針對條件式存取進行疑難排解
本文說明當使用者無法存取受條件式存取保護的資源時,或使用者何時可以存取受保護的資源,但應該遭到封鎖時,該怎麼辦。
透過 Intune 和條件式存取,您可以保護 Microsoft對 Exchange Online 和 SharePoint Online 等 365 服務的存取,以及其他各種服務。 這項功能可讓您確定只有向 Intune 註冊且符合您在 Intune 中設定的條件式存取規則的裝置,或Microsoft Entra ID 可以存取公司資源。
條件式存取的需求
條件式存取必須符合下列需求才能運作:
裝置必須註冊行動裝置管理(MDM),並由Intune管理。
用戶和裝置都必須符合指派的 Intune 合規性政策。
根據預設,用戶必須指派裝置合規性政策。 這可能取決於設定 [標示未指派合規性原則的裝置] 設定,也就是 Intune 管理入口網站中的 [裝置合規性>政策設定] 底下。
如果使用者使用裝置的原生郵件用戶端,而不是 Outlook,則必須在裝置上啟用 Exchange ActiveSync。 這會自動針對 iOS/iPadOS 和 Android Knox 裝置進行。
針對內部部署 Exchange,您的 Intune Exchange Connector 必須正確設定。 如需詳細資訊,請參閱 Microsoft Intune 中的 Exchange Connector 疑難解答。
針對內部部署 Skype,您必須設定混合式新式驗證。 請參閱 混合式新式驗證概觀。
您可以在 Azure 入口網站 和裝置清查報告中檢視每個裝置的這些條件。
裝置會顯示符合規範,但使用者仍然會遭到封鎖
請確定使用者已獲指派 Intune 授權,以進行適當的合規性評估。
除非使用者按兩下 他們收到的隔離電子郵件中的 [立即開始使用 ] 連結,否則不會授與非 Knox Android 裝置的存取權。 即使已在 Intune 中註冊使用者,也是如此。 如果使用者無法透過手機上的連結取得電子郵件,他們可以使用計算機來存取其電子郵件,並將電子郵件轉寄至其裝置上的電子郵件帳戶。
第一次註冊或更新裝置時,可能需要一些時間才能註冊裝置的合規性資訊和屬性。 請等候幾分鐘後再試。
針對 iOS/iPadOS 裝置,現有的電子郵件設置檔可能會封鎖部署指派給該使用者的 Intune 系統管理員所建立的電子郵件設置檔,使裝置不符合規範。 在此案例中,公司入口網站 應用程式會通知用戶由於手動設定的電子郵件設置檔而不符合規範,並提示使用者移除該配置檔。 一旦使用者移除現有的電子郵件設置檔,Intune 電子郵件設置檔就可以成功部署。 若要避免此問題,請在註冊之前,指示您的使用者移除其裝置上的任何現有電子郵件設置檔。
裝置可能會卡在檢查合規性狀態中,防止用戶啟動另一個簽入。 如果您有處於此狀態的裝置:
- 請確定裝置使用的是最新版本的 公司入口網站 應用程式。
- 重新開機裝置。
- 查看問題是否持續在不同的網路上(例如行動數據、Wi-Fi 等)。
如果問題仍然存在,請連絡 Microsoft 支援服務,如取得 intune Microsoft中的支援中所述。
某些 Android 裝置似乎已加密,不過 公司入口網站 應用程式會將這些裝置辨識為未加密,並將其標示為不符合規範。 在此案例中,使用者會在 公司入口網站 應用程式中看到通知,要求他們設定裝置的啟動密碼。 點選通知並確認現有的 PIN 或密碼之後,請選擇 [安全啟動] 畫面上的 [需要 PIN 以啟動裝置] 選項,然後從 公司入口網站 應用程式點選裝置的 [檢查相容性] 按鈕。 裝置現在應該偵測為加密。
注意
某些裝置製造商會使用預設 PIN 來加密其裝置,而不是使用者所設定的 PIN。 Intune 會檢視使用預設 PIN 作為不安全的加密,並將這些裝置標示為不符合規範,直到使用者建立新的非預設 PIN 為止。
註冊且符合規範的 Android 裝置仍可能會遭到封鎖,並在第一次嘗試存取公司資源時收到隔離通知。 如果發生這種情況,請確定 公司入口網站 應用程式未執行,然後選取隔離電子郵件中的 [立即開始使用] 連結以觸發評估。 這應該只有在第一次啟用條件式存取時才需要完成。
