共用方式為

針對 Intune 中的應用程式保護原則部署進行疑難解答

  • 發行項

本文可協助IT系統管理員瞭解並針對在 Microsoft Intune 中套用應用程式保護原則 (APP) 時的問題進行疑難解答。 請依照適用於您情況的各節中的指示操作。 流覽指南以取得其他應用程式相關疑難解答指引,例如 針對應用程式保護原則使用者問題 進行疑難解答,以及 針對應用程式之間的數據傳輸進行疑難解答。

開始之前

開始進行疑難解答之前,請先收集一些基本資訊,以協助您進一步了解問題並縮短尋找解決方案的時間。

收集下列背景資訊:

  • 哪一個原則設定是或未套用? 是否套用任何原則?
  • 用戶體驗為何? 用戶已安裝並啟動目標應用程式嗎?
  • 問題何時開始發生? 應用程式保護是否正常運作?
  • 哪個平臺 (Android 或 iOS) 有問題?
  • 有多少使用者受到影響? 所有使用者或只有部分使用者受到影響嗎?
  • 有多少裝置受到影響? 所有裝置或只有部分裝置受到影響嗎?
  • 雖然 Intune 應用程式保護原則不需要行動裝置管理 (MDM) 服務,但使用 Intune 或第三方 MDM 解決方案會影響使用者嗎?
  • 所有受管理的應用程式或只有特定應用程式受到影響嗎? 例如,使用 Intune App SDK 所建置的企業營運 (LOB) 應用程式是否受到影響,但市集應用程式並未受到影響?
  • 在裝置上使用 Intune 以外的任何管理服務嗎?

有了上述資訊,您就可以開始進行疑難解答。

成功的應用程式保護原則部署依賴正確設定設定和其他相依性。 為了調查 Intune APP 常見問題的建議流程如下,本文會更詳細地檢閱:

  1. 確認您已符合部署應用程式保護原則的必要條件。
  2. 檢查應用程式保護原則狀態,並檢查目標
  3. 確認使用者已設為目標。
  4. 確認受控應用程式已設為目標。
  5. 確認使用者使用其目標公司帳戶登入受影響的應用程式。
  6. 收集裝置數據

步驟 1:驗證應用程式保護原則必要條件

疑難解答的第一個步驟是檢查是否符合所有必要條件。 雖然您可以使用與任何 MDM 解決方案無關的 Intune 應用程式,但必須符合下列必要條件:

  • 用戶必須已指派 Intune 授權。

  • 用戶必須屬於以應用程式保護原則為目標的安全組。 相同的應用程式保護原則必須以使用的特定應用程式為目標。

  • 針對 Android 裝置,需要 公司入口網站 應用程式才能接收應用程式保護原則。

  • 如果您使用 Word、Excel 或 PowerPoint 應用程式,則必須符合下列額外需求:

    • 用戶必須擁有連結至使用者Microsoft Entra 帳戶之 Microsoft 365 Apps 商務版 或企業版的授權。 訂用帳戶必須包含行動裝置上的 Office 應用程式,而且可以包含具有 商務用 OneDrive雲端記憶體帳戶。 Microsoft 365 授權可以透過遵循這些指示,在 Microsoft 365 系統管理中心指派。
    • 用戶必須使用細微 的 [另存新檔 ] 功能來設定受控位置。 此命令位於組織數據應用程式保護原則設定的 [儲存複本] 底下。 例如,如果受控位置是 OneDrive,則 OneDrive 應用程式應該在使用者的 Word、Excel 或 PowerPoint 應用程式中設定。
    • 如果受控位置是 OneDrive,應用程式必須以部署至使用者的應用程式保護原則為目標。

    注意

    Office 行動應用程式目前僅支援 SharePoint Online,而不是 SharePoint 內部部署。

  • 如果您使用 Intune 應用程式保護原則搭配內部部署資源 (Microsoft 商務用 Skype 和 Microsoft Exchange Server),您必須啟用混合式新式驗證以進行 商務用 Skype 和 Exchange

步驟 2:檢查應用程式保護原則狀態

檢閱下列詳細數據,以瞭解應用程式保護原則的狀態:

  • 是否有使用者從受影響的裝置簽入?
  • 問題案例的應用程式是否透過目標原則進行管理?
  • 確認原則傳遞的時間是否在預期的行為內。 如需詳細資訊,請參閱 瞭解應用程式保護原則傳遞時間

使用下列步驟來取得詳細資訊:

