条件访问疑难解答
本文介绍当用户无法访问受条件访问保护的资源时,或者当用户可以访问受保护的资源但应被阻止时该怎么办。
使用Intune和条件访问,可以保护对 Microsoft 365 服务(如 Exchange Online 和 SharePoint Online)以及各种其他服务的访问。 借助此功能,可以确保只有使用 Intune 注册并符合Intune或Microsoft Entra ID中设置的条件访问规则的设备才有权访问公司资源。
条件访问的要求
必须满足以下要求才能运行条件访问:
设备必须注册到移动设备管理 (MDM) 并由Intune管理。
用户和设备都必须符合分配的Intune符合性策略。
默认情况下,必须为用户分配设备符合性策略。 这可能取决于“标记未分配符合性策略的设备”设置的配置,该设置位于 Intune 管理门户中的“设备符合性>策略设置”下。
如果用户使用的是设备的本机邮件客户端而不是 Outlook,则必须在设备上激活Exchange ActiveSync。 对于 iOS/iPadOS 和 Android Knox 设备,这会自动发生。
对于本地 Exchange,必须正确配置Intune Exchange 连接器。 有关详细信息,请参阅排查 Microsoft Intune 中的 Exchange 连接器问题。
对于本地 Skype,必须配置混合新式身份验证。 请参阅 混合新式身份验证概述。
可以在Azure 门户和设备清单报表中查看每台设备的这些条件。
设备看起来符合要求,但用户仍被阻止
确保为用户分配了Intune许可证,以便进行适当的合规性评估。
在用户单击他们收到的隔离电子邮件中的“ 立即开始使用” 链接之前,不会向非 Knox Android 设备授予访问权限。 即使用户已在 Intune 中注册,这一点也适用。 如果用户在手机上未收到包含链接的电子邮件,他们可以使用电脑访问其电子邮件,并将其转发到其设备上的电子邮件帐户。
首次注册设备时,可能需要一些时间才能为设备注册合规性信息。 请等待几分钟,然后重试。
对于 iOS/iPadOS 设备,现有电子邮件配置文件可能会阻止部署分配给该用户的Intune管理员创建的电子邮件配置文件,从而使设备不符合要求。 在此方案中,公司门户应用将通知用户由于手动配置的电子邮件配置文件而不符合要求,并提示用户删除该配置文件。 用户删除现有电子邮件配置文件后,Intune电子邮件配置文件即可成功部署。 若要防止此问题,请指示用户在注册之前删除其设备上的任何现有电子邮件配置文件。
设备可能会停滞在检查符合性状态,从而阻止用户启动另一个检查。 如果设备处于此状态:
- 确保设备使用的是最新版本的 公司门户 应用。
- 重启设备。
- 查看问题是否在不同的网络上仍然存在, (例如手机网络、Wi-Fi 等 ) 。
如果问题仍然存在,请联系 Microsoft 支持部门,如在 Microsoft Intune 中获取支持中所述。
某些 Android 设备可能看起来已加密,但公司门户应用将这些设备识别为未加密,并将其标记为不符合要求。 在此方案中,用户将在公司门户应用中看到一条通知,要求他们为设备设置启动密码。 点击通知并确认现有 PIN 或密码后,选择“安全启动”屏幕上的“需要 PIN 才能启动设备”选项,然后从公司门户应用中点击设备的“检查符合性”按钮。 现在应将设备检测为已加密。
注意
某些设备制造商使用默认 PIN 而不是用户设置的 PIN 来加密其设备。 Intune查看使用默认 PIN 的加密不安全,并将这些设备标记为不合规,直到用户创建新的非默认 PIN。
已注册且合规的 Android 设备可能仍会被阻止,并在首次尝试访问公司资源时收到隔离通知。 如果发生这种情况,请确保公司门户应用未运行,然后选择隔离电子邮件中的“立即开始使用”链接以触发评估。 仅当首次启用条件访问时,才需要执行此操作。
