Compartilhar via

Solucionar problemas de acesso condicional

  • Artigo

Este artigo descreve o que fazer quando os usuários não conseguem obter acesso a recursos protegidos com Acesso Condicional ou quando os usuários podem acessar recursos protegidos, mas devem ser bloqueados.

Com o Intune e o Acesso Condicional, você pode proteger o acesso aos serviços do Microsoft 365, como Exchange Online e SharePoint Online, e vários outros serviços. Essa funcionalidade permite que você verifique se apenas os dispositivos registrados no Intune e em conformidade com as regras de Acesso Condicional definidas no Intune ou na ID do Microsoft Entra tenham acesso aos recursos da sua empresa.

Requisitos para acesso condicional

Os seguintes requisitos devem ser atendidos para que o Acesso Condicional funcione:

  • O dispositivo deve ser registrado no MDM (gerenciamento de dispositivo móvel) e gerenciado pelo Intune.

  • O usuário e o dispositivo devem estar em conformidade com as políticas de conformidade atribuídas do Intune.

  • Por padrão, o usuário deve receber uma política de conformidade do dispositivo. Isso pode depender da configuração Marcar dispositivos sem política de conformidade atribuída como, que está em Configurações da Política de Conformidade de Conformidade>do Dispositivo no portal de administração do Intune.

  • O Exchange ActiveSync deve ser ativado no dispositivo se o usuário estiver usando o cliente de email nativo do dispositivo em vez do Outlook. Isso acontece automaticamente para dispositivos iOS/iPadOS e Android Knox.

  • Para o Exchange local, o Intune Exchange Connector deve ser configurado corretamente. Para obter mais informações, consulte Solução de problemas do Exchange Connector no Microsoft Intune.

  • Para o Skype local, você deve configurar a Autenticação Moderna Híbrida. Consulte Visão geral da autenticação moderna híbrida.

Você pode exibir essas condições para cada dispositivo no portal do Azure e no relatório de inventário de dispositivos.

Os dispositivos aparecem em conformidade, mas os usuários ainda estão bloqueados

  • Verifique se o usuário tem uma licença do Intune atribuída para avaliação de conformidade adequada.

  • Os dispositivos Android que não são do Knox não terão acesso até que o usuário clique no link Começar agora no e-mail de quarentena recebido. Isso se aplica mesmo que o usuário já esteja registrado no Intune. Se o usuário não receber o e-mail com o link em seu telefone, ele poderá usar um computador para acessar seu e-mail e encaminhá-lo para uma conta de e-mail em seu dispositivo.

  • Quando um dispositivo é registrado ou atualizado pela primeira vez, pode levar algum tempo para que as informações e os atributos de conformidade sejam registrados para um dispositivo. Aguarde alguns minutos e tente novamente.

  • Para dispositivos iOS/iPadOS, um perfil de email existente pode bloquear a implantação de um perfil de email criado pelo administrador do Intune atribuído a esse usuário, tornando o dispositivo não compatível. Nesse cenário, o aplicativo Portal da Empresa notificará o usuário de que ele não está em conformidade devido ao perfil de email configurado manualmente e solicitará que o usuário remova esse perfil. Depois que o usuário remover o perfil de email existente, o perfil de email do Intune poderá ser implantado com êxito. Para evitar esse problema, instrua os usuários a remover todos os perfis de e-mail existentes no dispositivo antes de se inscreverem.

  • Um dispositivo pode ficar preso em um estado de conformidade de verificação, impedindo que o usuário inicie outro check-in. Se você tiver um dispositivo neste estado:

    • Verifique se o dispositivo está usando a versão mais recente do aplicativo Portal da Empresa.
    • Reinicie o dispositivo.
    • Veja se o problema persiste em redes diferentes (por exemplo, celular, Wi-Fi, etc.).

    Se o problema persistir, entre em contato com o Suporte da Microsoft, conforme descrito em Obter suporte no Microsoft Intune.

  • Determinados dispositivos Android podem parecer criptografados, no entanto, o aplicativo Portal da Empresa reconhece esses dispositivos como não criptografados e os marca como não compatíveis. Nesse cenário, o usuário verá uma notificação no aplicativo Portal da Empresa solicitando que ele defina uma senha de inicialização para o dispositivo. Depois de tocar na notificação e confirmar o PIN ou a senha existente, escolha a opção Exigir PIN para iniciar o dispositivo na tela de inicialização segura e toque no botão Verificar Conformidade do dispositivo no aplicativo Portal da Empresa. O dispositivo agora deve ser detectado como criptografado.

    Observação

    Alguns fabricantes de dispositivos criptografam seus dispositivos usando um PIN padrão em vez de um PIN definido pelo usuário. O Intune exibe a criptografia que usa um PIN padrão como insegura e marca esses dispositivos como não compatíveis até que o usuário crie um novo PIN não padrão.

  • Um dispositivo Android registrado e em conformidade ainda pode ser bloqueado e receber um aviso de quarentena ao tentar acessar recursos corporativos pela primeira vez. Se isso ocorrer, verifique se o aplicativo Portal da Empresa não está em execução e selecione o link Introdução agora no email de quarentena para disparar a avaliação. Isso só deve ser feito quando o Acesso Condicional for habilitado pela primeira vez.