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式>監視器> 應用程式防護 狀態],然後選取 [指派的使用者] 圖格。
  3. 在 [ 應用程式報告] 頁面上,選取 [ 選取使用者 ] 以顯示使用者和群組的清單。
  4. 從清單中搜尋並選取其中一個受影響的使用者,然後選取 [選取 使用者]。 在 [應用程式報告] 頁面頂端,您可以看到使用者是否獲得應用程式保護的授權,並具有 Microsoft 365 的授權。 您也可以看到所有使用者裝置的應用程式狀態。
  5. 記下目標應用程式、裝置類型、原則、裝置簽入狀態,以及上次同步時間等重要資訊。

注意

只有在工作內容中使用應用程式時,才會套用 應用程式防護 原則。 例如,當使用者使用工作帳戶存取應用程式時。

如需詳細資訊,請參閱 如何在 Microsoft Intune 中驗證您的應用程式保護原則設定。

步驟 3:確認使用者已設為目標

Intune 應用程式保護原則必須以用戶為目標。 如果您未將應用程式保護原則指派給使用者或使用者群組,則不會套用原則。

若要確認原則已套用至目標使用者,請遵循下列步驟:

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式>監視器> 應用程式防護 狀態],然後選取 [用戶狀態] 圖格(根據裝置OS 平臺)。 在開啟的 [ 應用程式報告] 窗格中,選取 [ 選取使用者 ] 以搜尋使用者。
  3. 從清單中選取使用者。 您可以看到該使用者的詳細數據。 請注意,新目標使用者最多可能需要 24 小時才會顯示在報表中。

當您將原則指派給使用者群組時,請確定使用者位於使用者群組中。 若要這樣做,請遵循下列步驟:

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [ 群組 > 所有群組],然後搜尋並選取用於應用程式保護原則指派的群組。
  3. 在 [管理]段底下,選取 [成員]。
  4. 如果未列出受影響的使用者,請檢閱 使用 Microsoft Entra 群組 和群組成員資格規則來管理應用程式和資源存取。 請確定受影響的使用者包含在群組中。
  5. 請確定受影響的使用者不在原則的任何排除群組中。

重要

  • Intune 應用程式保護原則必須指派給使用者群組,而不是裝置群組。
  • 如果受影響的裝置使用 Android Enterprise,則只有個人擁有的工作配置檔支援應用程式保護原則。
  • 如果受影響的裝置使用 Apple 的自動裝置註冊 (ADE),請確定 已啟用使用者親和性 。 任何需要 ADE 下使用者驗證的應用程式都需要使用者親和性。 如需 iOS/iPadOS ADE 註冊的詳細資訊,請參閱 自動註冊 iOS/iPadOS 裝置

步驟 4:確認受控應用程式已設為目標

當您設定 Intune 應用程式保護原則時,目標應用程式必須使用 Intune App SDK。 否則,應用程式保護原則可能無法正常運作。

請確定目標應用程式列在 受 Intune 保護Microsoft應用程式中。 針對 LOB 或自訂應用程式,確認應用程式使用最新版本的 Intune App SDK

對於 iOS,這種做法很重要,因為每個版本都包含會影響這些原則套用方式及其運作方式的修正程式。 如需詳細資訊,請參閱 Intune App SDK iOS 版本。 Android 使用者應該已安裝最新版本的 公司入口網站 應用程式,因為應用程式會作為原則代理程序運作。

步驟 5:確認使用者使用其目標公司帳戶登入受影響的應用程式

有些應用程式可以在沒有使用者登入的情況下使用,但若要使用 Intune APP 成功管理應用程式,您的使用者必須使用其公司認證登入應用程式。 Intune 應用程式保護原則要求使用者身分識別在應用程式與 Intune App SDK 之間是一致的。 請確定受影響的使用者已使用其公司帳戶成功登入應用程式。

在大部分情況下,使用者會使用其用戶主體名稱登入其帳戶(UPN)。 不過,在某些環境(例如內部部署案例)中,使用者可能會使用某種其他形式的登入認證。 在這些情況下,您可能會發現應用程式中所使用的UPN不符合 entra識別元 Microsoft中的UPN物件。 發生此問題時,不會如預期套用應用程式保護原則。

Microsoft建議的最佳做法是將 UPN 與主要 SMTP 位址相符。 這種做法可讓使用者以一致的身分識別登入受控應用程式、Intune 應用程式保護和其他Microsoft Entra 資源。 如需詳細資訊,請參閱 Microsoft Entra UserPrincipalName 擴展

保證此一致性的唯一方法是透過新式驗證。 在某些情況下,應用程式可能會在內部部署設定中運作,而不需要新式驗證。 不過,結果不一致或保證。

如果您的環境需要替代登入方法,請參閱 設定替代登入標識碼,特別是 使用替代標識碼的混合式新式驗證。

步驟 6:使用 Microsoft Edge 收集裝置數據

請與使用者合作,收集他們嘗試執行的詳細數據,以及他們採取的步驟。 要求使用者收集行為的螢幕快照或視訊錄製。 這有助於釐清正在執行的明確裝置動作。 然後,透過裝置上的 Microsoft Edge 收集受控應用程式記錄。