已注册的 Android 设备可能会提示用户“找不到证书”,并且未授予对 Microsoft 365 资源的访问权限。 用户必须在已注册的设备上启用 “启用浏览器访问 ”选项,如下所示:
- 打开公司门户应用。
- 从三点 (...) 或硬件菜单按钮转到“设置”页。
- 选择“ 启用浏览器访问 ”按钮。
- 在 Chrome 浏览器中,注销 Microsoft 365 并重启 Chrome。
桌面应用程序必须使用依赖于 Web 浏览器或身份验证代理中显示的身份验证提示的新式身份验证方法。 仅当直接发送密码的脚本使用身份验证代理时,才能提供设备的标识证明。
设备被阻止,并且未收到隔离电子邮件
验证设备是否作为Exchange ActiveSync设备存在于Intune管理控制台中。 否则,设备发现可能失败,可能是由于 Exchange 连接器问题。 有关详细信息,请参阅排查Intune Exchange 连接器问题。
在 Exchange 连接器阻止设备之前,它会通过电子邮件发送激活 (隔离) 。 如果设备处于脱机状态,它可能不会收到激活电子邮件。
检查设备上的电子邮件客户端是否配置为使用 Push 而不是 Poll 检索电子邮件。 如果是这样,这可能会导致用户错过电子邮件。 切换到 “轮询 ”,查看设备是否收到电子邮件。
设备不符合要求,但用户不会被阻止
对于 Windows 电脑,条件访问仅阻止本机电子邮件应用、具有新式身份验证的 Office 2013 或 Office 2016。 阻止早期版本的 Outlook 或 Windows 电脑上的所有邮件应用需要Microsoft Entra设备注册和Active Directory 联合身份验证服务 (AD FS) 配置,如如何:阻止旧身份验证以使用条件访问Microsoft Entra ID。
如果设备被选择性地擦除或从Intune中停用,则它可能会在停用后数小时内继续拥有访问权限。 这是因为 Exchange 缓存访问权限 6 小时。 在此方案中,请考虑保护已停用设备上的数据的其他方法。
当分配有Intune许可证的用户登录时,Surface Hub、批量注册和 DEM 注册的 Windows 设备可以支持条件访问。 但是,必须将符合性策略部署到设备组, () 用户组才能进行正确的评估。
检查符合性策略和条件访问策略的分配。 如果用户不在分配了策略的组中,或位于已排除的组中,则不会阻止该用户。 仅检查已分配组中用户的设备符合性。
不阻止不符合的设备
如果设备不符合要求,但继续具有访问权限,请执行下列操作。
查看目标组和排除组。 如果用户不在正确的目标组中或位于排除组中,则不会阻止他们。 仅检查目标组中用户的设备符合性。
确保正在发现设备。 当用户在 Exchange 2013 服务器上时,Exchange 连接器是否指向 Exchange 2010 CAS? 在这种情况下,如果默认 Exchange 规则为“允许”,即使用户位于“目标”组中,Intune也无法知道设备与 Exchange 的连接。
检查交换中的设备存在/访问状态:
使用此 PowerShell cmdlet 获取邮箱的所有移动设备的列表:“Get-MobileDeviceStatistics -mailbox mbx”。 如果未列出设备,则表示它无法访问 Exchange。 有关详细信息,请参阅 Exchange PowerShell 文档。
如果设备已列出,请使用“Get-CASmailbox -identity:'upn” |fl' cmdlet 获取有关其访问状态的详细信息,并将该信息提供给Microsoft 支持部门。 有关详细信息,请参阅 Exchange PowerShell 文档。
基于应用的条件访问的登录错误
Intune应用保护策略可帮助你在应用级别保护公司数据,即使在Intune中未管理的设备上也是如此。 如果用户无法登录到受保护的应用程序,则基于应用的条件访问策略可能存在问题。 有关详细指南,请参阅 排查条件访问的登录问题 。