Řešení potíží s podmíněným přístupemTroubleshoot conditional access

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Obvykle se uživatel pokusí o přístup k e-mailu nebo ke službě SharePoint a obdrží výzvu k registraci.Typically, a user is trying to access email or SharePoint and receives a prompt to enroll. Prostřednictvím této výzvy přejde uživatele na portál společnosti.That prompt will lead the user to the company portal.

Toto téma popisuje, co dělat, pokud se vašim uživatelům nedaří získat přístup k prostředkům prostřednictvím podmíněného přístupu Intune.This topic describes what to do when your users fail to get access to resources through Intune conditional access.

Základní informace potřebné pro úspěšné využívání podmíněného přístupuThe basics for success in conditional access

Aby bylo možné využívat podmíněný přístup, je třeba splnit následující podmínky:In order to conditional access to work, you need the following conditions:

  • Zařízení musí být spravované pomocí Intune.The device must be managed by Intune
  • Zařízení musí být zaregistrované v Azure Active Directory (AAD).The device must be registered with Azure Active Directory (AAD) . Za normálních okolností se tato registrace provede automaticky během registrace v Intune.Under normal circumcstances this registration takes place automatically during Intune enrollment
  • Zařízení musí vyhovovat zásadám dodržování předpisů Intune, a to pro zařízení i pro uživatele tohoto zařízení.The device must be compliant with your Intune compliance policies, for the device, and for the user of the device. Pokud neexistují žádné zásady dodržování předpisů, je registrace v Intune dostatečná.If there are no compliance policies, Intune enrollment is sufficient.
  • V zařízení musí být aktivovaný protokol Exchange ActiveSync, pokud uživatel načítá e-mail prostřednictvím nativního poštovního klienta, a nikoli prostřednictvím aplikace Outlook.Exchange ActiveSync must be activated on the device if the user is retrieving mail through the device's native mail client rather than through Outlook. K tomu dojde automaticky pro zařízení se systémy iOS, Windows Phone a Android nebo KNOX Standard.This happens automatically for iOS, Windows Phone and Android/KNOX Standard devices.
  • Intune Exchange Connector by měl být správně nakonfigurovaný.Your Intune Exchange Connector should be properly configured. Další informace najdete v tématu Odstraňování potíží Exchange Connectoru v Microsoft Intune.See Troubleshooting the Exchange Connector in Microsoft Intune for more information.

Tyto podmínky lze zobrazit pro každé zařízení v portálu pro správu Azure a v sestavě inventáře zařízení.These conditions can be viewed for each device in the Azure Management Portal and in the device inventory report.

Problémy s registracíEnrollment issues

  • Zařízení není zaregistrované, takže registrace tento problém odstraní.The device isn't enrolled, so enrollment will resolve the issue.
  • Uživatel zařízení zaregistroval, ale připojení k pracovišti se nezdařilo.The user enrolled the device, but the workplace join failed. Uživatel by měl aktualizovat registraci z portálu společnosti.The user should update the enrollment from the company portal.

Problémy se shodouCompliance issues

  • Zařízení nevyhovuje zásadám Intune.The device is not compliant with Intune policy. K běžným problémům patří požadavky na šifrování a heslo.Common issues are encryption and password requirements. Uživatel bude přesměrován na portál společnosti, kde může nakonfigurovat zařízení tak, aby vyhovovalo požadavkům.The user will be redirected to the company portal, where they can configure their device to be compliant.
  • Registrace informací o shodě pro zařízení může trvat nějakou dobu.It may take some time for compliance information to be registered for a device. Počkejte několik minut a zkuste akci zopakovat.Wait a few minutes and try again.
  • Pro zařízení s iOS:For iOS devices:

