Udostępnij za pośrednictwem

Rozwiązywanie problemów związanych z dostępem warunkowym

  • Artykuł

W tym artykule opisano, co należy zrobić, gdy użytkownicy nie mogą uzyskać dostępu do zasobów chronionych za pomocą dostępu warunkowego lub gdy użytkownicy mogą uzyskiwać dostęp do chronionych zasobów, ale powinny być blokowane.

Za pomocą usługi Intune i dostępu warunkowego można chronić dostęp do usług Platformy Microsoft 365, takich jak Exchange Online i SharePoint Online oraz różne inne usługi. Ta funkcja umożliwia upewnienie się, że tylko urządzenia zarejestrowane w usłudze Intune i zgodne z regułami dostępu warunkowego ustawionymi w usłudze Intune lub Microsoft Entra ID mają dostęp do zasobów firmy.

Wymagania dotyczące dostępu warunkowego

Aby dostęp warunkowy działał, należy spełnić następujące wymagania:

  • Urządzenie musi być zarejestrowane w usłudze zarządzania urządzeniami przenośnymi (MDM) i zarządzane przez usługę Intune.

  • Zarówno użytkownik, jak i urządzenie muszą być zgodne z przypisanymi zasadami zgodności usługi Intune.

  • Domyślnie użytkownik musi mieć przypisane zasady zgodności urządzeń. Może to zależeć od konfiguracji ustawienia Oznacz urządzenia bez przypisanych zasad zgodności, które są w obszarze Ustawienia zasad zgodności>urządzeń w portalu administracyjnym usługi Intune.

  • Program Exchange ActiveSync musi zostać aktywowany na urządzeniu, jeśli użytkownik korzysta z natywnego klienta poczty urządzenia, a nie programu Outlook. Dzieje się to automatycznie w przypadku urządzeń z systemami iOS/iPadOS i Android Knox.

  • W przypadku lokalnego programu Exchange należy prawidłowo skonfigurować program Intune Exchange Connector. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z programem Exchange Connector w usłudze Microsoft Intune.

  • W przypadku lokalnego programu Skype należy skonfigurować nowoczesne uwierzytelnianie hybrydowe. Zobacz Omówienie nowoczesnego uwierzytelniania hybrydowego.

Te warunki można wyświetlić dla każdego urządzenia w witrynie Azure Portal i w raporcie spisu urządzeń.

Urządzenia są widoczne jako zgodne, ale użytkownicy nadal są blokowani

  • Upewnij się, że użytkownik ma przypisaną licencję usługi Intune na potrzeby odpowiedniej oceny zgodności.

  • Urządzenia z systemem Android innym niż Knox nie będą miały dostępu, dopóki użytkownik nie kliknie linku Rozpocznij teraz w otrzymanej wiadomości e-mail z kwarantanny. Ma to zastosowanie nawet wtedy, gdy użytkownik jest już zarejestrowany w usłudze Intune. Jeśli użytkownik nie otrzyma wiadomości e-mail z linkiem na telefonie, może użyć komputera, aby uzyskać dostęp do poczty e-mail i przekazać go do konta e-mail na swoim urządzeniu.

  • Po pierwszym zarejestrowaniu lub zaktualizowaniu urządzenia może upłynąć trochę czasu na zarejestrowanie informacji o zgodności i atrybutów dla urządzenia. Odczekaj kilka minut i spróbuj ponownie.

  • W przypadku urządzeń z systemem iOS/iPadOS istniejący profil poczty e-mail może zablokować wdrożenie profilu poczty e-mail utworzonego przez administratora usługi Intune przypisanego do tego użytkownika, co sprawia, że urządzenie jest niezgodne. W tym scenariuszu aplikacja Portal firmy powiadomi użytkownika o tym, że nie jest zgodny ze względu na ręcznie skonfigurowany profil poczty e-mail, i monituje użytkownika o usunięcie tego profilu. Po usunięciu istniejącego profilu poczty e-mail przez użytkownika profil poczty e-mail usługi Intune może zostać pomyślnie wdrożony. Aby zapobiec temu problemowi, przed zarejestrowaniem należy poinstruować użytkowników, aby usunęli wszystkie istniejące profile poczty e-mail na swoim urządzeniu.

