A feltételes hozzáférés hibaelhárításaTroubleshoot conditional access

A következőkre vonatkozik: Intune a klasszikus portálonApplies to: Intune in the classic portal
Az Intune Azure Portalbeli verziójáról keres dokumentációt?Looking for documentation about Intune in the Azure portal? Lépjen tovább ide.Go here.

Az e-mailek vagy a SharePoint megnyitásakor a felhasználóknak a rendszer általában egy regisztrálási kérelmet jelenít meg.Typically, a user is trying to access email or SharePoint and receives a prompt to enroll. A kérés a vállalati portálra irányítja a felhasználót.That prompt will lead the user to the company portal.

Ez a témakör ismerteti a teendőket abban az esetben, ha a felhasználók nem tudnak hozzáférni az erőforrásokhoz az Intune feltételes hozzáférésével.This topic describes what to do when your users fail to get access to resources through Intune conditional access.

A sikeres feltételes hozzáférés alapjaiThe basics for success in conditional access

A feltételes hozzáférés megfelelő működéséhez az alábbi feltételeknek kell teljesülnie:In order to conditional access to work, you need the following conditions:

  • Az eszközt az Intune-nak kell felügyelnieThe device must be managed by Intune
  • Az eszköznek regisztrálva kell lennie az Azure Active Directoryban (AAD).The device must be registered with Azure Active Directory (AAD) . A regisztrációra általában automatikusan kerül sor az Intune-ban történő regisztrálás soránUnder normal circumcstances this registration takes place automatically during Intune enrollment
  • Az eszköznek meg kell felelnie az Intune megfelelőségi szabályzatának mind az eszköz, mind a felhasználó tekintetében.The device must be compliant with your Intune compliance policies, for the device, and for the user of the device. Ha nincsenek megfelelőségi szabályzatok, az Intune-regisztráció is elegendő.If there are no compliance policies, Intune enrollment is sufficient.
  • Az eszközön aktiválni kell az Exchange ActiveSync protokollt, ha a felhasználó nem az Outlookon, hanem az eszköz natív levelezőprogramján keresztül fér hozzá e-mailjeihez.Exchange ActiveSync must be activated on the device if the user is retrieving mail through the device's native mail client rather than through Outlook. iOS-, Windows Phone- és Android/KNOX Standard-eszközök esetében ez automatikusan történik.This happens automatically for iOS, Windows Phone and Android/KNOX Standard devices.
  • Az Intune Exchange Connectort megfelelően konfigurálni kell.Your Intune Exchange Connector should be properly configured. További információkért lásd az Az Exchange Connector hibaelhárítása a Microsoft Intune-ban című ismertetőt.See Troubleshooting the Exchange Connector in Microsoft Intune for more information.

Az egyes eszközökre vonatkozó feltételek megtekinthetők az Azure felügyeleti portálon, valamint az eszköz könyvtárjelentésében.These conditions can be viewed for each device in the Azure Management Portal and in the device inventory report.

Regisztrációs problémákEnrollment issues

  • Az eszköz nincs regisztrálva, így a regisztrálás megoldja a problémát.The device isn't enrolled, so enrollment will resolve the issue.
  • A felhasználó regisztrálta az eszközt, de a munkahelyi csatlakoztatás sikertelen volt.The user enrolled the device, but the workplace join failed. A felhasználónak frissítenie kell a regisztrációt a vállalati portálról.The user should update the enrollment from the company portal.

Megfelelőségi problémákCompliance issues

  • Az eszköz nem felel meg az Intune házirendjeinek.The device is not compliant with Intune policy. A leggyakoribb probléma ebben az esetben a titkosítás és a jelszókövetelmények.Common issues are encryption and password requirements. A rendszer átirányítja a felhasználót a vállalati portálra, ahol konfigurálhatja az eszköz megfelelőségét.The user will be redirected to the company portal, where they can configure their device to be compliant.
  • A megfelelőségi adatok regisztrálása az eszközön időbe telhet.It may take some time for compliance information to be registered for a device. Várjon néhány percet, és próbálkozzon újra.Wait a few minutes and try again.
  • iOS eszközök esetén:For iOS devices:

