通过

条件访问疑难解答

  • 项目

本文介绍当用户无法访问受条件访问保护的资源时,或者用户何时可以访问受保护的资源,但应被阻止时该怎么办。

借助 Intune 和条件访问,可以保护对 Microsoft 365 服务(如 Exchange Online 和 SharePoint Online)和其他各种服务的访问。 此功能允许确保只有已注册 Intune 且符合 Intune 中设置的条件访问规则的设备或Microsoft Entra ID 有权访问公司资源。

条件访问的要求

必须满足以下要求才能使条件访问正常工作:

  • 设备必须在移动设备管理(MDM)中注册,并由 Intune 管理。

  • 用户和设备都必须符合分配的 Intune 符合性策略。

  • 默认情况下,必须为用户分配设备符合性策略。 这可能取决于设置“标记设备”的配置,其中未分配符合性策略,该策略在 Intune 管理门户中的设备符合性>策略设置下。

  • 如果用户使用的是设备的本机邮件客户端而不是 Outlook,则必须在设备上激活 Exchange ActiveSync。 对于 iOS/iPadOS 和 Android Knox 设备,此操作会自动发生。

  • 对于本地 Exchange,必须正确配置 Intune Exchange 连接器。 有关详细信息,请参阅 Microsoft Intune 中的 Exchange 连接器疑难解答。

  • 对于本地 Skype,必须配置混合新式身份验证。 请参阅 混合新式身份验证概述

可以在Azure 门户和设备清单报告中查看每个设备的这些条件。

设备看似符合但用户仍被阻止

  • 确保为用户分配了 Intune 许可证,以便进行适当的符合性评估。

  • 除非用户单击 他们收到的隔离电子邮件中的“立即开始” 链接,否则不会向非 Knox Android 设备授予访问权限。 即使用户已在 Intune 中注册,也是如此。 如果用户在手机上未收到带有链接的电子邮件,他们可以使用电脑访问其电子邮件并将其转发到其设备上的电子邮件帐户。

  • 首次注册或更新设备时,可能需要一些时间才能为设备注册符合性信息和属性。 请等候几分钟,然后重试。

  • 对于 iOS/iPadOS 设备,现有电子邮件配置文件可能会阻止部署分配给该用户的 Intune 管理员创建的电子邮件配置文件,使设备不符合要求。 在此方案中,公司门户应用将通知用户由于手动配置的电子邮件配置文件而不符合要求,并提示用户删除该配置文件。 用户删除现有电子邮件配置文件后,Intune 电子邮件配置文件可以成功部署。 若要防止此问题,请在注册之前指示用户删除其设备上的任何现有电子邮件配置文件。

  • 设备可能停滞在检查符合性状态,从而阻止用户启动另一次签入。 如果设备处于此状态:

    • 确保设备使用的是最新版本的 公司门户 应用。
    • 重启设备。
    • 查看问题是否保留在不同的网络上(例如手机网络、Wi-Fi 等)。

    如果问题仍然存在,请与Microsoft 支持部门联系,如 Microsoft Intune 中的“获取支持”中所述

  • 某些 Android 设备可能似乎已加密,但公司门户应用将这些设备识别为未加密,并将其标记为不符合要求。 在此方案中,用户将在公司门户应用中看到通知,要求他们为设备设置启动密码。 点击通知并确认现有 PIN 或密码后,在“安全启动”屏幕上选择“需要 PIN 启动设备”选项,然后点击公司门户应用中设备的“检查符合性”按钮。 现在应将设备检测为已加密。

    注意

    某些设备制造商使用默认 PIN 而不是用户设置的 PIN 来加密其设备。 Intune 查看使用默认 PIN 作为不安全状态的加密,并将这些设备标记为不符合要求,直到用户创建新的非默认 PIN。

  • 首次尝试访问公司资源时,已注册且合规的 Android 设备仍可能被阻止并收到隔离通知。 如果发生这种情况,请确保公司门户应用未运行,然后选择隔离电子邮件中的“立即开始”链接以触发评估。 仅当首次启用条件访问时,才应该执行此操作。