  • Urządzenie może zostać zablokowane w stanie sprawdzania zgodności, co uniemożliwia użytkownikowi rozpoczęcie innego zaewidencjonowanie. Jeśli masz urządzenie w tym stanie:

    • Upewnij się, że urządzenie korzysta z najnowszej wersji aplikacji Portal firmy.
    • Uruchom urządzenie ponownie.
    • Sprawdź, czy problem nadal występuje w różnych sieciach (na przykład komórkowych, Wi-Fi itp.).

    Jeśli problem pozostanie, skontaktuj się z pomoc techniczna firmy Microsoft zgodnie z opisem w temacie Uzyskiwanie pomocy technicznej w usłudze Microsoft Intune.

  • Niektóre urządzenia z systemem Android mogą być szyfrowane, jednak aplikacja Portal firmy rozpoznaje te urządzenia jako niezaszyfrowane i oznacza je jako niezgodne. W tym scenariuszu użytkownik zobaczy powiadomienie w aplikacji Portal firmy z prośbą o skonfigurowanie kodu dostępu uruchamiania dla urządzenia. Po naciśnięciu powiadomienia i potwierdzeniu istniejącego numeru PIN lub hasła wybierz opcję Wymagaj numeru PIN do uruchomienia urządzenia na ekranie Bezpiecznego uruchamiania, a następnie naciśnij przycisk Sprawdź zgodność dla urządzenia z aplikacji Portal firmy. Urządzenie powinno być teraz wykrywane jako zaszyfrowane.

    Uwaga 16.

    Niektórzy producenci urządzeń szyfrują swoje urządzenia przy użyciu domyślnego numeru PIN zamiast numeru PIN ustawionego przez użytkownika. Usługa Intune wyświetla szyfrowanie, które używa domyślnego numeru PIN jako niezabezpieczonego i oznacza te urządzenia jako niezgodne, dopóki użytkownik nie utworzy nowego, domyślnego numeru PIN.

  • Urządzenie z systemem Android, które jest zarejestrowane i zgodne, może być nadal blokowane i otrzymywać powiadomienie o kwarantannie podczas pierwszej próby uzyskania dostępu do zasobów firmy. W takim przypadku upewnij się, że aplikacja Portal firmy nie jest uruchomiona, a następnie wybierz link Rozpocznij teraz w wiadomości e-mail z kwarantanny, aby wyzwolić ocenę. Należy to zrobić tylko po włączeniu dostępu warunkowego.

  • Zarejestrowane urządzenie z systemem Android może monitować użytkownika z komunikatem "Nie znaleziono certyfikatów" i nie otrzymać dostępu do zasobów platformy Microsoft 365. Użytkownik musi włączyć opcję Włącz dostęp za pomocą przeglądarki na zarejestrowanym urządzeniu w następujący sposób:

    1. Otwórz aplikację Portal firmy.
    2. Przejdź do strony Ustawienia z potrójnych kropek (...) lub przycisku menu sprzętowego.
    3. Wybierz przycisk Włącz dostęp do przeglądarki.
    4. W przeglądarce Chrome wyloguj się z platformy Microsoft 365 i uruchom ponownie przeglądarkę Chrome.

  • Aplikacje klasyczne muszą używać nowoczesnych metod uwierzytelniania korzystających z monitu uwierzytelniania wyświetlanego w przeglądarce internetowej lub brokerze uwierzytelniania. Skrypty, które wysyłają hasła bezpośrednio , mogą dostarczyć dowód tożsamości urządzenia tylko wtedy, gdy używają brokera uwierzytelniania.

Urządzenia są blokowane i nie otrzymano żadnej wiadomości e-mail o kwarantannie

  • Sprawdź, czy urządzenie jest obecne w konsoli administracyjnej usługi Intune jako urządzenie Exchange ActiveSync. Jeśli tak nie jest, prawdopodobnie odnajdywanie urządzeń kończy się niepowodzeniem, prawdopodobnie z powodu problemu z programem Exchange Connector. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z programem Intune Exchange Connector.

  • Zanim program Exchange Connector zablokuje urządzenie, wysyła wiadomość e-mail z aktywacją (kwarantanna). Jeśli urządzenie jest w trybie offline, może nie otrzymać wiadomości e-mail o aktywacji.

