通过

在 Intune 中排查应用保护策略部署问题

  • 项目

本文可帮助 IT 管理员了解和排查在 Microsoft Intune 中应用应用应用保护策略(APP)时出现的问题。 按照适用于你的情况的部分中的说明进行操作。 浏览指南,了解其他与应用相关的故障排除指南,例如排查应用保护策略用户问题和排查应用之间的数据传输问题。

开始之前

在开始故障排除之前,请收集一些基本信息,以帮助你更好地了解问题并缩短查找解决方法的时间。

收集以下背景信息:

  • 哪个策略设置是还是未应用? 是否应用了任何策略?
  • 用户体验是什么? 用户是否已安装和启动目标应用?
  • 何时开始出现问题? 应用保护是否正常工作?
  • 哪个平台(Android 或 iOS)有问题?
  • 有多少用户受到影响? 所有用户还是仅影响某些用户?
  • 有多少设备受影响? 所有设备还是仅影响某些设备?
  • 尽管 Intune 应用保护策略不需要移动设备管理(MDM)服务,但使用 Intune 或第三方 MDM 解决方案的用户是否受到影响?
  • 所有托管应用还是仅影响特定应用? 例如,使用 Intune App SDK 生成的业务线 (LOB) 应用是否受到影响,但应用商店应用没有?
  • 设备上是否使用了 Intune 以外的任何管理服务?

通过上述信息,可以开始进行故障排除。

成功的应用保护策略部署依赖于正确配置设置和其他依赖项。 建议的流程来调查 Intune APP 的常见问题,本文将更详细地查看:

  1. 验证是否已满足部署应用保护策略的先决条件。
  2. 检查应用保护策略状态并检查目标
  3. 验证用户是否是目标用户。
  4. 验证托管应用是否是目标应用。
  5. 验证用户使用其目标公司帐户登录到受影响的应用程序。
  6. 收集设备数据

步骤 1:验证应用保护策略先决条件

故障排除的第一步是检查是否满足所有先决条件。 尽管可以使用独立于任何 MDM 解决方案的 Intune APP,但必须满足以下先决条件:

  • 用户必须分配 Intune 许可证。

  • 用户必须属于应用保护策略所面向的安全组。 相同的应用保护策略必须面向使用的特定应用。

  • 对于 Android 设备,需要公司门户应用才能接收应用保护策略。

  • 如果使用 Word、Excel 或 PowerPoint 应用,必须满足以下附加要求:

    • 用户必须具有与用户Microsoft Entra 帐户关联的企业或企业Microsoft 365 应用版许可证。 订阅必须包括移动设备上的Office 应用,并且可以包含具有 OneDrive for Business云存储帐户。 按照以下说明,可以在Microsoft 365 管理中心分配Microsoft 365 个许可证。
    • 用户必须具有通过使用精细 的“另存为 ”功能配置的托管位置。 此命令位于组织数据应用程序保护策略设置的“保存副本”下。 例如,如果托管位置为 OneDrive,则应在用户的 Word、Excel 或 PowerPoint 应用中配置 OneDrive 应用。
    • 如果托管位置为 OneDrive,则应用必须以部署到用户的应用保护策略为目标。

    注意

    Office 移动应用当前仅支持 SharePoint Online,而不支持本地 SharePoint。

  • 如果将 Intune 应用保护策略与本地资源一起使用(Microsoft Skype for Business 和 Microsoft Exchange Server),则必须为 Skype for Business 和 Exchange 启用混合新式身份验证。

步骤 2:检查应用保护策略状态

查看以下详细信息以了解应用保护策略的状态:

  • 是否有用户从受影响的设备签入?
  • 是否通过目标策略管理问题方案的应用程序?
  • 验证策略传递的时间是否在预期行为中。 有关详细信息,请参阅 了解应用保护策略传递时间

使用以下步骤获取详细信息:

  1. 登录 Microsoft Intune 管理中心
  2. 选择“应用>监视器>应用保护状态,然后选择”分配的用户“磁贴。
  3. “应用报告 ”页上,选择“ 选择用户 ”以显示用户和组的列表。
  4. 从列表中选择其中一个受影响的用户,然后选择“ 选择用户”。 在“应用报告”页面顶部,可以看到用户是否获得应用保护许可,并具有Microsoft 365 许可证。 还可以查看所有用户设备的应用状态。
  5. 记下目标应用、设备类型、策略、设备签入状态和上次同步时间等重要信息。

