Rozwiązywanie problemów z wdrażaniem zasad ochrony aplikacji w Intune

Ten artykuł ułatwia administratorom IT zrozumienie i rozwiązywanie problemów podczas stosowania zasad ochrony aplikacji w Microsoft Intune. Postępuj zgodnie z instrukcjami w sekcjach, które dotyczą Twojej sytuacji. Zapoznaj się z przewodnikiem, aby uzyskać dodatkowe wskazówki dotyczące rozwiązywania problemów związanych z aplikacjami, takie jak rozwiązywanie problemów z użytkownikami zasad ochrony aplikacji i rozwiązywanie problemów z transferem danych między aplikacjami.

Przed rozpoczęciem

Przed rozpoczęciem rozwiązywania problemów zbierz podstawowe informacje, aby lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania.

Zbierz następujące informacje podstawowe:

• Które ustawienie zasad jest lub nie jest stosowane? Czy są stosowane jakiekolwiek zasady?
• Jakie jest środowisko użytkownika? Czy użytkownicy zainstalowali i uruchomili aplikację docelową?
• Kiedy problem zaczął występować? Czy ochrona aplikacji kiedykolwiek działała?
• Która platforma (Android lub iOS) ma problem?
• Ilu użytkowników dotyczy problem? Czy dotyczy to wszystkich użytkowników, czy tylko niektórych użytkowników?
• Ilu urządzeń dotyczy problem? Czy dotyczy to wszystkich urządzeń lub tylko niektórych urządzeń?
• Mimo że Intune zasady ochrony aplikacji nie wymagają usługi zarządzania urządzeniami przenośnymi (MDM), czy dotyczy to użytkowników korzystających z Intune lub rozwiązania MDM innej firmy?
• Czy dotyczy to wszystkich zarządzanych aplikacji lub tylko określonych aplikacji? Na przykład czy aplikacje biznesowe (LOB) utworzone przy użyciu zestawu Intune App SDK mają wpływ, ale aplikacje ze sklepu nie są?
• Czy na urządzeniu jest używana jakakolwiek usługa zarządzania inna niż Intune?

Po wprowadzeniu powyższych informacji możesz rozpocząć rozwiązywanie problemów.

Zalecany przepływ badania

Pomyślne wdrożenie zasad ochrony aplikacji opiera się na właściwej konfiguracji ustawień i innych zależności. Zalecany przepływ do badania typowych problemów z Intune APP jest następujący, który dokładniej przejrzyjmy w tym artykule:

1. Sprawdź, czy zostały spełnione wymagania wstępne dotyczące wdrażania zasad ochrony aplikacji.
2. Sprawdź stan zasad ochrony aplikacji i sprawdź określanie wartości docelowej.
3. Sprawdź, czy użytkownik jest docelowy.
4. Sprawdź, czy aplikacja zarządzana jest przeznaczona.
5. Sprawdź, czy użytkownik zalogował się do aplikacji, których dotyczy problem, przy użyciu docelowego konta firmowego.
6. Zbieranie danych urządzenia.

Krok 1. Weryfikowanie wymagań wstępnych zasad ochrony aplikacji

Pierwszym krokiem rozwiązywania problemów jest sprawdzenie, czy zostały spełnione wszystkie wymagania wstępne. Mimo że można używać Intune APP niezależnie od dowolnego rozwiązania MDM, muszą być spełnione następujące wymagania wstępne:

• Użytkownik musi mieć przypisaną licencję Intune.

• Użytkownik musi należeć do grupy zabezpieczeń, której dotyczą zasady ochrony aplikacji. Te same zasady ochrony aplikacji muszą być przeznaczone dla określonej aplikacji, która jest używana.

• W przypadku urządzeń z systemem Android aplikacja Portal firmy jest wymagana do odbierania zasad ochrony aplikacji.