    • Existující e-mailový profil vytvořený uživatelem bude blokovat nasazení profilu Intune vytvořeného správcem.An existing email profile created by the user will block the deployment of an Intune admin-created profile. Tento problém je běžný, protože uživatelé s iOSem obvykle vytvoří e-mailový profil a potom se zaregistrují.This is a common problem as iOS users will typically create an email profile, then enroll. Portál společnosti bude uživatele informovat o tom, že požadavky nejsou splněny kvůli ručně nakonfigurovanému e-mailovému profilu a vyzve uživatele k odebrání příslušného profilu. Uživatel by měl svůj e-mailový profil odebrat, aby bylo možné nasadit profil Intune.The company portal will inform the user that they are not compliant due to their manually-configured email profile, and will prompt the user to remove that profile.The user should remove their email profile so that the Intune profile can be deployed. Chcete-li problémům zabránit, požádejte své uživatele, aby se zaregistrovali bez instalace e-mailového profilu a aby Intune povolili nasazení profilu.To prevent the problem instruct your users to enroll without installing an email profile and to allow Intune to deploy the profile.
    • Zařízení s iOSem můžou uváznout ve stavu kontroly dodržování předpisů bránit uživateli v inicializaci jiné kontroly.An iOS device may get stuck in a checking-compliance state, preventing the user from initiating another check-in. Restartování Portálu společnosti může problém vyřešit a stav dodržování předpisů bude odrážet stav zařízení v Intune.Restarting the company portal may fix this, and the compliance state will reflect the device state in Intune. Po shromáždění všech dat ze synchronizace zařízení je kontrola dodržování předpisů rychlá a trvá v průměru méně než půl sekundy.After all of the data is collected from a device sync the compliance check is, fast, less than half a second on average.

      Obvyklým důvodem toho, že zařízení zůstanou v tomto stavu, jsou potíže s připojením ke službě nebo dlouhotrvající synchronizace.Typically, the reason devices stay in this state is because they are having trouble connecting to the service or the sync is taking a long time. Pokud potíže přetrvávají v různých síťových konfigurací (mobilní, Wi-Fi, VPN) i po restartech zařízení a po ověření, že zprostředkovatel SSP je v zařízení aktuální, obraťte se na podporu Microsoftu podle popisu v tématu Jak získat podporu pro Microsoft Intune.If the problem persists on different network configurations (cellular, Wi-Fi, VPN), through device restarts, and after verifying that the SSP is up-to-date on the device, contact Microsoft Support as described in How to get support for Microsoft Intune.

  • Zařízení s Androidem:For Android devices:

    • Některá zařízení s Androidem můžou působit jako zašifrovaná, ale aplikace Portál společnosti tato zařízení rozpozná jako nezašifrovaná.Certain Android devices may seem to be encrypted, but the Company Portal app recognizes these devices as not encrypted.

      • Zařízení, která jsou v tomto stavu, vyžadují, aby uživatel nastavil bezpečné heslo pro spuštění.Devices that are in this state require the user to set a secure start-up passcode. Uživateli se zobrazí oznámení aplikace Portál společnosti s výzvou k nastavení hesla pro spuštění zařízení.The user will see a device notification from the Company Portal app asking to set a start-up passcode for the device. Po klepnutí na oznámení a potvrzení stávajícího PIN kódu nebo hesla zvolte na obrazovce Zabezpečené spouštění možnost Požadovat PIN pro spuštění zařízení.After tapping the device notification and confirming the existing PIN or password, choose the Require PIN to start device option on the Secure start-up screen. Pak v aplikaci Portál společnosti klepněte na tlačítko Zkontrolovat dodržování předpisů pro dané zařízení.Then, tap the Check Compliance button for the device from the Company Portal app. Zařízení by se teď mělo rozpoznat jako zašifrované.The device should now be detected as encrypted.

      • Někteří výrobci zařízení používají k zašifrování svých zařízení místo tajného PIN kódu nastaveného uživatelem výchozí PIN.Some device manufacturers encrypt their devices using a default PIN instead of the secret PIN set by the user. Intune považuje šifrování pomocí výchozího PIN kódu jako nezabezpečené, protože tato metoda šifrování dat na zařízení představuje riziko, pokud uživatelé se zlými úmysly mají fyzický přístup k danému zařízení.Intune recognizes encryption using the default PIN as insecure because this method of encryption can put the data on the device at risk from malicious users with physical access to the device. V případě tohoto problému zvažte použití zásad ochrany aplikací.If this is the issue, consider using app protection policies.

problémy se zásadami;Policy issues

Když vytvoříte zásady dodržování předpisů a propojíte je se zásadami e-mailů, musí být obojí zásady nasazeny pro téhož uživatele. Buďte proto opatrní při plánování, které zásady skupiny budou nasazeny pro které skupiny.When you create a compliance policy and link it to an email policy, both policies have to be deployed to the same user, so be careful when planning which policies are deployed to which groups. Uživatelé s jedinou použitou zásadou pravděpodobně zjistí, že jejich zařízení nevyhovují.Users that have only one policy applied are likely to find that their devices are not compliant.