注意

仅当工作上下文中使用应用时,才会应用应用保护策略。 例如,当用户使用工作帐户访问应用时。

有关详细信息,请参阅 如何在 Microsoft Intune 中验证应用保护策略设置。

步骤 3:验证用户是否为目标

Intune 应用保护策略必须面向用户。 如果未将应用保护策略分配给用户或用户组,则不会应用该策略。

若要验证策略是否已应用于目标用户,请执行以下步骤:

  1. 登录 Microsoft Intune 管理中心
  2. 选择应用>监视器>应用保护状态,然后选择“用户状态磁贴(基于设备 OS 平台)。 在 打开的“应用报告 ”窗格中,选择“ 选择要 搜索用户的用户”。
  3. 从列表中选择用户。 可以查看该用户的详细信息。 请注意,新目标用户最多可能需要 24 小时才能显示在报表中。

将策略分配给用户组时,请确保该用户位于用户组中。 为此,请按照下列步骤进行操作:

  1. 登录 Microsoft Intune 管理中心
  2. 选择“ 组 > 所有组”,然后搜索并选择用于应用保护策略分配的组。
  3. “管理 ”部分下,选择“ 成员”。
  4. 如果未列出受影响的用户,请使用 Microsoft Entra 组和组成员身份规则查看管理应用和资源访问权限。 确保受影响的用户包含在组中。
  5. 确保受影响的用户不在策略的任何排除组中。

重要

  • 必须将 Intune 应用保护策略分配给用户组,而不是设备组。
  • 如果受影响的设备使用 Android Enterprise,则只有个人拥有的工作配置文件才支持应用保护策略。
  • 如果受影响的设备使用 Apple 的自动设备注册(ADE),请确保 已启用用户相关性 。 要求在 ADE 下进行用户身份验证的任何应用都需要用户相关性。 有关 iOS/iPadOS ADE 注册的详细信息,请参阅 自动注册 iOS/iPadOS 设备

步骤 4:验证托管应用是否针对

配置 Intune 应用保护策略时,目标应用必须使用 Intune App SDK。 否则,应用保护策略可能无法正常工作。

确保目标应用列在 Microsoft Intune 保护的应用 对于 LOB 或自定义应用,请验证应用是否使用最新版本的 Intune App SDK

对于 iOS,这种做法非常重要,因为每个版本都包含影响这些策略的应用方式及其功能方式的修补程序。 有关详细信息,请参阅 Intune App SDK iOS 版本。 Android 用户应安装最新版本的 公司门户 应用,因为该应用充当策略代理。

步骤 5:验证用户使用其目标公司帐户登录到受影响的应用程序

某些应用无需用户登录即可使用,但若要使用 Intune APP 成功管理应用,用户必须使用其公司凭据登录到应用。 Intune 应用保护策略要求用户标识在应用和 Intune App SDK 之间保持一致。 确保受影响的用户已使用其公司帐户成功登录到应用。

在大多数情况下,用户使用其用户主体名称(UPN)登录到其帐户。 但是,在某些环境(如本地方案)中,用户可能会使用某种其他形式的登录凭据。 在这些情况下,你可能会发现应用中使用的 UPN 与 Microsoft Entra ID 中的 UPN 对象不匹配。 出现此问题时,应用保护策略不会按预期应用。

Microsoft建议的最佳做法是将 UPN 与主 SMTP 地址匹配。 这种做法使用户可以通过具有一致的标识登录到托管应用、Intune 应用保护和其他Microsoft Entra 资源。 有关详细信息,请参阅 Microsoft Entra UserPrincipalName 填充

保证此一致性的唯一方法是通过新式身份验证。 在某些情况下,应用可以在没有新式身份验证的情况下在本地配置中工作。 但是,结果不一致或保证。

如果环境需要备用登录方法,请参阅配置备用登录 ID,特别是使用备用 ID 进行混合新式身份验证。

步骤 6:使用 Microsoft Edge 收集设备数据

与用户协作,收集有关他们正在尝试执行的详细信息以及他们正在执行的步骤。 要求用户收集行为的屏幕截图或视频录制。 这有助于阐明正在执行的显式设备操作。 然后,通过设备上的 Microsoft Edge 收集托管应用日志。