  • Sprawdź, czy klient poczty e-mail na urządzeniu jest skonfigurowany do pobierania wiadomości e-mail przy użyciu funkcji wypychania zamiast sondowania. Jeśli tak, może to spowodować, że użytkownik przegapi wiadomość e-mail. Przejdź do pozycji Sonduj i sprawdź, czy urządzenie otrzyma wiadomość e-mail.

Urządzenia są niezgodne, ale użytkownicy nie są blokowani

  • W przypadku komputerów z systemem Windows dostęp warunkowy blokuje tylko natywną aplikację poczty e-mail, pakiet Office 2013 z nowoczesnym uwierzytelnianiem lub pakiet Office 2016. Blokowanie wcześniejszych wersji programu Outlook lub wszystkich aplikacji poczty na komputerach z systemem Windows wymaga konfiguracji rejestracji urządzeń firmy Microsoft i usług Active Directory Federation Services (AD FS) zgodnie z instrukcjami : Blokowanie starszego uwierzytelniania do identyfikatora Entra firmy Microsoft przy użyciu dostępu warunkowego.

  • Jeśli urządzenie zostało selektywnie wyczyszczone lub wycofane z usługi Intune, może nadal mieć dostęp przez kilka godzin po wycofaniu. Dzieje się tak, ponieważ program Exchange buforuje prawa dostępu przez sześć godzin. Rozważ inne środki ochrony danych na wycofanych urządzeniach w tym scenariuszu.

  • Urządzenia Surface Hub, zarejestrowane zbiorczo i dem zarejestrowane w systemie Windows mogą obsługiwać dostęp warunkowy, gdy użytkownik, który ma przypisaną licencję dla usługi Intune, jest zalogowany. Jednak w celu poprawnej oceny należy wdrożyć zasady zgodności w grupach urządzeń (a nie grupach użytkowników).

  • Sprawdź przypisania zasad zgodności i zasad dostępu warunkowego. Jeśli użytkownik nie znajduje się w grupie, która ma przypisane zasady lub znajduje się w wykluczonej grupie, użytkownik nie jest blokowany. Tylko urządzenia użytkowników w przypisanej grupie są sprawdzane pod kątem zgodności.

Niezgodne urządzenie nie jest blokowane

Jeśli urządzenie nie jest zgodne, ale nadal ma dostęp, wykonaj następujące czynności.

  • Przejrzyj grupy docelowe i wykluczenia. Jeśli użytkownik nie znajduje się w odpowiedniej grupie docelowej lub znajduje się w grupie wykluczeń, nie zostanie zablokowany. Tylko urządzenia użytkowników w grupie docelowej są sprawdzane pod kątem zgodności.

  • Upewnij się, że urządzenie jest wykrywane. Czy program Exchange Connector wskazuje serwer CAS programu Exchange 2010, gdy użytkownik znajduje się na serwerze Exchange 2013? W takim przypadku, jeśli domyślna reguła programu Exchange to Zezwalaj, nawet jeśli użytkownik znajduje się w grupie Docelowej, usługa Intune nie może być świadoma połączenia urządzenia z programem Exchange.

  • Sprawdź stan istnienia/dostępu urządzenia w programie Exchange:

    • Użyj tego polecenia cmdlet programu PowerShell, aby uzyskać listę wszystkich urządzeń przenośnych dla skrzynki pocztowej: "Get-MobileDeviceStatistics -mailbox mbx". Jeśli urządzenie nie znajduje się na liście, nie uzyskuje dostępu do programu Exchange. Aby uzyskać więcej informacji, zobacz dokumentację programu Exchange PowerShell.

    • Jeśli urządzenie znajduje się na liście, użyj polecenia "Get-CASmailbox -identity:'upn" | Polecenie cmdlet fl, aby uzyskać szczegółowe informacje o stanie dostępu i podać te informacje, aby pomoc techniczna firmy Microsoft. Aby uzyskać więcej informacji, zobacz dokumentację programu Exchange PowerShell.

Błędy logowania przy użyciu dostępu warunkowego opartego na aplikacji

Zasady ochrony aplikacji usługi Intune ułatwiają ochronę danych firmowych na poziomie aplikacji, nawet na urządzeniach, którymi nie zarządzasz w usłudze Intune. Jeśli użytkownicy nie mogą zalogować się do chronionych aplikacji, może wystąpić problem z zasadami dostępu warunkowego opartego na aplikacji. Aby uzyskać szczegółowe wskazówki, zobacz Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego.