Felsöka villkorlig åtkomst
I den här artikeln beskrivs vad du ska göra när användarna inte får åtkomst till resurser som skyddas med villkorlig åtkomst eller när användare kan komma åt skyddade resurser men bör blockeras.
Med Intune och villkorlig åtkomst kan du skydda åtkomsten till Microsoft 365-tjänster som Exchange Online och SharePoint Online och olika andra tjänster. Med den här funktionen kan du se till att endast enheter som har registrerats med Intune och är kompatibla med de regler för villkorsstyrd åtkomst som du anger i Intune eller Microsoft Entra ID har åtkomst till företagets resurser.
Krav för villkorsstyrd åtkomst
Följande krav måste uppfyllas för att villkorsstyrd åtkomst ska fungera:
Enheten måste vara registrerad i hantering av mobila enheter (MDM) och hanteras av Intune.
Både användaren och enheten måste vara kompatibla med de tilldelade Intune-efterlevnadsprinciperna.
Som standard måste användaren tilldelas en enhetsefterlevnadsprincip. Detta kan bero på konfigurationen av inställningen Markera enheter utan tilldelad efterlevnadsprincip, som finns under Inställningar för efterlevnadsprincip för enhetsefterlevnad>i Intune-administratörsportalen.
Exchange ActiveSync måste aktiveras på enheten om användaren använder enhetens interna e-postklient i stället för Outlook. Detta sker automatiskt för iOS/iPadOS- och Android Knox-enheter.
För lokal Exchange måste Intune Exchange Connector vara korrekt konfigurerat. Mer information finns i Felsöka Exchange Connector i Microsoft Intune.
För lokal Skype måste du konfigurera modern hybridautentisering. Se Översikt över modern hybridautentisering.
Du kan visa dessa villkor för varje enhet i Azure Portal och i enhetsinventeringsrapporten.
Enheterna ser ut att vara kompatibla men användarna blockeras ändå
Kontrollera att användaren har en Tilldelad Intune-licens för korrekt efterlevnadsutvärdering.
Android-enheter som inte är Knox-enheter beviljas inte åtkomst förrän användaren klickar på länken Kom igång Nu i karantänmeddelandet som de får. Detta gäller även om användaren redan har registrerats i Intune. Om användaren inte får e-postmeddelandet med länken på sin telefon kan de använda en dator för att komma åt sin e-post och vidarebefordra den till ett e-postkonto på sin enhet.
När en enhet först registreras eller uppdateras kan det ta lite tid innan efterlevnadsinformation och attribut registreras för en enhet. Vänta några minuter och försök igen.
För iOS/iPadOS-enheter kan en befintlig e-postprofil blockera distributionen av en Intune-administratörsskapad e-postprofil som tilldelats användaren, vilket gör enheten inkompatibel. I det här scenariot meddelar Företagsportal-appen användaren att de inte är kompatibla på grund av deras manuellt konfigurerade e-postprofil och uppmanar användaren att ta bort profilen. När användaren tar bort den befintliga e-postprofilen kan Intune-e-postprofilen distribueras. Om du vill förhindra det här problemet instruerar du användarna att ta bort befintliga e-postprofiler på sin enhet innan de registrerar sig.
En enhet kan fastna i ett kontrollefterlevnadstillstånd, vilket hindrar användaren från att starta en ny incheckning. Om du har en enhet i det här tillståndet:
- Kontrollera att enheten använder den senaste versionen av Företagsportal-appen.
- Starta om enheten.
- Se om problemet kvarstår i olika nätverk (till exempel mobilnät, Wi-Fi osv.).
Om problemet kvarstår kontaktar du Microsoft Support enligt beskrivningen i Hämta support i Microsoft Intune.
Vissa Android-enheter kan verka vara krypterade, men Företagsportal-appen känner igen dessa enheter som inte krypterade och markerar dem som inkompatibla. I det här scenariot visas ett meddelande i Företagsportal-appen där användaren uppmanas att ange ett startlösenord för enheten. När du har tryckt på meddelandet och bekräftat den befintliga PIN-koden eller lösenordet väljer du alternativet Kräv PIN-kod för att starta enheten på skärmen Säker start och trycker sedan på knappen Kontrollera efterlevnad för enheten från Företagsportal-appen. Enheten bör nu identifieras som krypterad.
Kommentar
Vissa enhetstillverkare krypterar sina enheter med hjälp av en standard-PIN-kod i stället för en PIN-kod som angetts av användaren. Intune visar kryptering som använder en standard-PIN-kod som osäker och markerar enheterna som inkompatibla tills användaren skapar en ny PIN-kod som inte är standard.
En Android-enhet som är registrerad och kompatibel kan fortfarande blockeras och få ett karantänmeddelande när du först försöker komma åt företagsresurser. Om detta inträffar kontrollerar du att den Företagsportal appen inte körs och väljer sedan länken Kom igång Now i karantän-e-postmeddelandet för att utlösa utvärderingen. Detta bör bara behöva göras när villkorsstyrd åtkomst först är aktiverad.