在其 iOS 或 Android 设备上安装了 Microsoft Edge 的用户可以查看所有Microsoft已发布应用的管理状态。 他们可以使用以下步骤发送日志以帮助进行故障排除。

  1. 在设备上打开适用于 iOS 和 Android 的 Microsoft Edge。
  2. 在地址栏中,键入 about:intunehelp
  3. Microsoft适用于 iOS 和 Android 的 Edge 在故障排除模式下启动。

在此屏幕中,你将看到两个选项和有关设备的数据。

显示共享设备信息的屏幕截图。

选择“ 查看 Intune 应用状态 ”以查看应用列表。 如果选择特定应用,它将显示与设备上当前处于活动状态的应用关联的 APP 设置。

显示有关应用的信息的屏幕截图。

如果为特定应用显示的信息仅限于应用版本,并使用策略签入时间戳捆绑,则表示当前不会将策略应用于设备上的该应用。

使用 “入门 ”选项可以收集有关已启用 APP 的应用程序的日志。 如果为应用保护策略打开具有Microsoft的支持票证,应始终从受影响的设备提供这些日志(如果可能)。 有关特定于 Android 的说明,请参阅 上传和电子邮件日志

显示用于共享日志的选项的屏幕截图。

有关 Intune 诊断(APP)日志中存储的设置的列表,请参阅 “查看客户端应用保护日志”。

其他故障排除方案

排查 APP 问题时,请查看以下常见方案。 还可以查看常见数据传输问题中的方案。

方案:策略更改未应用

Intune App SDK 定期检查策略更改。 但是,出于以下任何原因,此过程可能会延迟:

  • 应用尚未与服务签入。
  • 公司门户应用已从设备中删除。

Intune 应用保护策略依赖于用户标识。 因此,需要使用工作或学校帐户登录到应用的有效登录名,并且需要与服务建立一致的连接。 如果用户尚未登录到应用,或者已从设备中删除公司门户应用,则不会应用策略更新。

重要

Intune App SDK 每 30 分钟检查一次选择性擦除。 但是,对于已登录的用户,对现有策略的更改可能不会显示长达 8 小时。 若要加快此过程,让用户注销应用,然后重新登录或重启其设备。

若要检查应用保护状态,请执行以下步骤:

  1. 登录 Microsoft Intune 管理中心
  2. 选择“应用>监视器>应用保护状态,然后选择”分配的用户“磁贴。
  3. 在“应用报告”页上,选择“ 选择用户 ”以打开用户和组的列表。
  4. 从列表中选择其中一个受影响的用户,然后选择“ 选择用户”。
  5. 查看当前应用的策略,包括状态和上次同步时间。
  6. 如果状态未 签入,或者显示指示最近没有同步,请检查用户是否具有一致的网络连接。 对于 Android 用户,请确保已安装最新版本的 公司门户 应用。

Intune 应用保护策略包括多标识支持。 Intune 只能将应用保护策略应用于登录到应用的工作或学校帐户。 但是,每个设备仅支持一个工作或学校帐户。

方案:已注册 Intune 的 iOS 设备需要其他配置

创建应用保护策略时,可以将它定向到所有应用类型或以下应用类型:

  • 非托管设备上的应用
  • Intune 托管设备上的应用
  • Android 个人拥有的工作配置文件中的应用

注意

若要指定应用类型,请将“目标”设置为“否”,然后从应用类型”列表中选择。

如果仅面向 iOS Intune 托管的设备,则需要将以下附加 的应用配置设置 与应用保护策略一起设定目标:

  • 必须为所有 MDM(Intune 或第三方 EMM)托管的应用程序配置 IntuneMAMUPNIntuneMAMOID 。 有关详细信息,请参阅 为 Microsoft Intune 或第三方 EMM 配置用户 UPN 设置。
  • 必须为所有第三方和 LOB MDM 托管的应用程序配置 IntuneMAMDeviceID
  • 必须将 IntuneMAMDeviceID 配置为设备 ID 令牌。 例如,key=IntuneMAMDeviceID,value={{deviceID}}。 有关详细信息,请参阅 为托管 iOS 设备添加应用配置策略。
  • 如果仅 配置 IntuneMAMDeviceID 值,Intune APP 会将设备视为非托管设备。

后续步骤