Поделиться через

Устранение неполадок условного доступа

  • Статья

В этой статье описывается, что делать, если пользователи не смогут получить доступ к ресурсам, защищенным условным доступом, или когда пользователи могут получить доступ к защищенным ресурсам, но должны быть заблокированы.

С помощью Intune и условного доступа вы можете защитить доступ к службам Microsoft 365, таким как Exchange Online и SharePoint Online, и другим службам. Эта возможность позволяет убедиться, что только устройства, зарегистрированные в Intune и соответствующие правилам условного доступа, заданным в Intune или Идентификаторе Microsoft Entra, имеют доступ к ресурсам организации.

Требования к условному доступу

Для работы условного доступа необходимо выполнить следующие требования:

  • Устройство должно быть зарегистрировано в службе управления мобильными устройствами (MDM) и управляться Intune.

  • Пользователь и устройство должны соответствовать назначенным политикам соответствия Intune.

  • По умолчанию пользователю необходимо назначить политику соответствия устройств. Это может зависеть от конфигурации параметров устройств Mark без политики соответствия требованиям, назначенной в соответствии с параметрами политики соответствия>устройств на портале администрирования Intune.

  • Exchange ActiveSync необходимо активировать на устройстве, если пользователь использует собственный почтовый клиент устройства, а не Outlook. Это происходит автоматически для устройств iOS/iPadOS и Android Knox.

  • Для локальной службы Exchange необходимо правильно настроить соединитель Exchange Intune. Дополнительные сведения см. в разделе "Устранение неполадок соединителя Exchange" в Microsoft Intune.

  • Для локальной службы Skype необходимо настроить гибридную современную проверку подлинности. Обзор гибридной современной проверки подлинности.

Эти условия можно просмотреть для каждого устройства в портал Azure и в отчете инвентаризации устройств.

Устройства отображаются как соответствующие, но пользователи по-прежнему блокируются

  • Убедитесь, что у пользователя есть лицензия Intune, назначенная для правильной оценки соответствия требованиям.

  • Устройства Android, отличные от Knox, не будут предоставляться доступ, пока пользователь не нажимает ссылку "Начало работы сейчас " в сообщении карантина, который они получают. Это применимо, даже если пользователь уже зарегистрирован в Intune. Если пользователь не получает сообщение электронной почты со ссылкой на телефоне, он может использовать компьютер для доступа к электронной почте и переадресации его в учетную запись электронной почты на своем устройстве.

  • При первом регистрации или обновлении устройства может потребоваться некоторое время для регистрации сведений о соответствии и атрибутов для устройства. Подождите несколько минут и повторите попытку.

  • Для устройств iOS/iPadOS существующий профиль электронной почты может блокировать развертывание созданного администратора Intune профиля электронной почты, назначенного пользователю, что делает устройство несоответствующим. В этом сценарии приложение Корпоративный портал уведомит пользователя о том, что они не соответствуют требованиям из-за своего профиля электронной почты вручную, и он предложит пользователю удалить этот профиль. После удаления существующего профиля электронной почты профиль электронной почты Intune может успешно развернуться. Чтобы предотвратить эту проблему, перед регистрацией укажите пользователям удалить все существующие профили электронной почты на своем устройстве.

  • Устройство может застрять в состоянии проверки соответствия требованиям, не позволяя пользователю запускать еще одну проверку. Если у вас есть устройство в этом состоянии:

    • Убедитесь, что устройство использует последнюю версию приложения Корпоративный портал.
    • Перезапустите устройство.
    • Узнайте, сохраняется ли проблема в разных сетях (например, сотовой связи, Wi-Fi и т. д.).

    Если проблема останется, обратитесь в служба поддержки Майкрософт, как описано в статье "Получение поддержки в Microsoft Intune".

  • Некоторые устройства Android могут быть зашифрованы, однако приложение Корпоративный портал распознает эти устройства как не зашифрованные и помечает их как несоответствующие. В этом сценарии пользователь увидит уведомление в приложении Корпоративный портал с просьбой задать секретный код запуска для устройства. После касания уведомления и подтверждения существующего ПИН-кода или пароля выберите параметр "Требовать ПИН-код для запуска устройства" на экране безопасного запуска, а затем нажмите кнопку "Проверить соответствие" для устройства из приложения Корпоративный портал. Теперь устройство должно быть обнаружено как зашифрованное.

    Примечание.

    Некоторые производители устройств шифруют свои устройства с помощью ПИН-кода по умолчанию вместо ПИН-кода, заданного пользователем. Шифрование Intune использует ПИН-код по умолчанию как небезопасный и помечает эти устройства как несоответствующие, пока пользователь не создаст новый ПИН-код, отличный от по умолчанию.

  • Устройство Android, зарегистрированное и соответствующее требованиям, по-прежнему может быть заблокировано и получать уведомление о карантине при первой попытке доступа к корпоративным ресурсам. Если это происходит, убедитесь, что приложение Корпоративный портал не запущено, а затем щелкните ссылку "Начать работу" в электронной почте карантина, чтобы активировать оценку. Это необходимо сделать только при первом включении условного доступа.

