacji na Nie, a następnie wybierz z listy Typy aplikacji.

Jeśli są przeznaczone tylko urządzenia zarządzane przez usługę Intune dla systemu iOS, następujące dodatkowe ustawienia konfiguracji aplikacji muszą być objęte zasadami ochrony aplikacji:

  • Funkcje IntuneMAMUPN i IntuneMAMOID muszą być skonfigurowane dla wszystkich aplikacji zarządzanych przez rozwiązanie MDM (Intune lub EMM innej firmy). Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawienia nazwy UPN użytkownika dla usługi Microsoft Intune lub rozwiązania EMM innej firmy.
  • Usługa IntuneMAMDeviceID musi być skonfigurowana dla wszystkich aplikacji zarządzanych przez inne firmy i aplikacje biznesowe MDM.
  • Identyfikator urządzenia intuneMAMDeviceID musi być skonfigurowany jako token identyfikatora urządzenia. Na przykład key=IntuneMAMDeviceID, value={{deviceID}}. Aby uzyskać więcej informacji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS.
  • Jeśli skonfigurowano tylko wartość IntuneMAMDeviceID , aplikacja usługi Intune rozważy urządzenie jako niezarządzane.

Następne kroki