条件付きアクセスのトラブルシューティング

この記事では、ユーザーが条件付きアクセスで保護されたリソースへのアクセスに失敗した場合、またはユーザーが保護されたリソースにアクセスできますが、ブロックする必要がある場合の処理について説明します。

Intune と条件付きアクセスを使用すると、次のようなサービスへのアクセスを保護できます。

  • Microsoft 365 オンライン、Exchange Online、SharePoint オンラインなど、Skype for Business サービス
  • オンプレミスの Exchange
  • その他のさまざまなサービス

この機能を使用すると、Intune に登録され、Intune 管理コンソールまたは Azure Active Directory で設定した条件付きアクセス ルールに準拠しているデバイスだけが会社のリソースにアクセスできます。

条件付きアクセスの要件

条件付きアクセスを機能するには、次の要件を満たす必要があります。

  • デバイスは MDM に登録され、Intune によって管理されている必要があります。

  • ユーザーとデバイスの両方が、割り当てられた Intune コンプライアンス ポリシーに準拠している必要があります。

  • 既定では、ユーザーにデバイス コンプライアンス ポリシーが割り当てられている必要があります。 これは、Intune 管理ポータルの [デバイス コンプライアンス ポリシー] の下にある[コンプライアンス ポリシーが割り当てられていないデバイスをマーク設定 > 構成によって異なります。

  • Exchange ActiveSyncがデバイスではなく、デバイスのネイティブ メール クライアントを使用している場合は、デバイスでアクティブ化するOutlook。 これは、iOS/iPadOS デバイスと Android Knox デバイスで自動的に発生します。

  • オンプレミス の場合はExchange Intune Exchangeコネクタを適切に構成する必要があります。 詳細については、「Exchange コネクタのトラブルシューティング」を参照Microsoft Intune。

  • オンプレミス認証の場合Skypeハイブリッドモダン認証を構成する必要があります。 「 ハイブリッドモダン認証の概要」を参照してください

これらの条件は、Azure portal およびデバイス インベントリ レポートでデバイスごとに表示できます。

デバイスは準拠して表示されますが、ユーザーは引き続きブロックされます

  • 適切なコンプライアンス評価のためにユーザーに Intune ライセンスが割り当てられているか確認します。

  • Knox 以外の Android デバイスは、ユーザーが受信した検疫メールの[今すぐはじめに] リンクをクリックするまでアクセスを許可されません。 これは、ユーザーが Intune に既に登録されている場合でも適用されます。 ユーザーが自分の電話でリンク付きメールを取得しない場合は、PC を使用して自分のメールにアクセスし、デバイス上の電子メール アカウントに転送できます。

  • デバイスが最初に登録された場合、デバイスに対してコンプライアンス情報が登録されるのに時間がかかる場合があります。 数分待って、もう一度やり直してください。

  • iOS/iPadOS デバイスの場合、既存の電子メール プロファイルによって、そのユーザーに割り当てられた Intune 管理者が作成した電子メール プロファイルの展開がブロックされ、デバイスが準拠しない可能性があります。 このシナリオでは、ポータル サイト アプリは、手動で構成された電子メール プロファイルのために準拠していないユーザーに通知し、ユーザーにプロファイルを削除するように求めるメッセージを表示します。 ユーザーが既存の電子メール プロファイルを削除すると、Intune の電子メール プロファイルを正常に展開できます。 この問題を回避するには、登録する前に、デバイス上の既存のメール プロファイルを削除するようにユーザーに指示します。

  • デバイスがチェック コンプライアンス状態でスタックし、ユーザーが別のチェックインを開始しなくなる可能性があります。 この状態のデバイスがある場合:

    • デバイスが最新バージョンのアプリを使用ポータル サイトします。
    • デバイスを再起動します。
    • 異なるネットワーク (携帯電話、Wi-Fi など) で問題が解決しないかどうかを確認します。

    問題が解決しない場合は、「サポートを受け取る」の説明に従って Microsoftサポートに連絡Microsoft エンドポイント マネージャー。

  • 一部の Android デバイスは暗号化されている場合があります。ただし、ポータル サイトアプリは、これらのデバイスを暗号化されていないと認識し、非準拠としてマークします。 このシナリオでは、デバイスの起動パスコードを設定ポータル サイト通知がアプリに表示されます。 通知をタップして既存の PIN またはパスワードを確認したら、[セキュリティで保護された起動] 画面で[デバイスを起動する PIN を要求する] オプションを選択し、ポータル サイト アプリからデバイスの [コンプライアンスの確認] ボタンをタップします。 これで、デバイスが暗号化として検出される必要があります。

    注意

    一部のデバイスメーカーは、ユーザーが設定した PIN ではなく、既定の PIN を使用してデバイスを暗号化します。 Intune は、既定の PIN を安全でないとして使用する暗号化を表示し、ユーザーが新しい既定以外の PIN を作成するまで、それらのデバイスを非準拠としてマークします。