在iOS或Android裝置上安裝Microsoft Edge的使用者,可以檢視所有Microsoft已發佈應用程式的管理狀態。 他們可以使用下列步驟來傳送記錄檔,以協助進行疑難解答。

  1. 在裝置上開啟適用於 iOS 和 Android 的 Microsoft Edge。
  2. 在網址列中,輸入 about:intunehelp
  3. Microsoft iOS 和 Android 版 Edge 會在疑難解答模式中啟動。

在此畫面中,您會看到兩個選項和裝置的相關數據。

顯示共用裝置信息的螢幕快照。

選取 [ 檢視 Intune 應用程式狀態 ] 以查看應用程式清單。 如果您選取特定應用程式,則會顯示與裝置上目前作用中該應用程式相關聯的應用程式設定。

顯示應用程式相關信息的螢幕快照。

如果特定應用程式顯示的資訊僅限於應用程式版本,並搭配原則簽入時間戳,表示裝置上目前不會套用任何原則。

[ 開始使用 ] 選項可讓您收集已啟用應用程式之應用程式的相關記錄。 如果您使用應用程式保護原則的Microsoft開啟支援票證,您應該盡可能從受影響的裝置提供這些記錄。 如需 Android 特定的指示,請參閱 上傳和電子郵件記錄

顯示共享記錄選項的螢幕快照。

如需儲存在 Intune 診斷 (APP) 記錄中的設定清單,請參閱 檢閱用戶端應用程式保護記錄

其他疑難解答案例

針對APP問題進行疑難解答時,請檢閱下列常見案例。 您也可以檢閱常見數據傳輸問題中的案例。

案例:原則變更未套用

Intune App SDK 會定期檢查原則變更。 不過,此程式可能會因為下列任何原因而延遲:

  • 應用程式尚未簽入服務。
  • 公司入口網站 應用程式已從裝置中移除。

Intune 應用程式保護原則依賴使用者身分識別。 因此,需要使用公司或學校帳戶對應用程式的有效登入,以及與服務的一致連線。 如果使用者尚未登入應用程式,或已從裝置移除 公司入口網站 應用程式,則不會套用原則更新。

重要

Intune App SDK 每隔 30 分鐘會檢查一次選擇性抹除。 不過,已登入之使用者的現有原則變更可能不會顯示最多8小時。 若要加速此程式,請讓使用者註銷應用程式,然後重新登入或重新啟動其裝置。

若要檢查應用程式保護狀態,請遵循下列步驟:

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式>監視器> 應用程式防護 狀態],然後選取 [指派的使用者] 圖格。
  3. 在 [應用程式報告] 頁面上,選取 [ 選取使用者 ] 以開啟使用者和群組的清單。
  4. 從清單中搜尋並選取其中一個受影響的使用者,然後選取 [選取 使用者]。
  5. 檢閱目前套用的原則,包括狀態和上次同步處理時間。
  6. 如果狀態為 [未簽入],或顯示指出最近沒有同步處理,請檢查使用者是否有一致的網路連線。 針對 Android 使用者,請確定他們已安裝最新版本的 公司入口網站 應用程式。

Intune 應用程式保護原則包含多重身分識別支援。 Intune 只能將應用程式保護原則套用至登入應用程式的工作或學校帳戶。 不過,每個裝置只支援一個公司或學校帳戶。

案例:Intune 註冊的 iOS 裝置需要額外的設定

當您建立應用程式保護原則時,您可以將它設為所有應用程式類型或下列應用程式類型:

  • 非受控裝置上的應用程式
  • 受 Intune 管理的裝置上的應用程式
  • Android 個人擁有工作配置檔中的應用程式

注意

若要指定應用程式類型,請將 [目標] 設定為 [],然後從 [應用程式類型] 清單中選取 。

如果您只以 iOS Intune 管理的裝置為目標,則必須將下列額外的 應用程式組態設定 與您的應用程式保護原則一起設為目標:

  • IntuneMAMUPNIntuneMAMOID 必須針對所有 MDM (Intune 或第三方 EMM) 受控應用程式進行設定。 如需詳細資訊,請參閱 設定Microsoft Intune 或第三方 EMM 的使用者 UPN 設定。
  • 所有第三方和LOB MDM受控應用程式都必須設定IntuneMAMDeviceID
  • IntuneMAMDeviceID 必須設定為裝置標識碼令牌。 例如,key=IntuneMAMDeviceID,value={{deviceID}}。 如需詳細資訊,請參閱 新增受控 iOS 裝置的應用程式設定原則
  • 如果只 設定 IntuneMAMDeviceID 值,Intune APP 會將裝置視為 Unmanaged。

下一步