Felsöka villkorsstyrd åtkomst
Den här artikeln beskriver vad du ska göra när användarna inte kan få åtkomst till resurser som skyddas med villkorlig åtkomst, eller när användare kan komma åt skyddade resurser men bör blockeras.
Med Intune och villkorlig åtkomst kan du skydda åtkomsten till Microsoft 365-tjänster som Exchange Online och SharePoint Online och olika andra tjänster. Med den här funktionen kan du se till att endast enheter som har registrerats med Intune och är kompatibla med reglerna för villkorsstyrd åtkomst som du anger i Intune eller Microsoft Entra ID har åtkomst till företagets resurser.
Krav för villkorsstyrd åtkomst
Följande krav måste uppfyllas för att villkorsstyrd åtkomst ska fungera:
Enheten måste vara registrerad i hantering av mobila enheter (MDM) och hanteras av Intune.
Både användaren och enheten måste vara kompatibla med de tilldelade Intune efterlevnadsprinciper.
Som standard måste användaren tilldelas en enhetsefterlevnadsprincip. Detta kan bero på konfigurationen av inställningen Markera enheter utan någon tilldelad efterlevnadsprincip som finns underPrincipinställningar för enhetsefterlevnad> i Intune administratörsportalen.
Exchange ActiveSync måste aktiveras på enheten om användaren använder enhetens interna e-postklient i stället för Outlook. Detta sker automatiskt för iOS/iPadOS- och Android Knox-enheter.
För lokal Exchange måste din Intune Exchange Connector vara korrekt konfigurerad. Mer information finns i Felsöka Exchange Connector i Microsoft Intune.
För lokal Skype måste du konfigurera modern hybridautentisering. Se Översikt över modern hybridautentisering.
Du kan visa dessa villkor för varje enhet i Azure Portal och i enhetsinventeringsrapporten.
Enheter verkar vara kompatibla men användarna är fortfarande blockerade
Kontrollera att användaren har en Intune licens tilldelad för korrekt utvärdering av efterlevnad.
Android-enheter som inte är Knox beviljas inte åtkomst förrän användaren klickar på länken Kom igång nu i karantänmeddelandet som de får. Detta gäller även om användaren redan har registrerats i Intune. Om användaren inte får e-postmeddelandet med länken på sin telefon kan de använda en dator för att komma åt sin e-post och vidarebefordra den till ett e-postkonto på enheten.
När en enhet först registreras kan det ta lite tid innan efterlevnadsinformation registreras för en enhet. Vänta några minuter och försök igen.
För iOS/iPadOS-enheter kan en befintlig e-postprofil blockera distributionen av en Intune administratörsskapad e-postprofil som tilldelats användaren, vilket gör enheten inkompatibel. I det här scenariot meddelar Företagsportal-appen användaren att de inte är kompatibla på grund av deras manuellt konfigurerade e-postprofil och uppmanar användaren att ta bort profilen. När användaren tar bort den befintliga e-postprofilen kan Intune e-postprofil distribueras. Om du vill förhindra det här problemet instruerar du användarna att ta bort befintliga e-postprofiler på sin enhet innan de registrerar sig.
En enhet kan fastna i ett kontrollkompatibilitetstillstånd, vilket hindrar användaren från att starta en ny incheckning. Om du har en enhet i det här tillståndet:
- Kontrollera att enheten använder den senaste versionen av Företagsportal-appen.
- Starta om enheten.
- Se om problemet kvarstår i olika nätverk (till exempel mobilnät, Wi-Fi osv.).
Om problemet kvarstår kontaktar du Microsoft Support enligt beskrivningen i Få support i Microsoft Intune.
Vissa Android-enheter kan verka vara krypterade, men den Företagsportal appen känner igen dessa enheter som inte krypterade och markerar dem som inkompatibla. I det här scenariot visas ett meddelande i Företagsportal-appen där användaren uppmanas att ange ett startlösenord för enheten. När du har tryckt på meddelandet och bekräftat den befintliga PIN-koden eller lösenordet väljer du alternativet Kräv PIN-kod för att starta enheten på skärmen Säker start och trycker sedan på knappen Kontrollera efterlevnad för enheten från Företagsportal-appen. Enheten bör nu identifieras som krypterad.
Obs!
Vissa enhetstillverkare krypterar sina enheter med hjälp av en standard-PIN-kod i stället för en PIN-kod som angetts av användaren. Intune visar kryptering som använder en standard-PIN-kod som osäker och markerar enheterna som inkompatibla tills användaren skapar en ny PIN-kod som inte är standard.
En Android-enhet som är registrerad och kompatibel kan fortfarande blockeras och få ett karantänmeddelande när du först försöker komma åt företagsresurser. Om detta inträffar kontrollerar du att den Företagsportal appen inte körs och väljer sedan länken Kom igång nu i karantänmeddelandet för att utlösa utvärdering. Detta behöver bara göras när villkorsstyrd åtkomst först aktiveras.