  • Um dispositivo Android registrado pode solicitar ao usuário "Nenhum certificado encontrado" e não ter acesso aos recursos do Microsoft 365. O usuário deve habilitar a opção Habilitar acesso ao navegador no dispositivo registrado da seguinte maneira:

    1. Abra o aplicativo do Portal da Empresa.
    2. Vá para a página Configurações a partir dos pontos triplos (...) ou do botão de menu de hardware.
    3. Selecione o botão Ativar acesso ao navegador.
    4. No navegador Chrome, saia do Microsoft 365 e reinicie o Chrome.

  • Os aplicativos da área de trabalho devem usar métodos de autenticação modernos que dependem de um prompt de autenticação exibido em um navegador da Web ou em um agente de autenticação. Os scripts que enviam senhas diretamente podem fornecer prova da identidade de um dispositivo somente se usarem um agente de autenticação.

Os dispositivos estão bloqueados e nenhum email de quarentena foi recebido

  • Verifique se o dispositivo está presente no console de administração do Intune como um dispositivo Exchange ActiveSync. Se não estiver, é provável que a descoberta do dispositivo esteja falhando, provavelmente devido a um problema do Exchange Connector. Para obter mais informações, consulte Solucionar problemas do Intune Exchange Connector.

  • Antes que o Exchange Connector bloqueie um dispositivo, ele envia um email de ativação (quarentena). Se o dispositivo estiver offline, ele pode não receber o e-mail de ativação.

  • Verifique se o cliente de e-mail no dispositivo está configurado para recuperar e-mails usando Push em vez de Sondagem. Nesse caso, isso pode fazer com que o usuário perca o e-mail. Mude para Enquete e veja se o dispositivo recebe o e-mail.

Os dispositivos são incompatíveis, mas os usuários não estão bloqueados

  • Para computadores Windows, o Acesso Condicional bloqueia apenas o aplicativo de email nativo, o Office 2013 com Autenticação Moderna ou o Office 2016. O bloqueio de versões anteriores do Outlook ou de todos os aplicativos de email em PCs com Windows requer o Registro de Dispositivo do Microsoft Entra e as configurações dos Serviços de Federação do Active Directory (AD FS) de acordo com Como bloquear a autenticação herdada na ID do Microsoft Entra com Acesso Condicional.

  • Se o dispositivo for apagado seletivamente ou desativado do Intune, ele poderá continuar a ter acesso por várias horas após a desativação. Isso ocorre porque o Exchange armazena em cache os direitos de acesso por seis horas. Considere outros meios de proteger dados em dispositivos desativados neste cenário.

  • Os dispositivos Windows registrados no Surface Hub, registrados em massa e registrados no DEM podem dar suporte ao Acesso Condicional quando um usuário que recebe uma licença para o Intune está conectado. No entanto, você deve implantar a política de conformidade em grupos de dispositivos (não grupos de usuários) para avaliação correta.

  • Verifique as atribuições de suas políticas de conformidade e suas políticas de Acesso Condicional. Se um usuário não estiver no grupo atribuído às políticas ou estiver em um grupo excluído, o usuário não será bloqueado. Somente os dispositivos para usuários em um grupo atribuído são verificados quanto à conformidade.

Dispositivo incompatível não bloqueado

Se um dispositivo não estiver em conformidade, mas continuar a ter acesso, execute as seguintes ações.

  • Revise seus grupos de destino e exclusão. Se um usuário não estiver no grupo de destino correto ou estiver no grupo de exclusão, ele não será bloqueado. Somente os dispositivos de usuários em um grupo de destino são verificados quanto à conformidade.

  • Verifique se o dispositivo está sendo descoberto. O Exchange Connector está apontando para um CAS do Exchange 2010 enquanto o usuário está em um servidor do Exchange 2013? Nesse caso, se a regra padrão do Exchange for Permitir, mesmo que o usuário esteja no grupo de destino, o Intune não poderá estar ciente da conexão do dispositivo com o Exchange.

  • Verifique a existência/estado de acesso do dispositivo no Exchange:

    • Use este cmdlet do PowerShell para obter uma lista de todos os dispositivos móveis para uma caixa de correio: 'Get-MobileDeviceStatistics -mailbox mbx'. Se o dispositivo não estiver listado, ele não está acessando o Exchange. Para obter mais informações, consulte os documentos do Exchange PowerShell.

    • Se o dispositivo estiver listado, use o comando 'Get-CASmailbox -identity:'upn' | fl' cmdlet para obter informações detalhadas sobre seu estado de acesso e fornecer essas informações ao Suporte da Microsoft. Para obter mais informações, consulte os documentos do Exchange PowerShell.

Erros de entrada com Acesso Condicional baseado em aplicativo

As políticas de proteção de aplicativo do Intune ajudam você a proteger os dados da empresa no nível do aplicativo, mesmo em dispositivos que você não gerencia no Intune. Se os usuários não puderem entrar em aplicativos protegidos, talvez haja um problema com suas políticas de Acesso Condicional baseadas em aplicativo. Consulte Solucionando problemas de entrada com Acesso Condicional para obter diretrizes detalhadas.