Problémy protokolu Exchange ActiveSyncExchange ActiveSync issues

Kompatibilní zařízení s Androidem obdrží oznámení o karanténě.Compliant Android device gets quarantine notice

  • Zařízení s Androidem, které je zaregistrované a vyhovující, může i přesto obdržet oznámení o karanténě při pokusu o přístup k podnikovým prostředkům.An Android device that is enrolled and compliant may still get a quarantine notice when trying to access corporate resources. Před zvolením odkazu s textem Začít by uživatel měl ověřit, že při pokusu o přístup k prostředkům nebyl portál společnosti otevřený.Before choosing the link that says Begin, the user should ensure that the company portal was not open when they tried to access the resources. Uživatelé by měli zavřít portál společnosti, znovu se pokusit o přístup k prostředkům a pak zvolit odkaz Začít.The users should close the company portal, try again to access the resources, and then choose the Begin link.

Vyřazené zařízení má nadále přístup.Retired device continues to have access.

  • Když používáte Exchange Online, může mít vyřazené zařízení stále přístup i několik hodin po vyřazení.When using Exchange Online, a retired device may continue to have access for several hours after retirement. Důvodem je skutečnost, že Exchange ukládá přístupová práva do mezipaměti na 6 hodin.This is because Exchange caches access rights for 6 hours. Zvažte možnost použití jiných způsobů ochrany dat na vyřazených zařízení v tomto scénáři.Consider other means of protecting data on retired devices in this scenario.

Zařízení je zaregistrované v AAD a vyhovuje předpisům, ale je pořád blokované.Device is compliant and registered with AAD but still blocked

  • V některých případech je zřízení ID protokolu Exchange ActiveSync (EASID) v AAD zpožděné.Sometimes, provision of the Exchange ActiveSync ID (EASID) to AAD is delayed. Obvyklou příčinou tohoto problému je omezování, proto počkejte několik minut a zkuste akci zopakovat.A common cause of this issue is throttling, so wait a few minutes and try again.

Zařízení je blokované.Device blocked

Zařízení může mít zablokovaný podmíněný přístup bez přijetí aktivačního e-mailu.A device may be blocked from Conditional Access without receiving an activation email.

  • Existuje výchozí pravidlo Exchange, které dává zařízení do karantény nebo je blokuje?Is there a default Exchange rule which quarantines or blocks devices? Pokud výchozí pravidlo blokuje zařízení nebo je dává do karantény, zařízení nebudou moct přijímat aktivační e-maily Exchange Connectoru.If a default rule blocks or quarantines devices, devices will not be able to receive the activation email from the Exchange Connector. Jedná se o účel.This is by design.
  • Je účet pro oznámení správně nakonfigurovaný podle popisu v základní konfiguraci?Is the notification account properly configured as described in Basic configuration?
  • Je zařízení přítomné v konzole pro správu Intune jako zařízení protokolu Exchange ActiveSync?Is the device present in the Intune admin console as an Exchange ActiveSync device? Pokud ne, je pravděpodobné, že je zjišťování tohoto zařízení neúspěšné, pravděpodobně kvůli problémům synchronizace Exchange Connectoru.If not, it's likely that device discovery is failing, probably because of an Exchange Connector sync issue. Podívejte se do části Server Exchange nezjistil zařízení s Exchange ActiveSync.See Exchange ActiveSync device not discovered from Exchange.
  • Zkontrolujte v protokolech Exchange Connectoru aktivitu odesílání e-mailu a vyhledejte chyby.Check the Exchange Connector logs for sendemail activity and check for errors. Příkladem hledaného příkazu je SendEmail z účtu pro oznámení na e-mailovou adresu uživatele.An example of the command to search for is SendEmail from notification account to useremail.
  • Než Exchange Connector začne blokovat zařízení, odešle aktivační e-mail.Before the Exchange Connector blocks the device, it sends the activation email. Pokud je zařízení offline, nemusí aktivační e-mail obdržet.If the device is offline, it may not receive the activation email. Zkontrolujte, jestli e-mailový klient v zařízení přijímá e-maily pomocí operace Push, a ne Poll, protože to může také způsobit, že uživatel nedostane e-mail.Check if the device email client has email retrieval using Push instead of Poll as this could also cause the user to miss the email. Přepněte na Poll a zkontrolujte, jestli zařízení obdrží e-mail.Switch to Poll and see if the device receives the email.

