Risolvere i problemi di accesso condizionale

  • Articolo

Questo articolo descrive le operazioni da eseguire quando gli utenti non riescono a ottenere l'accesso alle risorse protette con l'accesso condizionale o quando gli utenti possono accedere alle risorse protette ma devono essere bloccati.

Con Intune e l'accesso condizionale, è possibile proteggere l'accesso ai servizi di Microsoft 365, ad esempio Exchange Online, SharePoint Online e vari altri servizi. Questa funzionalità consente di assicurarsi che solo i dispositivi registrati con Intune e conformi alle regole di accesso condizionale impostate in Intune o Microsoft Entra ID abbiano accesso alle risorse aziendali.

Requisiti per l'accesso condizionale

Per il funzionamento dell'accesso condizionale, è necessario soddisfare i requisiti seguenti:

  • Il dispositivo deve essere registrato nella gestione dei dispositivi mobili (MDM) e gestito da Intune.

  • Sia l'utente che il dispositivo devono essere conformi ai criteri di conformità Intune assegnati.

  • Per impostazione predefinita, all'utente deve essere assegnato un criterio di conformità del dispositivo. Ciò può dipendere dalla configurazione dell'impostazione Contrassegnare i dispositivi senza criteri di conformità assegnati come inImpostazioni dei criteri di conformità> del dispositivo nel portale di amministrazione Intune.

  • Exchange ActiveSync deve essere attivato nel dispositivo se l'utente usa il client di posta elettronica nativo del dispositivo anziché Outlook. Ciò si verifica automaticamente per i dispositivi iOS/iPadOS e Android Knox.

  • Per Exchange locale, l'Intune Exchange Connector deve essere configurato correttamente. Per altre informazioni, vedere Risoluzione dei problemi di Exchange Connector in Microsoft Intune.

  • Per Skype locale, è necessario configurare l'autenticazione moderna ibrida. Vedere Panoramica dell'autenticazione moderna ibrida.

È possibile visualizzare queste condizioni per ogni dispositivo nel portale di Azure e nel report sull'inventario dei dispositivi.

I dispositivi sembrano conformi, ma gli utenti sono ancora bloccati

  • Assicurarsi che all'utente sia assegnata una licenza di Intune per una valutazione della conformità appropriata.

  • Ai dispositivi Android non Knox non verrà concesso l'accesso fino a quando l'utente non fa clic sul collegamento Get Started Now nel messaggio di posta elettronica di quarantena ricevuto. Questo vale anche se l'utente è già registrato in Intune. Se l'utente non riceve il messaggio di posta elettronica con il collegamento sul telefono, può usare un PC per accedere alla posta elettronica e inoltrarlo a un account di posta elettronica nel dispositivo.

  • Quando un dispositivo viene registrato per la prima volta, la registrazione delle informazioni di conformità per un dispositivo potrebbe richiedere del tempo. Attendere alcuni minuti e riprovare.

  • Per i dispositivi iOS/iPadOS, un profilo di posta elettronica esistente potrebbe bloccare la distribuzione di un profilo di posta elettronica creato dall'amministratore Intune assegnato a tale utente, rendendo il dispositivo non conforme. In questo scenario, l'app Portale aziendale informerà l'utente che non è conforme a causa del profilo di posta elettronica configurato manualmente e richiederà all'utente di rimuovere tale profilo. Dopo che l'utente rimuove il profilo di posta elettronica esistente, il profilo di posta elettronica Intune può essere distribuito correttamente. Per evitare questo problema, indicare agli utenti di rimuovere eventuali profili di posta elettronica esistenti nel dispositivo prima della registrazione.

  • Un dispositivo potrebbe rimanere bloccato in uno stato di verifica della conformità, impedendo all'utente di avviare un altro check-in. Se si dispone di un dispositivo in questo stato:

    • Assicurarsi che il dispositivo usi la versione più recente dell'app Portale aziendale.
    • Riavviare il dispositivo.
    • Verificare se il problema persiste in reti diverse, ad esempio rete cellulare, Wi-Fi e così via.

    Se il problema persiste, contattare supporto tecnico Microsoft come descritto in Ottenere supporto in Microsoft Intune.

  • Alcuni dispositivi Android potrebbero sembrare crittografati, tuttavia l'app Portale aziendale riconosce questi dispositivi come non crittografati e li contrassegna come non conformi. In questo scenario, l'utente visualizzerà una notifica nell'app Portale aziendale che chiede di impostare un passcode di avvio per il dispositivo. Dopo aver toccato la notifica e aver confermato il PIN o la password esistente, scegliere l'opzione Richiedi PIN per avviare il dispositivo nella schermata Avvio sicuro e quindi toccare il pulsante Verifica conformità per il dispositivo dall'app Portale aziendale. Il dispositivo deve ora essere rilevato come crittografato.

    Nota

    Alcuni produttori di dispositivi crittografano i dispositivi usando un PIN predefinito anziché un PIN impostato dall'utente. Intune visualizza la crittografia che usa un PIN predefinito come non sicuro e contrassegna tali dispositivi come non conformi fino a quando l'utente non crea un nuovo PIN non predefinito.

  • Un dispositivo Android registrato e conforme potrebbe comunque essere bloccato e ricevere un avviso di quarantena quando si tenta per la prima volta di accedere alle risorse aziendali. In questo caso, assicurarsi che l'app Portale aziendale non sia in esecuzione, quindi selezionare il collegamento Inizia ora nel messaggio di posta elettronica di quarantena per attivare la valutazione. Questa operazione deve essere eseguita solo quando l'accesso condizionale è abilitato per la prima volta.