• Jeśli używasz aplikacji Word, Excel lub PowerPoint, należy spełnić następujące dodatkowe wymagania:

  • Użytkownik musi mieć licencję dla Aplikacje Microsoft 365 dla firm lub przedsiębiorstwa połączoną z kontem Microsoft Entra użytkownika. Subskrypcja musi zawierać aplikacje pakietu Office na urządzeniach przenośnych i może zawierać konto magazynu w chmurze z OneDrive dla Firm. Licencje platformy Microsoft 365 można przypisać w Centrum administracyjne platformy Microsoft 365, postępjąc zgodnie z tymi instrukcjami.
  • Użytkownik musi mieć zarządzaną lokalizację skonfigurowaną przy użyciu szczegółowych funkcji Zapisz jako . To polecenie znajduje się w ustawieniu zasad ochrony aplikacji Zapisywanie kopii danych organizacji . Jeśli na przykład lokalizacja zarządzana to OneDrive, aplikacja OneDrive powinna zostać skonfigurowana w aplikacji Word, Excel lub PowerPoint użytkownika.
  • Jeśli lokalizacja zarządzana to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożoną dla użytkownika.

  Uwaga

  Aplikacje mobilne pakietu Office obsługują obecnie tylko usługę SharePoint Online, a nie lokalny program SharePoint.

• Jeśli używasz zasad ochrony aplikacji Intune razem z zasobami lokalnymi (Microsoft Skype dla firm i Microsoft Exchange Server), musisz włączyć nowoczesne uwierzytelnianie hybrydowe dla Skype dla firm i programu Exchange.

Krok 2. Sprawdzanie stanu zasad ochrony aplikacji

Przejrzyj następujące szczegóły, aby zrozumieć stan zasad ochrony aplikacji:

• Czy zaewidencjonowano użytkownika z urządzenia, którego dotyczy problem?
• Czy aplikacje scenariusza problemu są zarządzane za pośrednictwem zasad docelowych?
• Sprawdź, czy czas dostarczania zasad jest zgodny z oczekiwanym zachowaniem. Aby uzyskać więcej informacji, zobacz Omówienie czasu dostarczania zasad ochrony aplikacji.

Aby uzyskać szczegółowe informacje, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft Intune.
2. Wybierz pozycjęMonitor>aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Przypisani użytkownicy.
3. Na stronie Raportowanie aplikacji wybierz pozycję Wybierz użytkownika , aby wyświetlić listę użytkowników i grup.
4. Wyszukaj i wybierz jednego z użytkowników, których dotyczy problem, z listy, a następnie wybierz pozycję Wybierz użytkownika. W górnej części strony Raportowanie aplikacji możesz sprawdzić, czy użytkownik ma licencję na ochronę aplikacji i ma licencję na platformę Microsoft 365. Możesz również wyświetlić stan aplikacji dla wszystkich urządzeń użytkownika.
5. Zanotuj tak ważne informacje, jak aplikacje docelowe, typy urządzeń, zasady, stan ewidencjonowania urządzenia i czas ostatniej synchronizacji.

Uwaga

Ochrona aplikacji zasady są stosowane tylko wtedy, gdy aplikacje są używane w kontekście służbowym. Na przykład gdy użytkownik uzyskuje dostęp do aplikacji przy użyciu konta służbowego.

Aby uzyskać więcej informacji, zobacz How to validate your app protection policy setup in Microsoft Intune (Jak zweryfikować konfigurację zasad ochrony aplikacji w Microsoft Intune).

Krok 3. Sprawdzanie, czy użytkownik jest docelowy

Intune zasady ochrony aplikacji muszą być przeznaczone dla użytkowników. Jeśli zasady ochrony aplikacji nie zostaną przypisane do użytkownika lub grupy użytkowników, zasady nie zostaną zastosowane.

Aby sprawdzić, czy zasady są stosowane do użytkownika docelowego, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft Intune.
2. Wybierz pozycjęMonitor>aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Stan użytkownika (w oparciu o platformę systemu operacyjnego urządzenia). W otwartym okienku Raportowanie aplikacji wybierz pozycję Wybierz użytkownika , aby wyszukać użytkownika.
3. Wybierz użytkownika z listy. Możesz wyświetlić szczegóły dla tego użytkownika. Pamiętaj, że wyświetlenie nowo docelowego użytkownika w raportach może potrwać do 24 godzin.

Po przypisaniu zasad do grupy użytkowników upewnij się, że użytkownik należy do grupy użytkowników. Aby to zrobić, wykonaj następujące kroki.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.
2. Wybierz pozycję Grupy > Wszystkie grupy, a następnie wyszukaj i wybierz grupę używaną do przypisania zasad ochrony aplikacji.
3. W sekcji Zarządzanie wybierz pozycję Członkowie.
4. Jeśli użytkownik, którego dotyczy problem, nie znajduje się na liście, zapoznaj się z tematem Zarządzanie dostępem do aplikacji i zasobów przy użyciu grup Microsoft Entra i reguł członkostwa w grupach. Upewnij się, że użytkownik, którego dotyczy problem, został uwzględniony w grupie.
5. Upewnij się, że użytkownik, którego dotyczy problem, nie należy do żadnej z wykluczonych grup zasad.

Ważna

• Zasady ochrony aplikacji Intune muszą być przypisane do grup użytkowników, a nie do grup urządzeń.
• Jeśli urządzenie, którego dotyczy problem, korzysta z systemu Android Enterprise, tylko profile służbowe należące do użytkownika będą obsługiwać zasady ochrony aplikacji.
• Jeśli na urządzeniu, którego dotyczy problem, jest używana automatyczna rejestracja urządzeń firmy Apple (ADE), upewnij się, że koligacja użytkownika jest włączona. Koligacja użytkownika jest wymagana dla każdej aplikacji, która wymaga uwierzytelniania użytkownika w obszarze ADE. Aby uzyskać więcej informacji na temat rejestracji ADE w systemie iOS/iPadOS, zobacz Automatyczne rejestrowanie urządzeń z systemem iOS/iPadOS.

Krok 4. Sprawdzanie, czy aplikacja zarządzana jest przeznaczona

Podczas konfigurowania zasad ochrony aplikacji Intune aplikacje docelowe muszą używać zestawu Intune App SDK. W przeciwnym razie zasady ochrony aplikacji mogą nie działać poprawnie.

Upewnij się, że aplikacja docelowa znajduje się na liście Microsoft Intune chronionych aplikacji. W przypadku aplikacji biznesowych lub niestandardowych sprawdź, czy aplikacje korzystają z najnowszej wersji zestawu Intune App SDK.

W przypadku systemu iOS ta praktyka jest ważna, ponieważ każda wersja zawiera poprawki wpływające na sposób stosowania tych zasad i ich działanie. Aby uzyskać więcej informacji, zobacz Intune wersje zestawu SDK aplikacji dla systemu iOS. Użytkownicy systemu Android powinni mieć zainstalowaną najnowszą wersję aplikacji Portal firmy, ponieważ aplikacja działa jako agent brokera zasad.

Krok 5. Sprawdzanie, czy użytkownik zalogował się do aplikacji, których dotyczy problem, przy użyciu docelowego konta firmowego

Niektóre aplikacje mogą być używane bez logowania użytkownika, ale aby pomyślnie zarządzać aplikacją przy użyciu Intune APP, użytkownicy muszą zalogować się do aplikacji przy użyciu poświadczeń firmowych. Intune zasady ochrony aplikacji wymagają, aby tożsamość użytkownika była spójna między aplikacją a zestawem SDK aplikacji Intune. Upewnij się, że użytkownik, którego dotyczy problem, pomyślnie zalogował się do aplikacji przy użyciu konta firmowego.

W większości scenariuszy użytkownicy logują się do swoich kont przy użyciu głównej nazwy użytkownika (UPN). Jednak w niektórych środowiskach (takich jak scenariusze lokalne) użytkownicy mogą korzystać z innej formy poświadczeń logowania. W takich przypadkach może się okazać, że nazwa UPN używana w aplikacji nie jest zgodna z obiektem NAZWY UPN w Tożsamość Microsoft Entra. W przypadku wystąpienia tego problemu zasady ochrony aplikacji nie są stosowane zgodnie z oczekiwaniami.

Zalecane przez firmę Microsoft najlepsze rozwiązania to dopasowanie nazwy UPN do podstawowego adresu SMTP. Ta praktyka umożliwia użytkownikom logowanie się do zarządzanych aplikacji, Intune ochrony aplikacji i innych zasobów Microsoft Entra przez posiadanie spójnej tożsamości. Aby uzyskać więcej informacji, zobacz Microsoft Entra populacji UserPrincipalName.

Jedynym sposobem zagwarantowania tej spójności jest nowoczesne uwierzytelnianie. Istnieją scenariusze, w których aplikacje mogą działać w konfiguracji lokalnej bez nowoczesnego uwierzytelniania. Jednak wyniki nie są spójne ani gwarantowane.

Jeśli środowisko wymaga alternatywnych metod logowania, zobacz Konfigurowanie alternatywnego identyfikatora logowania, w szczególności nowoczesne uwierzytelnianie hybrydowe z identyfikatorem alternatywnym.

Krok 6. Zbieranie danych urządzenia za pomocą przeglądarki Microsoft Edge

Skontaktuj się z użytkownikiem, aby zebrać szczegółowe informacje o tym, co próbuje wykonać, i krokach, które podejmuje. Poproś użytkownika o zebranie zrzutów ekranu lub nagrania wideo zachowania. Ułatwia to wyjaśnienie wykonywanych jawnych akcji urządzenia. Następnie zbierz dzienniki aplikacji zarządzanych za pośrednictwem przeglądarki Microsoft Edge na urządzeniu.

Użytkownicy z przeglądarką Microsoft Edge zainstalowaną na urządzeniu z systemem iOS lub Android mogą wyświetlać stan zarządzania wszystkimi opublikowanymi aplikacjami firmy Microsoft. Mogą oni użyć poniższych kroków, aby wysłać dzienniki, aby ułatwić rozwiązywanie problemów.

1. Otwórz przeglądarkę Microsoft Edge dla systemów iOS i Android na urządzeniu.
2. Na pasku adresu wpisz about:intunehelp.
3. Przeglądarka Microsoft Edge dla systemów iOS i Android jest uruchamiana w trybie rozwiązywania problemów.

Na tym ekranie zostaną wyświetlone dwie opcje i dane dotyczące urządzenia.

Wybierz pozycję Wyświetl Intune stan aplikacji, aby wyświetlić listę aplikacji. Jeśli wybierzesz określoną aplikację, zostaną wyświetlone ustawienia aplikacji skojarzone z tą aplikacją, które są obecnie aktywne na urządzeniu.

Jeśli informacje wyświetlane dla określonej aplikacji są ograniczone do wersji aplikacji i zawierają sygnaturę czasową ewidencjonowania zasad, oznacza to, że żadne zasady nie są obecnie stosowane do tej aplikacji na urządzeniu.

Opcja Wprowadzenie umożliwia zbieranie dzienników dotyczących aplikacji z obsługą aplikacji. Jeśli otworzysz bilet pomocy technicznej z firmą Microsoft na potrzeby zasad ochrony aplikacji, zawsze podaj te dzienniki z urządzenia, którego dotyczy problem, jeśli jest to możliwe. Aby uzyskać instrukcje specyficzne dla systemu Android, zobacz Przekazywanie dzienników i wysyłanie wiadomości e-mail.

Aby uzyskać listę ustawień przechowywanych w dziennikach Intune Diagnostyka (APP), zobacz Przeglądanie dzienników ochrony aplikacji klienckich.

Dodatkowe scenariusze rozwiązywania problemów

Zapoznaj się z następującymi typowymi scenariuszami rozwiązywania problemów z aplikacją. Możesz również zapoznać się ze scenariuszami występującymi w temacie Typowe problemy z transferem danych.

Scenariusz: Zmiany zasad nie są stosowane

Zestaw SDK aplikacji Intune regularnie sprawdza zmiany zasad. Jednak ten proces może być opóźniony z dowolnej z następujących przyczyn:

• Aplikacja nie została zaewidencjonowana w usłudze.
• Aplikacja Portal firmy została usunięta z urządzenia.

Intune zasady ochrony aplikacji bazują na tożsamości użytkownika. W związku z tym wymagany jest prawidłowy identyfikator logowania, który używa konta służbowego do aplikacji i spójnego połączenia z usługą. Jeśli użytkownik nie zalogował się do aplikacji lub aplikacja Portal firmy została usunięta z urządzenia, aktualizacje zasad nie będą stosowane.

Ważna

Zestaw SDK aplikacji Intune sprawdza co 30 minut selektywne czyszczenie. Jednak zmiany istniejących zasad dla użytkowników, którzy są już zalogowani, mogą nie być wyświetlane przez maksymalnie 8 godzin. Aby przyspieszyć ten proces, wyloguj użytkownika z aplikacji, a następnie zaloguj się ponownie lub uruchom ponownie swoje urządzenie.

Aby sprawdzić stan ochrony aplikacji, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft Intune.
2. Wybierz pozycjęMonitor>aplikacji>Ochrona aplikacji stan, a następnie wybierz kafelek Przypisani użytkownicy.
3. Na stronie Raportowanie aplikacji wybierz pozycję Wybierz użytkownika , aby otworzyć listę użytkowników i grup.
4. Wyszukaj i wybierz jednego z użytkowników, których dotyczy problem, z listy, a następnie wybierz pozycję Wybierz użytkownika.
5. Przejrzyj aktualnie stosowane zasady, w tym stan i czas ostatniej synchronizacji.
6. Jeśli stan nie jest zaewidencjonowany lub jeśli ekran wskazuje, że ostatnio nie było synchronizacji, sprawdź, czy użytkownik ma spójne połączenie sieciowe. W przypadku użytkowników systemu Android upewnij się, że mają zainstalowaną najnowszą wersję aplikacji Portal firmy.

Intune zasady ochrony aplikacji obejmują obsługę wielu tożsamości. Intune mogą stosować zasady ochrony aplikacji tylko do konta służbowego, które jest zalogowane do aplikacji. Obsługiwane jest jednak tylko jedno konto służbowe na urządzenie.

Scenariusz: urządzenia z systemem iOS zarejestrowane Intune wymagają dodatkowej konfiguracji

Podczas tworzenia zasad ochrony aplikacji można kierować je do wszystkich typów aplikacji lub do następujących typów aplikacji:

• Aplikacje na urządzeniach niezarządzanych
• Aplikacje na urządzeniach zarządzanych Intune
• Aplikacje w profilu służbowym należącym do użytkownika systemu Android

Uwaga

Aby określić typy aplikacji, ustaw wartość Target na wszystkie typy aplikacji na Wartość Nie, a następnie wybierz pozycję z listy Typy aplikacji .

W przypadku określania wartości docelowej tylko urządzeń z systemem iOS Intune zarządzanych wymagane są następujące dodatkowe ustawienia konfiguracji aplikacji wraz z zasadami ochrony aplikacji:

• Właściwość IntuneMAMUPN musi być skonfigurowana dla wszystkich aplikacji zarządzanych przez rozwiązanie MDM (Intune lub EMM innej firmy). Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawienia nazwy UPN użytkownika dla Microsoft Intune lub EMM innej firmy.
• Właściwość IntuneMAMDeviceID musi być skonfigurowana dla wszystkich aplikacji innych firm i aplikacji zarządzanych przez rozwiązanie LOB MDM.
• Identyfikator intuneMAMDeviceID musi być skonfigurowany jako token identyfikatora urządzenia. Na przykład key=IntuneMAMDeviceID, value={{deviceID}}. Aby uzyskać więcej informacji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS.
• Jeśli skonfigurowano tylko wartość IntuneMAMDeviceID, Intune APP uzna urządzenie za niezarządzane.

Następne kroki

• Rozwiązywanie problemów z użytkownikami zasad ochrony aplikacji
• Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji
• Sprawdzanie poprawności konfiguracji zasad ochrony aplikacji w Microsoft Intune