Zařízení nevyhovující předpisům není blokované.Non-compliant device not blocked

Pokud narazíte na zařízení, které nevyhovuje předpisům, ale má nadále přístup, proveďte následující kroky.If you encounter a device that is not compliant but continues to have access, take the following steps.

  • Zkontrolujte cílovou skupinu a skupinu pro vyloučení.Review your Target and Exclusion groups. Pokud uživatel není ve správné cílové skupině nebo je ve skupině pro vyloučení, nebude blokován.If a user isn't in the right target group or is in the exclusion group, they won’t be blocked. Vyhovování předpisům se kontroluje jenom u zařízení uživatelů, kteří jsou v cílové skupině.Only devices of users in a Target group are checked for compliance.
  • Zkontrolujte, že se zařízení zjišťuje.Ensure the device is being discovered. Směřuje Exchange Connector na CAS pro Exchange 2010, zatímco je uživatel na serveru Exchange 2013?Is the Exchange Connector pointing to an Exchange 2010 CAS while the user is on an Exchange 2013 server? V takovém případě pokud je výchozí pravidlo Exchange nastavené na povolení, i když je uživatel v cílové skupině, Intune nemůže vědět o připojení zařízení k Exchangi.In this case, if the default Exchange rule is Allow, even if the user is in the Target group, Intune can't be aware of the device's connection to Exchange.
  • Kontrola stavu existence a přístupu k zařízení v Exchangi:Check Device Existence/Access State in Exchange:
    • Pokud chcete získat seznam všech mobilních zařízení pro poštovní schránku, použijte tuto rutinu PowerShellu: Get-ActiveSyncDeviceStatistics -mailbox mbx.Use this PowerShell cmdlet to get a list of all mobile devices for a mailbox: "Get-ActiveSyncDeviceStatistics -mailbox mbx'. Pokud zařízení není uvedené, pak nepřistupuje k Exchangi.If the device isn’t listed then it isn’t accessing Exchange.
    • Pokud zařízení je uvedené, pomocí rutiny Get-CASmailbox -identity:’upn’ | fl získejte podrobné informace o jeho stavu přístupu a předejte tyto informace podpoře Microsoftu.If the device is listed, use the Get-CASmailbox -identity:’upn’ | fl cmdlet to get detailed information about its access state, and provide that information to Microsoft Support.

Než otevřete lístek podporyBefore you open a support ticket

Pokud tyto postupy pro řešení potíží problém nevyřeší, může vás podpora Microsoftu vyzvat k poskytnutí některých informací, jako jsou protokoly poštovní schránky aplikace OWA nebo protokoly Exchange Connectoru.If these troubleshooting procedures don't resolve your issue, there is information that you may be asked to provide to Microsoft Support, such as OWA mailbox logs or Exchange Connector logs.

Shromažďování protokolů poštovní schránky aplikace OWACollecting OWA mailbox logs