  • 登録および準拠している Android デバイスは、企業のリソースに最初にアクセスしようとするときにブロックされ、検疫通知を受け取る場合があります。 この問題が発生した場合は、ポータル サイトアプリが実行されていないか確認してから、検疫メールの [はじめに すぐ] リンクを選択して評価をトリガーします。 これは、条件付きアクセスが最初に有効になっている場合にのみ実行する必要があります。

  • 登録されている Android デバイスでは、ユーザーに "証明書が見つかりません" というメッセージが表示され、リソースへのアクセスMicrosoft 365があります。 ユーザーは、次のように登録 されているデバイスで [ブラウザー アクセスを有効にする] オプションを有効にする必要があります。

    1. アプリを開ポータル サイトします。
    2. トリプル ドット (.) またはハードウェア メニュー ボタンから [設定] ページに移動します。
    3. [ブラウザー アクセス を有効にする] ボタンを 選択します。
    4. Chrome ブラウザーで、Chrome からサインアウトMicrosoft 365、Chrome を再起動します。

デバイスがブロックされ、検疫メールが受信されません

  • Intune 管理コンソールにデバイスがデバイスとして存在Exchange ActiveSyncします。 検出されていない場合は、デバイスの検出が失敗している可能性があります(おそらく、コネクタの問題Exchange可能性があります。 詳細については、「Intune Exchange コネクタのトラブルシューティング」を参照してください

  • デバイスをExchangeする前に、デバイスはライセンス認証 (検疫) メールを送信します。 デバイスがオフラインの場合は、ライセンス認証メールを受信しない可能性があります。

  • デバイス上の電子メール クライアントが、ポーリングではなく Push を使用 して電子メール を取得するように構成されていることを確認 します。 その場合、ユーザーが電子メールを見逃す可能性があります。 [ポーリング] に切り 替えて、デバイスが電子メールを受信した場合に確認します。

デバイスは準拠していないが、ユーザーがブロックされない

  • PC Windows条件付きアクセスは、ネイティブメール アプリ 、Office 2013 とモダン認証、または 2016 年Officeブロックします。 Windows PC 上の以前のバージョンの Outlook またはすべてのメール アプリをブロックするには、条件付きアクセスを使用して Azure AD デバイス登録と Active Directory フェデレーション サービス (AD FS AD)の構成を使用する必要があります。

  • デバイスが Intune から選択的にワイプまたは廃止された場合は、退職後も数時間アクセスできる可能性があります。 これは、ユーザーが 6 時間Exchangeアクセス権をキャッシュする理由です。 このシナリオでは、廃止されたデバイス上のデータを保護する他の手段を検討してください。

  • Surface Hub、一括登録、および DEM Windows デバイスは、Intune のライセンスが割り当てられているユーザーがサインインするときに条件付きアクセスをサポートできます。 ただし、適切な評価を行う場合は、コンプライアンス ポリシーをデバイス グループ (ユーザー グループではなく) に展開する必要があります。

  • コンプライアンス ポリシーと条件付きアクセス ポリシーの割り当てを確認します。 ポリシーが割り当てられているグループにユーザーが含られていない場合、または除外されているグループ内にある場合、ユーザーはブロックされません。 割り当てられたグループ内のユーザーのデバイスだけがコンプライアンスをチェックされます。

非準拠デバイスがブロックされない

デバイスが準拠していないが、引き続きアクセスできる場合は、次の操作を実行します。

  • ターゲット グループと除外グループを確認します。 ユーザーが適切なターゲット グループに含めなかったり、除外グループに含めなかったりした場合、ユーザーはブロックされません。 ターゲット グループ内のユーザーのデバイスだけがコンプライアンスをチェックされます。

  • デバイスが検出されているのを確認します。 ユーザーが Exchange Exchange 2013 サーバー上にある間に、Exchange コネクタは 2010 CAS を指Exchangeですか? この場合、既定の Exchange ルールが [許可] の場合、ユーザーがターゲット グループに含まれる場合でも、Intune はデバイスの Exchange への接続を認識できません。

  • [デバイスの存在/アクセス状態] を次のExchange。

    • この PowerShell コマンドレットを使用して、メールボックスのすべてのモバイル デバイスの一覧を取得します。'Get-ActiveSyncDeviceStatistics -mailbox mbx'。 デバイスが一覧に表示されていない場合、デバイスはデバイスにアクセスExchange。

    • デバイスが一覧表示されている場合は、'Get-CASmailbox -identity:'upn' を使用|fl' コマンドレットを使用して、アクセス状態に関する詳細情報を取得し、その情報を Microsoft サポートに提供します。

次の手順

この情報で問題が生じなかった場合は、このページでサポートを受Microsoft エンドポイント マネージャー。