En Android-enhet som har registrerats kan uppmana användaren att "Inga certifikat hittades" och inte beviljas åtkomst till Microsoft 365-resurser. Användaren måste aktivera alternativet Aktivera webbläsaråtkomst på den registrerade enheten på följande sätt:
- Öppna appen Företagsportal.
- Gå till sidan Inställningar från tre punkter (...) eller knappen på maskinvarumenyn.
- Välj knappen Aktivera webbläsaråtkomst .
- Logga ut från Microsoft 365 i Webbläsaren Chrome och starta om Chrome.
Skrivbordsprogram måste använda moderna autentiseringsmetoder som förlitar sig på en autentiseringsprompt som visas antingen i en webbläsare eller i en asynkron autentiseringskoordinator. Skript som skickar lösenord direkt kan endast tillhandahålla bevis på en enhets identitet om de använder en asynkron autentiseringskoordinator.
Enheter blockeras och ingen e-post i karantän tas emot
Kontrollera att enheten finns i Intune-administratörskonsolen som en Exchange ActiveSync enhet. Om det inte är det är det troligt att enhetsidentifieringen misslyckas, förmodligen på grund av ett Exchange Connector-problem. Mer information finns i Felsöka Intune Exchange Connector.
Innan Exchange Connector blockerar en enhet skickar den ett aktiveringsmeddelande (karantän). Om enheten är offline kanske den inte får aktiveringsmeddelandet.
Kontrollera om e-postklienten på enheten är konfigurerad för att hämta e-post med push-överföring i stället för avsökning. I så fall kan detta göra att användaren missar e-postmeddelandet. Växla till Avsökning och se om enheten tar emot e-postmeddelandet.
Enheter är inkompatibla men användarna blockeras inte
För Windows-datorer blockerar villkorsstyrd åtkomst endast den interna e-postappen, Office 2013 med modern autentisering eller Office 2016. För att blockera tidigare versioner av Outlook eller alla e-postappar på Windows-datorer krävs Microsoft Entra konfigurationer för enhetsregistrering och Active Directory Federation Services (AD FS) (AD FS) enligt Instruktioner: Blockera äldre autentisering för att Microsoft Entra ID med villkorsstyrd åtkomst.
Om enheten rensas selektivt eller dras tillbaka från Intune kan den fortsätta att ha åtkomst i flera timmar efter tillbakadragningen. Det beror på att Exchange cachelagrar åtkomsträttigheter i sex timmar. Överväg andra sätt att skydda data på tillbakadragna enheter i det här scenariot.
Surface Hub-, Massregistrerade och DEM-registrerade Windows-enheter har stöd för villkorsstyrd åtkomst när en användare som har tilldelats en licens för Intune är inloggad. Du måste dock distribuera efterlevnadsprincipen till enhetsgrupper (inte användargrupper) för korrekt utvärdering.
Kontrollera tilldelningarna för dina efterlevnadsprinciper och principer för villkorsstyrd åtkomst. Om en användare inte finns i den grupp som har tilldelats principerna, eller finns i en grupp som är exkluderad, blockeras inte användaren. Endast enheter för användare i en tilldelad grupp kontrolleras för efterlevnad.
Inkompatibel enhet blockeras inte
Om en enhet inte är kompatibel men fortsätter att ha åtkomst vidtar du följande åtgärder.
Granska dina mål- och exkluderingsgrupper. Om en användare inte är i rätt målgrupp eller finns i undantagsgruppen blockeras de inte. Endast enheter för användare i en målgrupp kontrolleras för kompatibilitet.
Kontrollera att enheten identifieras. Pekar Exchange Connector på en Exchange 2010 CAS när användaren är på en Exchange 2013-server? I det här fallet, om standardregeln för Exchange är Tillåt, även om användaren finns i målgruppen, kan Intune inte känna till enhetens anslutning till Exchange.
Kontrollera enhetens existens-/åtkomsttillstånd i Exchange:
Använd den här PowerShell-cmdleten för att hämta en lista över alla mobila enheter för en postlåda: "Get-MobileDeviceStatistics -mailbox mbx". Om enheten inte visas kommer den inte åt Exchange. Mer information finns i Exchange PowerShell-dokumenten.
Om enheten visas använder du "Get-CASmailbox -identity:'upn" | fl' cmdlet för att få detaljerad information om dess åtkomsttillstånd och tillhandahålla den informationen till Microsoft Support. Mer information finns i Exchange PowerShell-dokumenten.
Inloggningsfel med appbaserad villkorlig åtkomst
Intune appskyddsprinciper hjälper dig att skydda företagsdata på appnivå, även på enheter som du inte hanterar i Intune. Om användarna inte kan logga in på skyddade program kan det finnas ett problem med dina appbaserade principer för villkorsstyrd åtkomst. Mer information finns i Felsöka inloggningsproblem med villkorsstyrd åtkomst .