  • Un dispositivo Android registrato potrebbe richiedere all'utente "Nessun certificato trovato" e non concedere l'accesso alle risorse di Microsoft 365. L'utente deve abilitare l'opzione Abilita accesso al browser nel dispositivo registrato come indicato di seguito:

    1. Aprire l'app Portale aziendale.
    2. Passare alla pagina Impostazioni dal triplo punto (...) o dal pulsante del menu hardware.
    3. Selezionare il pulsante Abilita accesso al browser .
    4. Nel browser Chrome disconnettersi da Microsoft 365 e riavviare Chrome.

  • Le applicazioni desktop devono usare metodi di autenticazione moderni che si basano su un prompt di autenticazione visualizzato in un Web browser o in un gestore di autenticazione. Gli script che inviano direttamente le password possono fornire la prova dell'identità di un dispositivo solo se usano un gestore di autenticazione.

I dispositivi sono bloccati e non viene ricevuto alcun messaggio di posta elettronica di quarantena

  • Verificare che il dispositivo sia presente nella console di amministrazione Intune come dispositivo Exchange ActiveSync. In caso contrario, è probabile che l'individuazione del dispositivo abbia esito negativo, probabilmente a causa di un problema di Exchange Connector. Per altre informazioni, vedere Risolvere i problemi relativi alla Intune Exchange Connector.

  • Prima che Exchange Connector blocchi un dispositivo, invia un messaggio di posta elettronica di attivazione (quarantena). Se il dispositivo è offline, potrebbe non ricevere il messaggio di posta elettronica di attivazione.

  • Controllare se il client di posta elettronica nel dispositivo è configurato per recuperare la posta elettronica usando Push anziché Poll. In tal caso, l'utente potrebbe perdere il messaggio di posta elettronica. Passare a Polling e verificare se il dispositivo riceve il messaggio di posta elettronica.

I dispositivi non sono conformi, ma gli utenti non sono bloccati

  • Per i PC Windows, l'accesso condizionale blocca solo l'app di posta elettronica nativa, Office 2013 con autenticazione moderna o Office 2016. Il blocco delle versioni precedenti di Outlook o di tutte le app di posta elettronica nei PC Windows richiede configurazioni di registrazione e Active Directory Federation Services del dispositivo (AD FS) Microsoft Entra come descritto in Procedura: Bloccare l'autenticazione legacy per Microsoft Entra ID con accesso condizionale.

  • Se il dispositivo viene cancellato o ritirato in modo selettivo da Intune, potrebbe continuare ad avere accesso per diverse ore dopo il ritiro. Questo perché Exchange memorizza nella cache i diritti di accesso per sei ore. Prendere in considerazione altri mezzi per proteggere i dati nei dispositivi ritirati in questo scenario.

  • I dispositivi Windows registrati in blocco e registrati in Surface Hub possono supportare l'accesso condizionale quando un utente a cui viene assegnata una licenza per Intune ha eseguito l'accesso. Tuttavia, è necessario distribuire i criteri di conformità ai gruppi di dispositivi (non ai gruppi di utenti) per una valutazione corretta.

  • Controllare le assegnazioni per i criteri di conformità e i criteri di accesso condizionale. Se un utente non è nel gruppo a cui sono assegnati i criteri o si trova in un gruppo escluso, l'utente non viene bloccato. Vengono controllati solo i dispositivi per gli utenti di un gruppo assegnato.

Il dispositivo non conforme non è bloccato

Se un dispositivo non è conforme ma continua ad avere accesso, eseguire le azioni seguenti.

  • Esaminare i gruppi di destinazione ed esclusione. Se un utente non è nel gruppo di destinazione corretto o si trova nel gruppo di esclusione, non verrà bloccato. Solo i dispositivi degli utenti in un gruppo di destinazione vengono controllati per la conformità.

  • Assicurarsi che il dispositivo venga individuato. Exchange Connector punta a un server CAS di Exchange 2010 mentre l'utente si trova in un server Exchange 2013? In questo caso, se la regola di Exchange predefinita è Consenti, anche se l'utente si trova nel gruppo Di destinazione, Intune non può essere a conoscenza della connessione del dispositivo a Exchange.

  • Controllare lo stato di esistenza/accesso del dispositivo in Exchange:

    • Usare questo cmdlet di PowerShell per ottenere un elenco di tutti i dispositivi mobili per una cassetta postale: 'Get-MobileDeviceStatistics -mailbox mbx'. Se il dispositivo non è elencato, non accede a Exchange. Per altre informazioni, vedere la documentazione di Exchange PowerShell.

    • Se il dispositivo è elencato, usare 'Get-CASmailbox -identity:'upn' | il cmdlet fl' per ottenere informazioni dettagliate sullo stato di accesso e fornire tali informazioni a supporto tecnico Microsoft. Per altre informazioni, vedere la documentazione di Exchange PowerShell.

Errori di accesso con l'accesso condizionale basato su app

Intune criteri di protezione delle app consentono di proteggere i dati aziendali a livello di app, anche nei dispositivi che non si gestiscono in Intune. Se gli utenti non possono accedere ad applicazioni protette, potrebbe esserci un problema con i criteri di accesso condizionale basati su app. Per indicazioni dettagliate, vedere Risoluzione dei problemi di accesso condizionale .