  • 已注册的 Android 设备可能会提示用户“找不到证书”,并且未授予对 365 个资源Microsoft的访问权限。 用户必须在已注册的设备上启用 “启用浏览器访问 ”选项,如下所示:

    1. 打开公司门户应用。
    2. 从三点(...)或硬件菜单按钮转到“设置”页。
    3. 选择“启用浏览器访问”按钮。
    4. 在 Chrome 浏览器中,注销 Microsoft 365 并重启 Chrome。

  • 桌面应用程序必须使用依赖于 Web 浏览器或身份验证代理中显示的身份验证提示的新式身份验证方法。 仅当密码使用身份验证代理时,直接发送密码的脚本才能提供设备的标识证明。

设备受阻止且未收到隔离电子邮件

  • 验证设备是否作为 Exchange ActiveSync 设备存在于 Intune 管理控制台中。 如果不是,则可能是因为 Exchange 连接器问题导致设备发现失败。 有关详细信息,请参阅 Intune Exchange 连接器疑难解答。

  • 在 Exchange 连接器阻止设备之前,它会发送激活(隔离)电子邮件。 如果设备处于脱机状态,它可能不会收到激活电子邮件。

  • 检查设备上的电子邮件客户端是否已配置为使用 推送 而不是 轮询检索电子邮件。 如果是这样,这可能会导致用户错过电子邮件。 切换到“轮询,查看设备是否收到电子邮件。

设备不符合,但用户未受阻止

  • 对于 Windows 电脑,条件访问仅阻止本机电子邮件应用、使用新式身份验证的 Office 2013 或 Office 2016。 阻止早期版本的 Outlook 或 Windows 电脑上的所有邮件应用需要Microsoft Entra 设备注册和Active Directory 联合身份验证服务(AD FS)配置,具体取决于如何:阻止旧式身份验证,以使用条件访问Microsoft Entra ID。

  • 如果设备有选择地擦除或从 Intune 停用,则它可能会在停用后继续访问数小时。 这是因为 Exchange 缓存访问权限 6 小时。 在此方案中,请考虑保护已停用设备上的数据的其他方法。

  • 当为 Intune 分配许可证的用户登录时,Surface Hub、批量注册和 DEM 注册的 Windows 设备可以支持条件访问。 但是,必须将符合性策略部署到设备组(而不是用户组),才能进行正确的评估。

  • 检查符合性策略和条件访问策略的分配。 如果用户不在分配策略的组中,或者不在已排除的组中,则不会阻止该用户。 仅检查已分配组中用户的设备是否符合性。

未阻止不符合设备

如果设备不符合但继续具有访问权限,请执行下列操作。

  • 查看目标组和排除组。 如果用户不在正确的目标组中或位于排除组中,则不会阻止用户。 仅检查目标组中用户的设备是否符合性。

  • 确保发现设备。 用户位于 Exchange 2013 服务器上的 Exchange 连接器是否指向 Exchange 2010 CAS? 在这种情况下,如果默认 Exchange 规则为“允许”,即使用户位于目标组中,Intune 也不知道设备与 Exchange 的连接。

  • 检查 Exchange 中的设备是否存在/访问状态:

    • 使用此 PowerShell cmdlet 获取邮箱的所有移动设备的列表:“Get-MobileDeviceStatistics -mailbox mbx”。 如果未列出设备,则无法访问 Exchange。 有关详细信息,请参阅 Exchange PowerShell 文档

    • 如果列出设备,请使用“Get-CASmailbox -identity:'upn” |fl' cmdlet 以获取有关其访问状态的详细信息,并向Microsoft 支持部门提供该信息。 有关详细信息,请参阅 Exchange PowerShell 文档

基于应用的条件访问的登录错误

Intune 应用保护策略可帮助你在应用级别保护公司数据,即使在 Intune 中不管理的设备上也是如此。 如果用户无法登录到受保护的应用程序,则基于应用的条件访问策略可能存在问题。 有关详细指南,请参阅 排查条件访问 的登录问题。