已註冊的 Android 裝置可能會提示使用者「找不到憑證」,且未獲授與Microsoft 365 資源的存取權。 使用者必須在已註冊的裝置上啟用 [ 啟用瀏覽器存取 ] 選項,如下所示:
- 開啟公司入口網站應用程式。
- 從三點 (...) 或硬體功能表按鈕移至 [設定] 頁面。
- 選取 [ 啟用瀏覽器存取 ] 按鈕。
- 在 Chrome 瀏覽器中,註銷 Microsoft 365,然後重新啟動 Chrome。
傳統型應用程式必須使用依賴網頁瀏覽器或驗證代理人中顯示的驗證提示的新式驗證方法。 直接傳送密碼的腳本只有在使用驗證代理程式時,才能提供裝置身分識別的證明。
封鎖裝置,而且不會收到任何隔離電子郵件
確認裝置存在於 Intune 管理控制台中,作為 Exchange ActiveSync 裝置。 如果不是,可能是裝置探索失敗,可能是因為 Exchange Connector 問題。 如需詳細資訊,請參閱 針對 Intune Exchange Connector 進行疑難解答。
在 Exchange Connector 封鎖裝置之前,它會傳送啟用(隔離)電子郵件。 如果裝置離線,它可能不會收到啟用電子郵件。
檢查裝置上的電子郵件用戶端是否已設定為使用 推播 來擷取電子郵件, 而不是輪詢。 若是如此,這可能會導致使用者錯過電子郵件。 切換至 [輪詢 ],並查看裝置是否收到電子郵件。
裝置不符合規範,但不會封鎖使用者
針對 Windows 計算機,條件式存取只會封鎖原生電子郵件應用程式、具有新式驗證的 Office 2013 或 Office 2016。 封鎖舊版 Outlook 或 Windows 電腦上的所有郵件應用程式,需要Microsoft Entra Device Registration 和 Active Directory 同盟服務 (AD FS) 設定,以依據如何:封鎖舊版驗證以使用條件式存取Microsoft Entra ID。
如果裝置已選擇性地從 Intune 抹除或淘汰,在停用後可能會繼續存取數小時。 這是因為 Exchange 快取訪問許可權 6 小時。 在此案例中,請考慮保護已淘汰裝置上數據的其他方法。
當獲指派 Intune 授權的使用者登入時,Surface Hub、大量註冊和 DEM 註冊的 Windows 裝置可以支援條件式存取。 不過,您必須將合規性政策部署到裝置群組(而非使用者群組),才能進行正確的評估。
檢查合規性原則和條件式存取原則的指派。 如果使用者不在指派原則的群組中,或位於排除的群組中,則不會封鎖使用者。 只會檢查指派群組中用戶的裝置是否符合規範。
未封鎖不符合規範的裝置
如果裝置不符合規範,但仍可繼續存取,請採取下列動作。
檢閱您的目標和排除群組。 如果使用者不在正確的目標群組中,或位於排除群組中,則不會封鎖使用者。 只會檢查目標群組中用戶的裝置是否符合規範。
確定正在探索裝置。 當使用者在 Exchange 2013 伺服器上時,Exchange Connector 是否指向 Exchange 2010 CAS? 在此情況下,如果預設的 Exchange 規則是 [允許],即使用戶位於 [目標] 群組中,Intune 也不知道裝置與 Exchange 的連線。
檢查 Exchange 中的裝置存在/存取狀態:
使用此 PowerShell Cmdlet 來取得信箱的所有行動裝置清單:『Get-MobileDeviceStatistics -mailbox mbx』。 如果未列出裝置,則不會存取 Exchange。 如需詳細資訊,請參閱 Exchange PowerShell 檔。
如果列出裝置,請使用 'Get-CASmailbox -identity:'upn' |fl' Cmdlet 以取得其存取狀態的詳細資訊,並將該資訊提供給 Microsoft 支援服務。 如需詳細資訊,請參閱 Exchange PowerShell 檔。
應用程式型條件式存取的登入錯誤
Intune 應用程式保護原則可協助您在應用層級保護公司數據,即使在您未在 Intune 中管理的裝置上也是如此。 如果您的使用者無法登入受保護的應用程式,則應用程式型條件式存取原則可能會有問題。 如需詳細指引,請參閱 針對條件式存取 的登入問題進行疑難解答。