  • Зарегистрированное устройство Android может запрашивать пользователя с сообщением "Без сертификатов" и не предоставлять доступ к ресурсам Microsoft 365. Пользователь должен включить параметр Enable Browser Access на зарегистрированном устройстве следующим образом:

    1. Откройте приложение Корпоративный портал.
    2. Перейдите на страницу "Параметры" из трех точек (...) или кнопки меню оборудования.
    3. Нажмите кнопку "Включить доступ к браузеру".
    4. В браузере Chrome выйдите из Microsoft 365 и перезапустите Chrome.

  • Классические приложения должны использовать современные методы проверки подлинности, использующие запрос проверки подлинности, отображаемый в веб-браузере или брокере проверки подлинности. Скрипты, которые отправляют пароли напрямую , могут предоставить подтверждение удостоверения устройства только в том случае, если они используют брокер проверки подлинности.

Устройства заблокированы, и сообщение электронной почты о карантине отсутствует

  • Убедитесь, что устройство присутствует в консоли администрирования Intune в качестве устройства Exchange ActiveSync. Если это не так, скорее всего, обнаружение устройств завершается ошибкой, вероятно, из-за проблемы соединителя Exchange. Дополнительные сведения см. в разделе "Устранение неполадок соединителя Exchange Intune".

  • Прежде чем соединитель Exchange блокирует устройство, оно отправляет сообщение электронной почты активации (карантина). Если устройство находится в автономном режиме, оно может не получать сообщение электронной почты активации.

  • Проверьте, настроен ли клиент электронной почты на устройстве для получения электронной почты с помощью push-отправки вместо опроса. Если это так, это может привести к тому, что пользователь пропустит сообщение электронной почты. Перейдите на опрос и просмотрите, получает ли устройство сообщение электронной почты.

Устройства не соответствуют требованиям, но пользователи не блокируются

  • Для компьютеров с Windows условный доступ блокирует только собственное почтовое приложение, Office 2013 с современной проверкой подлинности или Office 2016. Для блокировки более ранних версий Outlook или всех почтовых приложений на компьютерах с Windows требуются конфигурации регистрации устройств Microsoft Entra и службы федерации Active Directory (AD FS) (AD FS), как показано, как заблокировать устаревшую проверку подлинности в идентификаторе Microsoft Entra с помощью условного доступа.

  • Если устройство выборочно очищается или отменяется из Intune, оно может продолжать иметь доступ через несколько часов после выхода на пенсию. Это связано с тем, что Exchange кэширует права доступа в течение шести часов. Рассмотрим другие средства защиты данных на устаревших устройствах в этом сценарии.

  • Устройства Surface Hub, bulk-Enrolled и DEM, зарегистрированные в Windows, могут поддерживать условный доступ при входе пользователя, которому назначена лицензия для Intune. Однако для правильной оценки необходимо развернуть политику соответствия группам устройств (а не группам пользователей).

  • Проверьте назначения для политик соответствия требованиям и политик условного доступа. Если пользователь не входит в группу, назначаемую политиками, или находится в группе, которая исключена, пользователь не блокируется. Проверяются только устройства для пользователей в назначенной группе.

Несовместимое устройство не заблокировано

Если устройство не соответствует требованиям, но продолжает иметь доступ, выполните следующие действия.

  • Просмотрите группы целевых и исключений. Если пользователь не находится в правильной целевой группе или находится в группе исключений, он не будет заблокирован. Для соответствия требованиям проверяются только устройства пользователей в целевой группе.

  • Убедитесь, что устройство обнаруживается. Указывает ли соединитель Exchange на CAS Exchange 2010, пока пользователь находится на сервере Exchange 2013? В этом случае, если правило Exchange по умолчанию — Allow, даже если пользователь находится в целевой группе, Intune не может знать о подключении устройства к Exchange.

  • Проверьте состояние существования устройства и доступа в Exchange:

    • Используйте этот командлет PowerShell, чтобы получить список всех мобильных устройств для почтового ящика: Get-MobileDeviceStatistics -mailbox mbx. Если устройство не указано, он не обращается к Exchange. Дополнительные сведения см. в документации по Exchange PowerShell.

    • Если устройство указано, используйте get-CASmailbox -identity:'upn' | Командлет fl', чтобы получить подробные сведения о состоянии доступа и предоставить эти сведения для служба поддержки Майкрософт. Дополнительные сведения см. в документации по Exchange PowerShell.

Ошибки входа с условным доступом на основе приложений

Политики защиты приложений Intune помогают защитить корпоративные данные на уровне приложения, даже на устройствах, которые не управляются в Intune. Если пользователи не могут войти в защищенные приложения, может возникнуть проблема с политиками условного доступа на основе приложений. Подробные инструкции см. в статье об устранении неполадок при входе в систему с условным доступом .