    • Ha már van a felhasználó által létrehozott e-mail-profil, ez meggátolja az Intune-rendszergazda által létrehozott profil telepítését.An existing email profile created by the user will block the deployment of an Intune admin-created profile. Ez gyakori probléma, mivel az iOS-felhasználók gyakran hoznak létre egy e-mail-profilt a regisztráció előtt.This is a common problem as iOS users will typically create an email profile, then enroll. A vállalati portál tájékoztatja a felhasználót, hogy a manuálisan beállított e-mail-profil sérti a megfelelőségi házirendet, és megkéri, hogy távolítsa el a profilt. A felhasználónak ekkor törölnie kell az e-mail-profilt, hogy az Intune-profilt telepíthesse.The company portal will inform the user that they are not compliant due to their manually-configured email profile, and will prompt the user to remove that profile.The user should remove their email profile so that the Intune profile can be deployed. A probléma elkerülése érdekében kérje meg a felhasználókat, hogy e-mail-profil telepítése nélkül regisztráljanak, és engedélyezzék az Intune-nak, hogy telepítse a profilt.To prevent the problem instruct your users to enroll without installing an email profile and to allow Intune to deploy the profile.
    • Az iOS-eszközök esetében előfordulhat, hogy elakadnak a megfelelőség-ellenőrzési állapotban, és megakadályozzák, hogy a felhasználó újabb bejelentkezést kezdeményezzen.An iOS device may get stuck in a checking-compliance state, preventing the user from initiating another check-in. A vállalati portál újraindítása megoldhatja ezt a problémát; ilyenkor a megfelelőségi állapot az eszköz állapotát tükrözi az Intune-ban.Restarting the company portal may fix this, and the compliance state will reflect the device state in Intune. Miután az összes információt összegyűjtötték az eszközről, a megfelelőségi ellenőrzés gyorsan történik; átlagosan kevesebb mint fél másodpercet vesz igénybe.After all of the data is collected from a device sync the compliance check is, fast, less than half a second on average.

      Az eszközök jellemzően azért akadnak el ebben az állapotban, mert nem sikerül csatlakozniuk a szolgáltatáshoz, vagy mert a szinkronizálás túlságosan hosszú ideig tart.Typically, the reason devices stay in this state is because they are having trouble connecting to the service or the sync is taking a long time. Ha a probléma különböző hálózati konfigurációkban (mobil, Wi-Fi, VPN) az eszköz többszöri újraindítása ellenére is tartósan fennáll, és ellenőrizte, hogy az SSP naprakész állapotban van az eszközön, a Hogyan kérhet támogatást az Intune-hoz című témakörben leírt módon vegye fel a kapcsolatot a Microsoft ügyfélszolgálatával.If the problem persists on different network configurations (cellular, Wi-Fi, VPN), through device restarts, and after verifying that the SSP is up-to-date on the device, contact Microsoft Support as described in How to get support for Microsoft Intune.

  • Androidos eszközök esetén:For Android devices:

    • Előfordulhat, hogy bizonyos androidos eszközök titkosítottnak tűnnek, de a Céges portál alkalmazás nem titkosítottként ismeri fel azokat.Certain Android devices may seem to be encrypted, but the Company Portal app recognizes these devices as not encrypted.

      • Az ebben az állapotban lévő eszközökhöz a felhasználónak egy biztonságos indítási PIN-kódot kell megadnia.Devices that are in this state require the user to set a secure start-up passcode. A felhasználó számára a Céges portál alkalmazás értesítést jelenít meg, kérve egy indítási PIN-kód beállítását az eszközhöz.The user will see a device notification from the Company Portal app asking to set a start-up passcode for the device. Koppintson az eszközértesítésre, és a meglévő PIN-kód vagy a jelszó ellenőrzése után válassza a Require PIN to start device (PIN-kód kérése az eszköz indításához) beállítást a Secure start-up (Biztonságos indítás) képernyőn.After tapping the device notification and confirming the existing PIN or password, choose the Require PIN to start device option on the Secure start-up screen. Ezután koppintson az eszközhöz tartozó Megfelelőség ellenőrzése gombra a Céges portál alkalmazásban.Then, tap the Check Compliance button for the device from the Company Portal app. Az eszközt ettől kezdve titkosítottként kell, hogy észlelje a program.The device should now be detected as encrypted.

      • Egyes eszközgyártók alapértelmezett PIN-kód használatával titkosítják eszközeiket a felhasználó által megadott PIN-kód helyett.Some device manufacturers encrypt their devices using a default PIN instead of the secret PIN set by the user. Az Intune az alapértelmezett PIN-kódot használó titkosítást nem biztonságosnak ismeri fel, mert ez a titkosítási módszer az eszközön lévő adatokat az eszközhöz fizikai hozzáféréssel rendelkező rosszindulatú felhasználók általi kockázatnak teszi ki.Intune recognizes encryption using the default PIN as insecure because this method of encryption can put the data on the device at risk from malicious users with physical access to the device. Ha ez a probléma, vegye fontolóra az alkalmazásvédelmi szabályzatok használatát.If this is the issue, consider using app protection policies.

