Устранение неполадок условного доступа

  • Статья

В этой статье описывается, что делать, если пользователям не удается получить доступ к ресурсам, защищенным условным доступом, или когда пользователи могут получить доступ к защищенным ресурсам, но должны быть заблокированы.

С помощью Intune и условного доступа можно защитить доступ к службам Microsoft 365, таким как Exchange Online и SharePoint Online, а также к различным другим службам. Эта возможность позволяет убедиться, что только устройства, зарегистрированные с помощью Intune и соответствующие правилам условного доступа, заданным в Intune или Microsoft Entra ID, имеют доступ к ресурсам вашей организации.

Требования к условному доступу

Чтобы условный доступ работал, необходимо выполнить следующие требования:

  • Устройство должно быть зарегистрировано в системе управления мобильными устройствами (MDM) и управляться Intune.

  • Как пользователь, так и устройство должны соответствовать назначенным политикам соответствия Intune.

  • По умолчанию пользователю должна быть назначена политика соответствия устройств. Это может зависеть от конфигурации параметра Пометка устройств без назначенной политики соответствия требованиям, которая находится в разделеПараметры политики соответствияустройств> на портале администрирования Intune.

  • Exchange ActiveSync необходимо активировать на устройстве, если пользователь использует собственный почтовый клиент устройства, а не Outlook. Это происходит автоматически для устройств iOS/iPadOS и Android Knox.

  • Для локальной среды Exchange необходимо правильно настроить соединитель Exchange Intune. Дополнительные сведения см. в статье Устранение неполадок с соединителем Exchange в Microsoft Intune.

  • Для локальной службы Skype необходимо настроить гибридную современную проверку подлинности. См. раздел Общие сведения о гибридной современной проверке подлинности.

Эти условия для каждого устройства можно просмотреть в портал Azure и в отчете об инвентаризации устройств.

Устройства кажутся совместимыми, но пользователи по-прежнему заблокированы

  • Убедитесь, что пользователю назначена лицензия на Intune для надлежащей оценки соответствия требованиям.

  • Устройства, не относящиеся к Knox Android, не будут предоставлены доступ, пока пользователь не перейдет по ссылке "Начало работы " в сообщении электронной почты о карантине, который он получает. Это применимо, даже если пользователь уже зарегистрирован в Intune. Если пользователь не получает сообщение электронной почты со ссылкой на телефоне, он может использовать компьютер для доступа к своей электронной почте и пересылать его в учетную запись электронной почты на своем устройстве.

  • При первой регистрации устройства может потребоваться некоторое время для регистрации сведений о соответствии. Подождите несколько минут и повторите попытку.

  • Для устройств iOS/iPadOS существующий профиль электронной почты может блокировать развертывание созданного администратором профиля электронной почты Intune, назначенного пользователю, что делает устройство несовместимым. В этом сценарии приложение Корпоративный портал уведомляет пользователя о том, что он не соответствует требованиям из-за настроенного вручную профиля электронной почты, и предлагает пользователю удалить этот профиль. После удаления существующего профиля электронной почты Intune профиль электронной почты может успешно развернуться. Чтобы избежать этой проблемы, перед регистрацией попросите пользователей удалить все существующие профили электронной почты на устройстве.

  • Устройство может зависнуть в состоянии проверки соответствия, что не позволит пользователю запустить другую проверка. Если у вас есть устройство в этом состоянии:

    • Убедитесь, что устройство использует последнюю версию приложения Корпоративный портал.
    • Перезапустите устройство.
    • Узнайте, сохраняется ли проблема в разных сетях (например, в сотовой сети, Wi-Fi и т. д.).

    Если проблема останется, обратитесь к служба поддержки Майкрософт, как описано в разделе Получение поддержки в Microsoft Intune.

  • Некоторые устройства Android могут казаться зашифрованными, однако приложение Корпоративный портал распознает эти устройства как незашифрованные и помечает их как несоответствующие. В этом сценарии пользователь увидит уведомление в приложении Корпоративный портал с просьбой задать секретный код запуска для устройства. После нажатия уведомления и подтверждения существующего ПИН-кода или пароля выберите параметр Требовать ПИН-код для запуска устройства на экране Безопасного запуска, а затем нажмите кнопку Проверить соответствие устройства в приложении Корпоративный портал. Теперь устройство должно быть обнаружено как зашифрованное.

    Примечание.

    Некоторые производители устройств шифруют свои устройства, используя ПИН-код по умолчанию вместо ПИН-кода, установленного пользователем. Intune просматривает шифрование, использующее ПИН-код по умолчанию как небезопасное, и помечает эти устройства как несоответствующие, пока пользователь не создаст новый ПИН-код, отличный от пин-кода по умолчанию.

  • Зарегистрированное и соответствующее устройство Android по-прежнему может быть заблокировано и получать уведомление о карантине при первой попытке получить доступ к корпоративным ресурсам. В этом случае убедитесь, что приложение Корпоративный портал не запущено, а затем щелкните ссылку Начало работы в сообщении электронной почты карантина, чтобы активировать оценку. Это необходимо сделать только при первом включении условного доступа.