En Android-enhet som har registrerats kan uppmana användaren att "Inga certifikat hittades" och inte beviljas åtkomst till Microsoft 365-resurser. Användaren måste aktivera alternativet Aktivera webbläsaråtkomst på den registrerade enheten på följande sätt:
- Öppna appen Företagsportal.
- Gå till sidan Inställningar från tre punkter (...) eller maskinvarumenyn.
- Välj knappen Aktivera webbläsaråtkomst.
- Logga ut från Microsoft 365 i Webbläsaren Chrome och starta om Chrome.
Skrivbordsprogram måste använda moderna autentiseringsmetoder som förlitar sig på en autentiseringsprompt som visas antingen i en webbläsare eller i en autentiseringskoordinator. Skript som skickar lösenord direkt kan endast tillhandahålla bevis på en enhets identitet om de använder en autentiseringskoordinator.
Enheter blockeras och inget karantänmeddelande tas emot via e-post
Kontrollera att enheten finns i Intune-administratörskonsolen som en Exchange ActiveSync-enhet. Om det inte är det är det troligt att enhetsidentifieringen misslyckas, förmodligen på grund av ett Exchange Connector-problem. Mer information finns i Felsöka Intune Exchange Connector.
Innan Exchange Connector blockerar en enhet skickar den ett aktiveringsmeddelande (karantän). Om enheten är offline kanske den inte får aktiveringsmeddelandet.
Kontrollera om e-postklienten på enheten är konfigurerad för att hämta e-post med push-överföring i stället för avsökning. I så fall kan det leda till att användaren missar e-postmeddelandet. Växla till Avsökning och se om enheten tar emot e-postmeddelandet.
Enheter är inkompatibla men användarna blockeras inte
För Windows-datorer blockerar villkorsstyrd åtkomst endast den interna e-postappen, Office 2013 med modern autentisering eller Office 2016. För att blockera tidigare versioner av Outlook eller alla e-postappar på Windows-datorer krävs konfigurationer av Microsoft Entra-enhetsregistrering och Active Directory Federation Services (AD FS) (AD FS) enligt Så här: Blockera äldre autentisering till Microsoft Entra-ID med villkorsstyrd åtkomst.
Om enheten rensas selektivt eller dras tillbaka från Intune kan den fortsätta att ha åtkomst i flera timmar efter pensioneringen. Det beror på att Exchange cachelagrar åtkomsträttigheter i sex timmar. Överväg andra sätt att skydda data på tillbakadragna enheter i det här scenariot.
Surface Hub-, massregistrerade och DEM-registrerade Windows-enheter kan stödja villkorlig åtkomst när en användare som har tilldelats en licens för Intune är inloggad. Du måste dock distribuera efterlevnadsprincipen till enhetsgrupper (inte användargrupper) för korrekt utvärdering.
Kontrollera tilldelningarna för dina efterlevnadsprinciper och dina principer för villkorsstyrd åtkomst. Om en användare inte finns i den grupp som har tilldelats principerna eller finns i en grupp som är exkluderad blockeras inte användaren. Endast enheter för användare i en tilldelad grupp kontrolleras för efterlevnad.
Inkompatibel enhet blockeras inte
Om en enhet inte är kompatibel men fortsätter att ha åtkomst vidtar du följande åtgärder.
Granska dina mål- och exkluderingsgrupper. Om en användare inte finns i rätt målgrupp eller finns i undantagsgruppen blockeras de inte. Endast enheter för användare i en målgrupp kontrolleras för efterlevnad.
Kontrollera att enheten identifieras. Pekar Exchange Connector på en Exchange 2010 CAS medan användaren finns på en Exchange 2013-server? Om standardregeln för Exchange i det här fallet är Tillåt, även om användaren finns i målgruppen, kan Intune inte känna till enhetens anslutning till Exchange.
Kontrollera enhetens existens-/åtkomsttillstånd i Exchange:
Använd den här PowerShell-cmdleten för att hämta en lista över alla mobila enheter för en postlåda: "Get-MobileDeviceStatistics -mailbox mbx". Om enheten inte visas kommer den inte åt Exchange. Mer information finns i Exchange PowerShell-dokumenten.
Om enheten visas använder du "Get-CASmailbox -identity:'upn" | fl' cmdlet för att få detaljerad information om dess åtkomsttillstånd och tillhandahålla den informationen till Microsoft Support. Mer information finns i Exchange PowerShell-dokumenten.
Inloggningsfel med appbaserad villkorlig åtkomst
Intune-appskyddsprinciper hjälper dig att skydda företagsdata på appnivå, även på enheter som du inte hanterar i Intune. Om användarna inte kan logga in på skyddade program kan det uppstå ett problem med dina appbaserade principer för villkorsstyrd åtkomst. Mer information finns i Felsöka inloggningsproblem med villkorsstyrd åtkomst .