  1. Přihlaste se prostřednictvím aplikace OWA a zvolte symbol nastavení (ozubené kolečko) vedle vašeho jména v pravém horním rohu.Log on through OWA and choose the settings (gear) symbol next to your name in the upper right corner.
  2. Zvolte MožnostiChoose Options
  3. Ve sloupci na levé straně zvolte Telefon (může být uvedeno Mobilní zařízení).Choose Phone (may say Mobile Devices) in the column on the left side.
  4. V hlavní nabídce zvolte Mobilní zařízení.From the top menu, choose Mobile Devices.
  5. V seznamu zvolte příslušné zařízení a pak zvolte Spustit protokolování.Choose your device from the list and then choose Start Logging.
  6. Po zobrazení výzvy zvolte v místním dialogovém okně Ano.When prompted, choose Yes on the pop-up dialog.
  7. Proveďte akci, která způsobila problém, abyste ho znovu vyvolali.Perform the action that caused the issue, so that you can reproduce it.
  8. Počkejte jednu nebo dvě minuty, než přejděte zpátky na telefonní seznam v aplikaci OWA.Wait 1-2 minutes then go back to the phone list in OWA. Ověřte, že je váš telefon v seznamu vybraný, a pak z hlavní nabídky zvolte Načíst protokol.Make sure your phone is selected in the list, and then from the top menu choose Retrieve Log.
  9. Nyní byste měli od sebe sama obdržet e-mail s přílohou.You should receive an email from yourself with an attachment. Při otevření lístku podpory předejte obsah e-mailu podpoře společnosti Microsoft.When you open a support ticket, provide the contents of the email to Microsoft Support.

Protokoly Exchange ConnectoruExchange Connector logs

Obecné informace o protokolechGeneral log information

Pokud chcete zobrazit protokoly Exchange Connectoru, použijte nástroj Server Trace Viewer Tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx').To view Exchange Connector logs use the [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx'). Tento nástroj vyžaduje, abyste si stáhli sadu Windows Server SDK.This tool requires that you download the Windows Server SDK.

Poznámka

Protokoly jsou umístěné v adresáři C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs.The logs are located in C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs. Protokoly jsou obsažené v posloupnosti 30 souborů, začínající souborem Connector0.log a končící souborem Connector29.log.The logs are contained in a series of 30 log files starting with Connector0.log and stopping at Connector29.log. Protokoly přecházejí na další po nahromadění 10 MB dat v protokolu.Logs rollover from one to another after 10MB of data has accumulated in a log. Jakmile se protokoly dostanou k souboru Connector29, začnou zase od Connector0 a budou přepisovat předchozí soubory protokolu.Once the logs get to Connector29, they will start over at Connector0 again, overwriting previous log files.

Vyhledání protokolů synchronizaceLocating sync logs

  • Vyhledejte v protokolech úplnou synchronizaci vyhledáním textu full sync.Locate a full sync in the logs by searching for full sync. Začátek úplné synchronizace je označený tímto textem:The beginning of a full sync will be marked by this text:

    „Handling command: Getting the mobile device list without a time filter (full sync) for users“'Handling command: Getting the mobile device list without a time filter (full sync) for users`

    Konec protokolu úplné synchronizace vypadá takto:The end of the log for a full sync looks like this:

    „Getting the mobile device list without a time filter (full sync) for 4 users completed successfully.“Getting the mobile device list without a time filter (full sync) for 4 users completed successfully. Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: ' Status: Connected','Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: ' Status: Connected','

  • Vyhledejte v protokolech rychlou (rozdílovou) synchronizaci vyhledáním textu quick sync.Locate a quick (delta) sync in the logs by searching for quick sync.

Výjimky v příkazu Get nextExceptions in Get next command

Vyhledejte v protokolech Exchange Connectoru výjimky v příkazu Get next a poskytněte je podpoře Microsoftu.Check the Exchange Connector logs for exceptions in Get next command, and provide these to Microsoft Support.

Podrobné protokolováníVerbose logging

Zapnutí podrobného protokolování:To enable verbose logging:

  1. Otevřete konfigurační soubor trasování Exchange Connectoru.Open the Exchange Connector tracing configuration file. Soubor je v následujícím umístění: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.The file is located at: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.
  2. Vyhledejte TraceSourceLine s následujícím klíčem: OnPremisesExchangeConnectorServiceLocate the TraceSourceLine with the following key: OnPremisesExchangeConnectorService
  3. Změňte hodnotu uzlu SourceLevel z Warning ActivityTracing (výchozí) na Verbose ActivityTracing, jak je uvedeno dál.Change the SourceLevel node value from Warning ActivityTracing (the default) to Verbose ActivityTracing, as shown below.

    OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30 OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30

Další krokyNext steps

Pokud vám tyto informace o řešení potíží nepomohly, obraťte se na podporu společnosti Microsoft podle pokynů v tématu Jak získat podporu pro Microsoft Intune.If this troubleshooting information didn't help you, contact Microsoft Support as described in How to get support for Microsoft Intune.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback