Rozwiązywanie problemów z dostępem warunkowymTroubleshoot conditional access

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Zazwyczaj użytkownik próbuje uzyskać dostęp do poczty e-mail lub programu SharePoint i otrzymuje monit o rejestrację.Typically, a user is trying to access email or SharePoint and receives a prompt to enroll. Ten monit doprowadzi użytkownika do portalu firmy.That prompt will lead the user to the company portal.

W tym temacie opisano, co należy zrobić, gdy użytkownicy nie mogą uzyskać dostępu do zasobów za pomocą dostępu warunkowego usługi Intune.This topic describes what to do when your users fail to get access to resources through Intune conditional access.

Podstawy pomyślnego działania dostępu warunkowegoThe basics for success in conditional access

Aby dostęp warunkowy działał, niezbędne są następujące warunki:In order to conditional access to work, you need the following conditions:

  • Urządzenie musi być zarządzane przez usługę IntuneThe device must be managed by Intune
  • Urządzenie musi zostać zarejestrowane w usłudze Azure Active Directory (AAD).The device must be registered with Azure Active Directory (AAD) . W normalnych okolicznościach rejestracja odbywa się automatycznie podczas rejestracji w usłudze IntuneUnder normal circumcstances this registration takes place automatically during Intune enrollment
  • Urządzenie musi być zgodne z zasadami zgodności usługi Intune dla urządzenia i jego użytkownika.The device must be compliant with your Intune compliance policies, for the device, and for the user of the device. Jeśli nie obowiązują zasady zgodności, wystarczy rejestracja w usłudze Intune.If there are no compliance policies, Intune enrollment is sufficient.
  • Na urządzeniu musi być aktywowany program Exchange ActiveSync, jeśli użytkownik pobiera pocztę za pomocą natywnego klienta poczty, a nie za pomocą programu Outlook.Exchange ActiveSync must be activated on the device if the user is retrieving mail through the device's native mail client rather than through Outlook. Dzieje się to automatycznie w przypadku urządzeń z systemem iOS, Windows Phone i Android/KNOX Standard.This happens automatically for iOS, Windows Phone and Android/KNOX Standard devices.
  • Program Intune Exchange Connector musi być prawidłowo skonfigurowany.Your Intune Exchange Connector should be properly configured. Więcej informacji można znaleźć w artykule Rozwiązywanie problemów z programem Exchange Connector w usłudze Microsoft Intune.See Troubleshooting the Exchange Connector in Microsoft Intune for more information.

Te warunki można wyświetlić dla każdego urządzenia w portalu zarządzania Azure i w raporcie ze spisu urządzeń.These conditions can be viewed for each device in the Azure Management Portal and in the device inventory report.

Problemy dotyczące rejestracjiEnrollment issues

  • Urządzenie nie jest zarejestrowane, więc rejestracja rozwiąże problem.The device isn't enrolled, so enrollment will resolve the issue.
  • Użytkownik zarejestrował urządzenie, ale dołączanie w miejscu pracy nie powiodło się.The user enrolled the device, but the workplace join failed. Użytkownik powinien zaktualizować rejestrację w portalu firmy.The user should update the enrollment from the company portal.

Problemy ze zgodnościąCompliance issues

  • Urządzenie nie jest zgodne z zasadami usługi Intune.The device is not compliant with Intune policy. Typowymi problemami są wymagania dotyczące szyfrowania i hasła.Common issues are encryption and password requirements. Użytkownik zostanie przekierowany do portalu firmy, w którym może skonfigurować swoje urządzenie tak, aby było zgodne.The user will be redirected to the company portal, where they can configure their device to be compliant.
  • Może upłynąć trochę czasu, zanim informacje o zgodności zostaną zarejestrowane dla urządzenia.It may take some time for compliance information to be registered for a device. Odczekaj kilka minut i spróbuj ponownie.Wait a few minutes and try again.
  • Urządzenia z systemem iOS:For iOS devices:

    • Istniejący profil e-mail utworzony przez użytkownika blokuje wdrożenie profilu utworzonego przez administratora usługi Intune.An existing email profile created by the user will block the deployment of an Intune admin-created profile. Jest to powszechny problem, ponieważ użytkownicy systemu iOS zwykle najpierw tworzą profil poczty e-mail, a potem rejestrują urządzenie.This is a common problem as iOS users will typically create an email profile, then enroll. Portal firmy poinformuje użytkownika, że nie urządzenie nie jest zgodne z powodu ręcznie skonfigurowanego profilu poczty e-mail i wyświetli monit o usunięcie tego profilu. Użytkownik powinien usunąć swój profil poczty e-mail, aby umożliwić wdrożenie profilu z usługi Intune.The company portal will inform the user that they are not compliant due to their manually-configured email profile, and will prompt the user to remove that profile.The user should remove their email profile so that the Intune profile can be deployed. Aby uniknąć problemu, poinstruuj użytkowników, aby dokonali rejestracji bez instalowana profilu poczty e-mail i pozwolili usłudze Intune na wdrożenie profilu.To prevent the problem instruct your users to enroll without installing an email profile and to allow Intune to deploy the profile.
    • Urządzenie z systemem iOS może zostać zablokowane w stanie sprawdzania zgodności, co uniemożliwia zainicjowanie innego ewidencjonowania użytkownika.An iOS device may get stuck in a checking-compliance state, preventing the user from initiating another check-in. Ponowne uruchomienie portalu firmy może naprawić ten problem, a stan zgodności będzie odpowiadał stanowi urządzenia w usłudze Intune.Restarting the company portal may fix this, and the compliance state will reflect the device state in Intune. Po pobraniu wszystkich danych z synchronizacji urządzenia sprawdzanie zgodności trwa bardzo krótko — średnio pół sekundy.After all of the data is collected from a device sync the compliance check is, fast, less than half a second on average.

      Zazwyczaj przyczyną pozostawania urządzeń w tym stanie są problemy z połączeniem z usługą lub długi czas trwania synchronizacji.Typically, the reason devices stay in this state is because they are having trouble connecting to the service or the sync is taking a long time. Jeśli problem będzie nadal występował w różnych konfiguracjach sieci (komórkowych, Wi-Fi, VPN) pomimo ponownego uruchomienia urządzeń i po sprawdzeniu aktualności dostawcy SSP na urządzeniu, należy skontaktować się z pomocą techniczną firmy Microsoft zgodnie z opisem w artykule Jak uzyskać pomoc techniczną dla usługi Microsoft Intune.If the problem persists on different network configurations (cellular, Wi-Fi, VPN), through device restarts, and after verifying that the SSP is up-to-date on the device, contact Microsoft Support as described in How to get support for Microsoft Intune.

  • Urządzenia z systemem Android:For Android devices:

    • Niektóre urządzenia z systemem Android mogą być zaszyfrowane, ale aplikacja Portal firmy rozpoznaje je jako niezaszyfrowane.Certain Android devices may seem to be encrypted, but the Company Portal app recognizes these devices as not encrypted.

      • W przypadku urządzeń w tym stanie wymagane jest, aby użytkownik ustawił bezpieczny startowy kod dostępu.Devices that are in this state require the user to set a secure start-up passcode. W aplikacji Portal firmy zostanie wyświetlone powiadomienie dotyczące urządzenia z prośbą o ustawienie startowego kodu dostępu.The user will see a device notification from the Company Portal app asking to set a start-up passcode for the device. Po naciśnięciu powiadomienia i potwierdzeniu istniejącego numeru PIN lub hasła wybierz opcję Wymagaj numeru PIN do uruchomienia urządzenia na ekranie Bezpieczny start.After tapping the device notification and confirming the existing PIN or password, choose the Require PIN to start device option on the Secure start-up screen. Następnie naciśnij przycisk Sprawdź zgodność dla urządzenia z aplikacji Portal firmy.Then, tap the Check Compliance button for the device from the Company Portal app. Urządzenie powinno teraz zostać wykryte jako zaszyfrowane.The device should now be detected as encrypted.

      • Niektórzy producenci urządzeń szyfrują urządzenia przy użyciu domyślnego numeru PIN, a nie tajnego numeru PIN ustawionego przez użytkownika.Some device manufacturers encrypt their devices using a default PIN instead of the secret PIN set by the user. Usługa Intune rozpoznaje szyfrowanie przy użyciu domyślnego numeru PIN w formie niezabezpieczonej, ponieważ ta metoda szyfrowania może spowodować, że dane na urządzeniu będą narażone na zagrożenie ze strony złośliwych użytkowników mających fizyczny dostęp do urządzenia.Intune recognizes encryption using the default PIN as insecure because this method of encryption can put the data on the device at risk from malicious users with physical access to the device. Jeśli wystąpi taki problem, rozważ użycie zasad ochrony aplikacji.If this is the issue, consider using app protection policies.

Problemy dotyczące zasadPolicy issues

W przypadku tworzenia zasad zgodności i łączenia ich z zasadami poczty e-mail obie zasady muszą być wdrożone dla tego samego użytkownika, więc należy uważać podczas planowania, które zasady są wdrażane dla których grup.When you create a compliance policy and link it to an email policy, both policies have to be deployed to the same user, so be careful when planning which policies are deployed to which groups. Użytkownicy, dla których stosowane są tylko jedne zasady, prawdopodobnie stwierdzą, że ich urządzenia nie są zgodne.Users that have only one policy applied are likely to find that their devices are not compliant.

Problemy z programem Exchange ActiveSyncExchange ActiveSync issues

Zgodne urządzenia Android otrzymują powiadomienia o kwarantannieCompliant Android device gets quarantine notice

  • Urządzenie Android, które jest zarejestrowane i zgodne, może nadal otrzymywać powiadomienie o kwarantannie podczas próby uzyskania dostępu do zasobów firmy.An Android device that is enrolled and compliant may still get a quarantine notice when trying to access corporate resources. Przed wybraniem linku Rozpocznij użytkownik powinien upewnić się, że portal firmy nie był otwarty podczas próby uzyskania dostępu do zasobów.Before choosing the link that says Begin, the user should ensure that the company portal was not open when they tried to access the resources. Użytkownicy powinni zamknąć portal firmy, ponownie spróbować uzyskać dostęp do zasobów, a następnie wybrać link Rozpocznij.The users should close the company portal, try again to access the resources, and then choose the Begin link.

Wycofane urządzenie w dalszym ciągu ma dostęp.Retired device continues to have access.

  • W przypadku korzystania z usługi Exchange Online wycofane urządzenie może nadal mieć dostęp przez kilka godzin po wycofaniu.When using Exchange Online, a retired device may continue to have access for several hours after retirement. Jest to spowodowane tym, że program Exchange buforuje prawa dostępu przez 6 godzin.This is because Exchange caches access rights for 6 hours. Należy rozważyć inne sposoby ochrony danych na wycofanych urządzeniach w tym scenariuszu.Consider other means of protecting data on retired devices in this scenario.

Urządzenie jest zgodne i zarejestrowane w usłudze AAD, ale nadal jest zablokowaneDevice is compliant and registered with AAD but still blocked

  • Czasami udostępnianie identyfikatora ActiveSync programu Exchange (EASID) usłudze AAD może być opóźnione.Sometimes, provision of the Exchange ActiveSync ID (EASID) to AAD is delayed. Typową przyczyną tego problemu jest ograniczanie, więc odczekaj kilka minut i spróbuj ponownie.A common cause of this issue is throttling, so wait a few minutes and try again.

Urządzenie zablokowaneDevice blocked

Dostęp warunkowy urządzenia może zostać zablokowany bez otrzymania wiadomości e-mail o aktywacji.A device may be blocked from Conditional Access without receiving an activation email.

  • Czy występuje domyślna reguła programu Exchange, która poddaje urządzenia kwarantannie lub blokuje je?Is there a default Exchange rule which quarantines or blocks devices? Jeśli domyślna reguła blokuje urządzenia lub poddaje je kwarantannie, urządzenia nie mogą otrzymać wiadomości e-mail o aktywacji z programu Exchange Connector.If a default rule blocks or quarantines devices, devices will not be able to receive the activation email from the Exchange Connector. To jest celowe.This is by design.
  • Czy konto powiadomień jest prawidłowo skonfigurowane, zgodnie z opisem w konfiguracji podstawowej?Is the notification account properly configured as described in Basic configuration?
  • Czy urządzenie jest obecne w konsoli administracyjnej usługi Intune jako urządzenie Exchange ActiveSync?Is the device present in the Intune admin console as an Exchange ActiveSync device? Jeśli nie, prawdopodobnie odnajdywanie urządzeń kończy się niepowodzeniem, zazwyczaj z powodu problemu z synchronizacją programu Exchange Connector.If not, it's likely that device discovery is failing, probably because of an Exchange Connector sync issue. Patrz Urządzenie z programem Exchange ActiveSync nie zostało wykryte za pomocą programu Exchange.See Exchange ActiveSync device not discovered from Exchange.
  • Sprawdź dzienniki programu Exchange Connector pod kątem działań związanych z wysyłaniem wiadomości e-mail i sprawdzaniem błędów.Check the Exchange Connector logs for sendemail activity and check for errors. Przykład polecenia do wyszukiwania to SendEmail z konta powiadomień na konto użytkownika.An example of the command to search for is SendEmail from notification account to useremail.
  • Przed zablokowaniem urządzenia przez program Exchange Connector wysyła on wiadomość e-mail dotyczącą aktywacji.Before the Exchange Connector blocks the device, it sends the activation email. Jeśli urządzenie jest w trybie offline, może nie otrzymać wiadomości e-mail dotyczącej aktywacji.If the device is offline, it may not receive the activation email. Sprawdź, czy klient poczty e-mail urządzenia został skonfigurowany do pobierania poczty w trybie wypychania zamiast sondowania, ponieważ może to spowodować przeoczenie wiadomości e-mail przez użytkownika.Check if the device email client has email retrieval using Push instead of Poll as this could also cause the user to miss the email. Zmień tryb na sondowanie i sprawdź, czy urządzenie otrzyma wiadomość e-mail.Switch to Poll and see if the device receives the email.

Niezgodne urządzenie nie zostało zablokowaneNon-compliant device not blocked

W przypadku napotkania niezgodnego urządzenia, które nadal posiada dostęp, należy wykonać następujące działania.If you encounter a device that is not compliant but continues to have access, take the following steps.

  • Sprawdź grupy docelowe i wykluczenia.Review your Target and Exclusion groups. Jeśli użytkownik nie znajduje się w odpowiedniej grupie docelowej lub znajduje się w grupie wykluczenia, nie zostanie zablokowany.If a user isn't in the right target group or is in the exclusion group, they won’t be blocked. Tylko urządzenia użytkowników w grupie docelowej są sprawdzane pod kątem zgodności.Only devices of users in a Target group are checked for compliance.
  • Upewnij się, że urządzenie jest wykrywane.Ensure the device is being discovered. Czy program Exchange Connector wskazuje urzędy certyfikacji Exchange 2010, gdy użytkownik korzysta z serwera programu Exchange 2013?Is the Exchange Connector pointing to an Exchange 2010 CAS while the user is on an Exchange 2013 server? W tym przypadku, jeśli domyślna reguła programu Exchange to Zezwalaj, nawet jeśli użytkownik znajduje się w grupie docelowej, usługa Intune nie monitoruje połączenia urządzenia z usługą Exchange.In this case, if the default Exchange rule is Allow, even if the user is in the Target group, Intune can't be aware of the device's connection to Exchange.
  • Sprawdź występowanie urządzenia/stan dostępu w programie Exchange:Check Device Existence/Access State in Exchange:
    • Użyj następującego polecenia cmdlet programu PowerShell, aby wyświetlić listę wszystkich urządzeń przenośnych skrzynki pocztowej: „Get-ActiveSyncDeviceStatistics -mailbox mbx”.Use this PowerShell cmdlet to get a list of all mobile devices for a mailbox: "Get-ActiveSyncDeviceStatistics -mailbox mbx'. Jeśli urządzenia nie ma na liście, nie ma ono dostępu do programu Exchange.If the device isn’t listed then it isn’t accessing Exchange.
    • Jeśli urządzenie znajduje się na liście, użyj polecenia cmdlet „Get-CASmailbox -identity:’upn’ | fl”, aby uzyskać szczegółowe informacje na temat stanu jego dostępu, oraz przekaż te informacje do pomocy technicznej firmy Microsoft.If the device is listed, use the Get-CASmailbox -identity:’upn’ | fl cmdlet to get detailed information about its access state, and provide that information to Microsoft Support.

Przed otwarciem biletu pomocy technicznejBefore you open a support ticket

Jeśli powyższe procedury nie rozwiążą problemu, pomoc techniczna firmy Microsoft może poprosić o podanie dodatkowych informacji, takich jak dzienniki skrzynek pocztowych usługi OWA i programu Exchange Connector.If these troubleshooting procedures don't resolve your issue, there is information that you may be asked to provide to Microsoft Support, such as OWA mailbox logs or Exchange Connector logs.

Zbieranie dzienników skrzynki pocztowej usługi OWACollecting OWA mailbox logs

  1. Zaloguj się za pośrednictwem usługi OWA i wybierz symbol ustawień (koło zębate) obok swojej nazwy w prawym górnym rogu.Log on through OWA and choose the settings (gear) symbol next to your name in the upper right corner.
  2. Wybierz pozycję Opcje.Choose Options
  3. Wybierz pozycję Telefon (Urządzenie przenośne) w kolumnie po lewej stronie.Choose Phone (may say Mobile Devices) in the column on the left side.
  4. Z górnego menu wybierz pozycję Urządzenia przenośne.From the top menu, choose Mobile Devices.
  5. Wybierz swoje urządzenie z listy, a następnie wybierz pozycję Rozpocznij rejestrowanie.Choose your device from the list and then choose Start Logging.
  6. Po wyświetleniu monitu wybierz Tak w wyskakującym oknie dialogowym.When prompted, choose Yes on the pop-up dialog.
  7. Wykonaj akcję, która spowodowała problem, aby go odtworzyć.Perform the action that caused the issue, so that you can reproduce it.
  8. Poczekaj 1-2 minuty, a następnie wróć do listy telefonów w programie OWA.Wait 1-2 minutes then go back to the phone list in OWA. Upewnij się, że Twój telefon jest zaznaczony na liście i wybierz z górnego menu polecenie Pobierz dziennik.Make sure your phone is selected in the list, and then from the top menu choose Retrieve Log.
  9. Otrzymasz od samego siebie wiadomość e-mail z załącznikiem.You should receive an email from yourself with an attachment. Po otwarciu biletu pomocy technicznej udostępnij zawartość wiadomości e-mail pomocy technicznej firmy Microsoft.When you open a support ticket, provide the contents of the email to Microsoft Support.

Dzienniki programu Exchange ConnectorExchange Connector logs

Ogólne informacje o dziennikachGeneral log information

Aby wyświetlić dzienniki programu Exchange Connector, użyj narzędzia do przeglądania danych śledzenia serwera Server Trace Viewer Tool.To view Exchange Connector logs use the [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx'). To narzędzie wymaga pobrania zestawu SDK systemu Windows Server.This tool requires that you download the Windows Server SDK.

Uwaga

Dzienniki znajdują się w folderze C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs.The logs are located in C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs. Dzienniki są grupowane w serie 30 plików dzienników, od Connector0.log do Connector29.log.The logs are contained in a series of 30 log files starting with Connector0.log and stopping at Connector29.log. Dzienniki są zmieniane po zebraniu w jednym dzienniku 10 MB danych.Logs rollover from one to another after 10MB of data has accumulated in a log. Po zapełnieniu pliku Connector29 następuje powrót do pliku Connector0 i zastąpienie starszych plików dzienników.Once the logs get to Connector29, they will start over at Connector0 again, overwriting previous log files.

Lokalizowanie dzienników synchronizacjiLocating sync logs

  • Pełną synchronizację w dziennikach można zlokalizować, wyszukując termin full sync. Początek synchronizacji jest oznaczony następującym zdaniem:Locate a full sync in the logs by searching for full sync. The beginning of a full sync will be marked by this text:

    'Handling command: Getting the mobile device list without a time filter (full sync) for users`'Handling command: Getting the mobile device list without a time filter (full sync) for users`

    Koniec dziennika pełnej synchronizacji wygląda następująco:The end of the log for a full sync looks like this:

    Getting the mobile device list without a time filter (full sync) for 4 users completed successfully.Getting the mobile device list without a time filter (full sync) for 4 users completed successfully. Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: <Name=mymailservername>' Status: Connected','Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: <Name=mymailservername>' Status: Connected','

  • Szybką synchronizację (delta) można odnaleźć w dziennikach, wyszukując termin quick sync.Locate a quick (delta) sync in the logs by searching for quick sync.

Wyjątki w poleceniu Get nextExceptions in Get next command

Sprawdź dzienniki programu Exchange Connector pod katem wyjątków w poleceniu Get next i przekaż je pomocy technicznej firmy Microsoft.Check the Exchange Connector logs for exceptions in Get next command, and provide these to Microsoft Support.

Pełne rejestrowanieVerbose logging

Aby włączyć pełne rejestrowanie:To enable verbose logging:

  1. Otwórz plik konfiguracji śledzenia programu Exchange Connector.Open the Exchange Connector tracing configuration file. Ścieżka pliku jest następująca: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.The file is located at: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.
  2. Odszukaj wiersz TraceSourceLine z następującym kluczem: OnPremisesExchangeConnectorServiceLocate the TraceSourceLine with the following key: OnPremisesExchangeConnectorService
  3. Zmień wartość węzła SourceLevel z Warning ActivityTracing (wartość domyślna) na Verbose ActivityTracing, jak pokazano poniżej.Change the SourceLevel node value from Warning ActivityTracing (the default) to Verbose ActivityTracing, as shown below.

    OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30 OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30

Następne krokiNext steps

Jeśli te informacje dotyczące rozwiązywania problemów nie pomogły, skontaktuj się z pomocą techniczną firmy Microsoft zgodnie z opisem w temacie How to get support for Microsoft Intune (Jak uzyskać pomoc techniczną dotyczącą usługi Microsoft Intune).If this troubleshooting information didn't help you, contact Microsoft Support as described in How to get support for Microsoft Intune.