Szabályzattal kapcsolatos problémákPolicy issues

Ha a megfelelőségi házirend létrehozásakor hozzákapcsolja azt egy e-mail-házirendhez, mindkét házirendet ugyanannál a felhasználónál kell üzembe helyezni, így érdemes jól megfontolni, hogy melyik házirendet melyik csoport számára helyezi üzembe.When you create a compliance policy and link it to an email policy, both policies have to be deployed to the same user, so be careful when planning which policies are deployed to which groups. A csak az egyik házirenddel rendelkező felhasználók eszközei valószínűleg nem fognak megfelelni.Users that have only one policy applied are likely to find that their devices are not compliant.

Exchange ActiveSync-problémákExchange ActiveSync issues

Egy megfelelő Android-eszköz karanténba helyezésről szóló értesítést kapCompliant Android device gets quarantine notice

  • A regisztrált és megfelelő Android-eszközök is kaphatnak karanténba helyezésről szóló értesítést a vállalati erőforrásokhoz való hozzáféréskor.An Android device that is enrolled and compliant may still get a quarantine notice when trying to access corporate resources. A Kezdés nevű hivatkozásra kattintás előtt a felhasználónak meg kell győződnie arról, hogy a vállalati portál nem volt megnyitva az erőforrásokhoz való hozzáféréskor.Before choosing the link that says Begin, the user should ensure that the company portal was not open when they tried to access the resources. A felhasználónak be kell zárnia a vállalati portált, újra meg kell próbálnia hozzáférni a vállalati erőforrásokhoz, majd ez után kell a Kezdés nevű hivatkozásra kattintania.The users should close the company portal, try again to access the resources, and then choose the Begin link.

Egy kivont eszköz továbbra is rendelkezik hozzáféréssel.Retired device continues to have access.

  • Az Exchange Online használata esetén a kivont eszközök a kivonást követően még több órán át rendelkezhetnek hozzáféréssel.When using Exchange Online, a retired device may continue to have access for several hours after retirement. Ennek az az oka, hogy az Exchange hat órán át gyorsítótárazza a hozzáférési jogosultságokat.This is because Exchange caches access rights for 6 hours. Ebben az esetben érdemes más adatvédelmi megoldást keresnie a kivont eszközökre.Consider other means of protecting data on retired devices in this scenario.

Az eszköz megfelelő és regisztrálva van az AAD-ben, de továbbra is letiltottDevice is compliant and registered with AAD but still blocked

  • Előfordul, hogy késik az Exchange ActiveSync-azonosító (EASID) átadása az AAD felé.Sometimes, provision of the Exchange ActiveSync ID (EASID) to AAD is delayed. Ennek a problémának az oka leggyakrabban a szabályozás. Várjon néhány percet, és próbálkozzon újra.A common cause of this issue is throttling, so wait a few minutes and try again.

Eszköz zárolvaDevice blocked

Előfordulhat, hogy egy eszköz feltételes hozzáférését a rendszer anélkül zárolja, hogy az eszköz aktiválási e-mailt kapna.A device may be blocked from Conditional Access without receiving an activation email.

  • Van olyan alapértelmezett Exchange-szabály, amely karanténba zár vagy blokkol eszközöket?Is there a default Exchange rule which quarantines or blocks devices? Ha egy alapértelmezett szabály blokkolja vagy karanténba zárja az eszközt, az eszköz nem tudja fogadni az aktiválási e-mailt az Exchange Connectortól.If a default rule blocks or quarantines devices, devices will not be able to receive the activation email from the Exchange Connector. Ez a rendszer kialakításából fakad.This is by design.
  • Az értesítési fiók konfigurációja megfelel az Alapkonfiguráció című részben leírtaknak?Is the notification account properly configured as described in Basic configuration?
  • Az eszköz az Intune felügyeleti konzoljában Exchange ActiveSync-eszközként jelenik meg?Is the device present in the Intune admin console as an Exchange ActiveSync device? Ha nem, akkor valószínű, hogy az eszköz felderítése sikertelen, feltehetően az Exchange Connector szinkronizálási problémája miatt.If not, it's likely that device discovery is failing, probably because of an Exchange Connector sync issue. Lásd: Az Exchange ActiveSync-eszköz nem deríthető fel az Exchange-ből.See Exchange ActiveSync device not discovered from Exchange.
  • Ellenőrizze az Exchange Connector naplófájljaiban a SendEmail műveletekkel kapcsolatos hibákat.Check the Exchange Connector logs for sendemail activity and check for errors. A keresendő parancs lehet például egy SendEmail művelet az értesítési fiókból a felhasználói fiók felé.An example of the command to search for is SendEmail from notification account to useremail.
  • Mielőtt az Exchange Connector zárolná az eszközt, aktiválási e-mailt küld.Before the Exchange Connector blocks the device, it sends the activation email. Ha az eszköz offline állapotban van, előfordulhat, hogy nem kapja meg az aktiválási e-mailt.If the device is offline, it may not receive the activation email. Ellenőrizze, hogy az eszköz e-mail-ügyfele ügyfélleküldéses módszerrel és nem lekérdezéssel fér hozzá az e-mailekhez, mert ez is okozhatja azt, hogy nem érkeznek meg.Check if the device email client has email retrieval using Push instead of Poll as this could also cause the user to miss the email. Váltson lekérdezési módra, és ellenőrizze, hogy az eszköz megkapja-e az e-mailt.Switch to Poll and see if the device receives the email.