  • Зарегистрированное устройство Android может запрашивать у пользователя сообщение "Сертификаты не найдены" и не предоставлять доступ к ресурсам Microsoft 365. Пользователь должен включить параметр Включить доступ в браузере на зарегистрированном устройстве следующим образом:

    1. Откройте приложение Корпоративный портал.
    2. Перейдите на страницу Параметры с помощью тройной точки (...) или кнопки меню оборудования.
    3. Нажмите кнопку Включить доступ к браузеру .
    4. В браузере Chrome выйдите из Microsoft 365 и перезапустите Chrome.

  • Классические приложения должны использовать современные методы проверки подлинности, основанные на запросе проверки подлинности, который отображается в веб-браузере или брокере проверки подлинности. Скрипты, отправляющие пароли напрямую , могут предоставить подтверждение удостоверения устройства, только если они используют брокер проверки подлинности.

Устройства заблокированы, и сообщение электронной почты о карантине не получено

  • Убедитесь, что устройство присутствует в консоли администрирования Intune в качестве Exchange ActiveSync устройства. Если это не так, скорее всего, обнаружение устройств завершается сбоем, вероятно, из-за проблемы с соединителем Exchange. Дополнительные сведения см. в статье Устранение неполадок с соединителем Intune Exchange.

  • Перед тем как соединитель Exchange заблокирует устройство, он отправляет сообщение электронной почты об активации (карантине). Если устройство находится в автономном режиме, оно может не получить сообщение об активации.

  • Проверьте, настроен ли почтовый клиент на устройстве для получения электронной почты с помощью принудительной отправки , а не опроса. Если это так, это может привести к тому, что пользователь пропустит сообщение электронной почты. Перейдите в раздел Опрос и посмотрите, получает ли устройство сообщение электронной почты.

Устройства несоответствуют, но пользователи не заблокированы

  • Для компьютеров с Windows условный доступ блокирует только собственное почтовое приложение, Office 2013 с современной проверкой подлинности или Office 2016. Для блокировки более ранних версий Outlook или всех почтовых приложений на компьютерах с Windows требуется Microsoft Entra конфигурации регистрации устройств и службы федерации Active Directory (AD FS) (AD FS) в разделе Практическое руководство. Блокировка устаревшей проверки подлинности для Microsoft Entra ID с условным доступом.

  • Если устройство выборочно очищается или стирается с Intune, оно может продолжать получать доступ в течение нескольких часов после прекращения использования. Это связано с тем, что Exchange кэширует права доступа в течение шести часов. В этом сценарии рассмотрите другие способы защиты данных на устаревших устройствах.

  • Устройства с Windows с массовой регистрацией и DEM могут поддерживать условный доступ при входе пользователя, которому назначена лицензия на Intune. Однако для правильной оценки необходимо развернуть политику соответствия требованиям в группах устройств (а не в группах пользователей).

  • Проверьте назначения для политик соответствия требованиям и политик условного доступа. Если пользователь не входит в группу, в которую назначены политики, или входит в исключенную группу, он не блокируется. Проверяется соответствие только устройствам пользователей в назначенной группе.

Несоответствующее устройство не заблокировано

Если устройство не соответствует требованиям, но по-прежнему имеет доступ, выполните следующие действия.

  • Просмотрите целевые группы и группы исключений. Если пользователь не входит в нужную целевую группу или входит в группу исключений, он не будет заблокирован. Проверяется соответствие только устройствам пользователей в целевой группе.

  • Убедитесь, что устройство обнаруживается. Указывает ли соединитель Exchange на exchange 2010 CAS, когда пользователь находится на сервере Exchange 2013? В этом случае, если правило Exchange по умолчанию — Разрешить, даже если пользователь входит в целевую группу, Intune не может знать о подключении устройства к Exchange.

  • Проверка существования устройства и состояния доступа в Exchange:

    • Используйте этот командлет PowerShell, чтобы получить список всех мобильных устройств для почтового ящика: Get-MobileDeviceStatistics -mailbox mbx. Если устройство отсутствует в списке, оно не обращается к Exchange. Дополнительные сведения см. в документации по Exchange PowerShell.

    • Если устройство указано в списке, используйте Get-CASmailbox -identity:'upn' | Командлет fl' для получения подробных сведений о состоянии доступа и предоставления этой информации служба поддержки Майкрософт. Дополнительные сведения см. в документации по Exchange PowerShell.

Ошибки входа с условным доступом на основе приложений

Intune политики защиты приложений помогают защищать корпоративные данные на уровне приложений даже на устройствах, которыми вы не управляете в Intune. Если пользователям не удается войти в защищенные приложения, может возникнуть проблема с политиками условного доступа на основе приложений. Подробные инструкции см. в статье Устранение проблем со входом при условном доступе.