Nem megfelelő eszköz nincs letiltvaNon-compliant device not blocked

Ha olyan eszközzel találkozik, amely nem megfelelő, mégis rendelkezik hozzáféréssel, hajtsa végre a következőket.If you encounter a device that is not compliant but continues to have access, take the following steps.

  • Tekintse át a cél- és kizárási csoportokat.Review your Target and Exclusion groups. Ha a felhasználó nem szerepel a megfelelő cél- vagy kizárási csoportban, akkor nem tiltható le.If a user isn't in the right target group or is in the exclusion group, they won’t be blocked. A rendszer csak a célcsoportban lévő felhasználók eszközeinek megfelelőségét ellenőrzi.Only devices of users in a Target group are checked for compliance.
  • Gondoskodjon az eszköz felderítéséről.Ensure the device is being discovered. Az Exchange Connector egy Exchange 2010-es CAS-kiszolgálóra mutat, a felhasználó pedig egy Exchange 2013-kiszolgálón van?Is the Exchange Connector pointing to an Exchange 2010 CAS while the user is on an Exchange 2013 server? Ebben az esetben, ha az alapértelmezett Exchange-szabály az Engedélyezés, az Intune nem észleli az eszköz kapcsolatát az Exchange szolgáltatással, még akkor sem, ha a felhasználó a célcsoportban van.In this case, if the default Exchange rule is Allow, even if the user is in the Target group, Intune can't be aware of the device's connection to Exchange.
  • Ellenőrizze az eszköz meglétét/hozzáférési állapotát az Exchange-ben:Check Device Existence/Access State in Exchange:
    • A következő PowerShell-parancsmag segítségével kérheti le az adott postaládához tartozó valamennyi mobileszköz listáját: „Get-ActiveSyncDeviceStatistics -mailbox mbx”.Use this PowerShell cmdlet to get a list of all mobile devices for a mailbox: "Get-ActiveSyncDeviceStatistics -mailbox mbx'. Ha az eszköz nem szerepel a listán, akkor nem fér hozzá az Exchange-hez.If the device isn’t listed then it isn’t accessing Exchange.
    • Ha az eszköz szerepel a listán, használja a Get-CASmailbox-identity:’upn’ | fl parancsmagot az eszköz hozzáférési állapota részletes információinak lekérdezéséhez, majd az információkat adja meg a Microsoft támogatási szolgálatának.If the device is listed, use the Get-CASmailbox -identity:’upn’ | fl cmdlet to get detailed information about its access state, and provide that information to Microsoft Support.

Támogatási jegy megnyitása előttBefore you open a support ticket

Ha ezekkel a hibaelhárítási eljárásokkal nem sikerül megoldani a problémát, előfordulhat, hogy további információt kell megadnia a Microsoft támogatási szolgálata számára, például az OWA-postaláda vagy az Exchange Connector naplófájljait.If these troubleshooting procedures don't resolve your issue, there is information that you may be asked to provide to Microsoft Support, such as OWA mailbox logs or Exchange Connector logs.

Az OWA-postaláda naplófájljainak gyűjtéseCollecting OWA mailbox logs

  1. Jelentkezzen be az OWA-n keresztül, és kattintson a jobb felső sarokban, a neve mellett található beállítások (fogaskerék) ikonra.Log on through OWA and choose the settings (gear) symbol next to your name in the upper right corner.
  2. Kattintson a Beállítások lehetőségreChoose Options
  3. Válassza a Telefon (vagy Mobileszközök) lehetőséget a bal oldali oszlopban.Choose Phone (may say Mobile Devices) in the column on the left side.
  4. A felső menüben kattintson a Mobileszközök elemre.From the top menu, choose Mobile Devices.
  5. Válassza ki az eszközét a listából, majd válassza a Naplózás megkezdése lehetőséget.Choose your device from the list and then choose Start Logging.
  6. Ha a rendszer kéri, kattintson az Igen lehetőségre az előugró párbeszédpanelen.When prompted, choose Yes on the pop-up dialog.
  7. Hajtsa végre újra a hibát okozó műveletet, hogy reprodukálja azt.Perform the action that caused the issue, so that you can reproduce it.
  8. Várjon 1-2 percet, majd lépjen vissza a telefonlistához az OWA-ban.Wait 1-2 minutes then go back to the phone list in OWA. Győződjön meg arról, hogy a listában a telefonja ki van jelölve, majd a felső menüben válassza a Napló beolvasása lehetőséget.Make sure your phone is selected in the list, and then from the top menu choose Retrieve Log.
  9. Ekkor egy mellékletet tartalmazó e-mailt kell kapnia a saját címéről.You should receive an email from yourself with an attachment. A támogatási jegy megnyitásakor küldje el az e-mail tartalmát a Microsoft támogatásnak.When you open a support ticket, provide the contents of the email to Microsoft Support.

Az Exchange Connector naplófájljaiExchange Connector logs

Általános naplófájl-információkGeneral log information

Az Exchange Connector naplófájljainak megtekintéséhez használja a Server Trace Viewer eszközt (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx).To view Exchange Connector logs use the [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx'). Ennek az eszköznek a használatához le kell töltenie a Windows Server SDK-t.This tool requires that you download the Windows Server SDK.

Megjegyzés

A naplófájlok a C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs mappában találhatók.The logs are located in C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs. A naplók a Connector0.log fájltól a Connector29.log fájlig tartó 30 naplófájlban találhatók.The logs are contained in a series of 30 log files starting with Connector0.log and stopping at Connector29.log. Miután egy naplófájlban összegyűlt 10 MB adat, a rendszer megnyitja a következőt.Logs rollover from one to another after 10MB of data has accumulated in a log. Amikor betelik a Connector29 naplófájl, a folyamat a Connector0 naplófájllal újraindul, felülírva a korábbi naplófájlokat.Once the logs get to Connector29, they will start over at Connector0 again, overwriting previous log files.

A szinkronizálási naplók kereséseLocating sync logs

  • A naplófájlokban a full sync keresőkifejezéssel kereshet teljes szinkronizálásra. A teljes szinkronizálás kezdetét a következő szöveg jelzi:Locate a full sync in the logs by searching for full sync. The beginning of a full sync will be marked by this text:

    „Handling command: Getting the mobile device list without a time filter (full sync) for users”'Handling command: Getting the mobile device list without a time filter (full sync) for users`

    A teljes szinkronizálás naplófájljának a vége így néz ki:The end of the log for a full sync looks like this:

    „Getting the mobile device list without a time filter (full sync) for 4 users completed successfully.Getting the mobile device list without a time filter (full sync) for 4 users completed successfully. Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: <Name=mymailservername>' Status: Connected','”Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: <Name=mymailservername>' Status: Connected','

  • A naplófájlokban a quick sync keresőkifejezéssel kereshet gyors (különbözeti) szinkronizálásra.Locate a quick (delta) sync in the logs by searching for quick sync.

A Get next parancs kivételeiExceptions in Get next command

Az Exchange Connector naplófájljaiban keresse meg a Get next paranccsal kapcsolatos kivételeket, és adja meg azokat a Microsoft támogatási szolgálata számára.Check the Exchange Connector logs for exceptions in Get next command, and provide these to Microsoft Support.

Részletes naplózásVerbose logging

Részletes naplózás engedélyezése:To enable verbose logging:

  1. Nyissa meg az Exchange Connector nyomkövetés-konfigurációs fájlját.Open the Exchange Connector tracing configuration file. A fájl helye: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.The file is located at: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.
  2. Keresse meg a TraceSourceLine-t a következő kulccsal: OnPremisesExchangeConnectorServiceLocate the TraceSourceLine with the following key: OnPremisesExchangeConnectorService
  3. Az alábbiak szerint módosítsa a SourceLevel csomópont értékét az alapértelmezett Warning ActivityTracing-ről Verbose ActivityTracing-re.Change the SourceLevel node value from Warning ActivityTracing (the default) to Verbose ActivityTracing, as shown below.

    OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30 OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30

További lépésekNext steps

Ha ezek a hibaelhárítási információk nem oldották meg a problémát, forduljon a Microsoft támogatási szolgálatához a Hogyan kérhet támogatást a Microsoft Intune-hoz című témakörben leírtak szerint.If this troubleshooting information didn't help you, contact Microsoft Support as described in How to get support for Microsoft Intune.