Koşullu erişim sorunlarını gidermeTroubleshoot conditional access

Uygulama hedefi: Klasik konsolda IntuneApplies to: Intune in the classic console
Azure'da Intune ile ilgili belge mi arıyorsunuz?Looking for documentation about Intune on Azure? Buraya gidin.Go here.

Genellikle, bir kullanıcı e-posta veya SharePoint’a erişmeye çalışır ve kaydolmak için bir istem alır.Typically, a user is trying to access email or SharePoint and receives a prompt to enroll. Bu istem, kullanıcıyı şirket portalına götürür.That prompt will lead the user to the company portal.

Bu konuda, kullanıcıların, kaynaklara Intune koşullu erişim üzerinden erişemediklerinde ne yapacakları açıklanmaktadır.This topic describes what to do when your users fail to get access to resources through Intune conditional access.

Koşullu erişimde başarılı olmanın temel unsurlarıThe basics for success in conditional access

İşe koşullu erişim sağlamak için, aşağıdaki koşullar gerekir:In order to conditional access to work, you need the following conditions:

  • Cihazın Intune tarafından yönetilmelidirThe device must be managed by Intune
  • Cihaz Azure Active Directory’ye (AAD) kaydedilmelidir.The device must be registered with Azure Active Directory (AAD) . Normal koşullar altında bu kayıt, Intune kaydı sırasında otomatik olarak gerçekleşirUnder normal circumcstances this registration takes place automatically during Intune enrollment
  • Cihaz, cihazın ve cihazın kullanıcısı için Intune uyumluluk ilkelerinizle uyumlu olmalıdır.The device must be compliant with your Intune compliance policies, for the device, and for the user of the device. Başka bir uyumluluk ilkesi yoksa, Intune kaydı yeterlidir.If there are no compliance policies, Intune enrollment is sufficient.
  • Kullanıcı postayı Outlook yerine cihazın yerel posta istemcisi aracılığıyla alıyorsa, cihazda Exchange ActiveSync etkinleştirilmelidir.Exchange ActiveSync must be activated on the device if the user is retrieving mail through the device's native mail client rather than through Outlook. Bu; iOS, Windows Phone ve Android/KNOX Standard cihazlarında otomatik olarak gerçekleşir.This happens automatically for iOS, Windows Phone and Android/KNOX Standard devices.
  • Intune Exchange Connector’ınız düzgün şekilde yapılandırılmalıdır.Your Intune Exchange Connector should be properly configured. Daha fazla bilgi için bkz. Microsoft Intune’da Exchange Connector sorunlarını giderme.See Troubleshooting the Exchange Connector in Microsoft Intune for more information.

Bu koşullar, Azure Yönetim Portalı’nda ve cihaz envanter raporunda her cihaz için görüntülenebilir.These conditions can be viewed for each device in the Azure Management Portal and in the device inventory report.

Kayıt sorunlarıEnrollment issues

  • Cihaz kaydolmamıştır, böylelikle kayıt olunduğunda sorun çözümlenecektir.The device isn't enrolled, so enrollment will resolve the issue.
  • Kullanıcı cihazı kaydetmiştir, ancak çalışma alanına katılma başarısız olmuştur.The user enrolled the device, but the workplace join failed. Kullanıcı, şirket portalından kaydı güncelleştirmelidir.The user should update the enrollment from the company portal.

Uyumluluk sorunlarıCompliance issues

  • Cihaz Intune ilkesiyle uyumlu değildir.The device is not compliant with Intune policy. Şifreleme ve parola gereksinimleri yaygın görülen sorunlardır.Common issues are encryption and password requirements. Kullanıcı, şirket portalına yönlendirilir ve buradan, cihazını uyumlu olacak şekilde yapılandırabilir.The user will be redirected to the company portal, where they can configure their device to be compliant.
  • Uyumluluk bilgilerinin bir cihaz için kaydolması biraz zaman alabilir.It may take some time for compliance information to be registered for a device. Birkaç dakika bekleyin ve tekrar deneyin.Wait a few minutes and try again.
  • iOS aygıtları için:For iOS devices:

    • Kullanıcı tarafından oluşturulmuş bir e-posta profili, Intune yöneticisinin oluşturduğu bir profili engeller.An existing email profile created by the user will block the deployment of an Intune admin-created profile. Bu, iOS kullanıcıları genellikle bir e-posta profili oluşturduğundan, ardından kaydolduğundan, bu yaygın görülen bir sorundur.This is a common problem as iOS users will typically create an email profile, then enroll. Şirket portalı, kullanıcıyı, el ile yapılandırılmış e-posta profilleri nedeniyle uyumlu olmadıkları konusunda bilgilendirir ve kullanıcıdan, o profili kaldırmasını ister. Kullanıcı, Intune profilinin dağıtılabilmesi için, e-posta profilini kaldırmalıdır.The company portal will inform the user that they are not compliant due to their manually-configured email profile, and will prompt the user to remove that profile.The user should remove their email profile so that the Intune profile can be deployed. Sorunu önlemek için, kullanıcılarınızdan bir e-posta profili yüklemeden kayıt olmalarını ve Intune’un profili dağıtmasına izin vermelerini isteyin.To prevent the problem instruct your users to enroll without installing an email profile and to allow Intune to deploy the profile.
    • Bir iOS cihazı uyumluluk denetim durumunda takılı kalarak, kullanıcının başka bir giriş yapma işlemi başlatmasını engelleyebilir.An iOS device may get stuck in a checking-compliance state, preventing the user from initiating another check-in. Şirket portalını yeniden başlatmak bunu düzeltebilir ve uyumluluk durumu cihazın Intune’daki durumunu yansıtır.Restarting the company portal may fix this, and the compliance state will reflect the device state in Intune. Bir cihaz eşitlemesinden tüm veriler toplandıktan sonra, uyumluluk denetimi hızlıdır; ortalama olarak yarım saniyenin altındadır.After all of the data is collected from a device sync the compliance check is, fast, less than half a second on average.

      Genelde cihazların bu durumda kalmalarının nedeni, hizmete bağlanmada güçlük çekmeleri veya eşitlemenin uzun sürmesidir.Typically, the reason devices stay in this state is because they are having trouble connecting to the service or the sync is taking a long time. Sorun farklı ağ yapılandırmalarında (hücresel, Wi-Fi, VPN), cihaz yeniden başlatmalarından sonra ve SSP’nin cihazda güncel olduğu doğrulandıktan sonra da devam ederse, Microsoft Intune için destek alma’da anlatıldığı şekilde Microsoft Desteği ile iletişim kurun.If the problem persists on different network configurations (cellular, Wi-Fi, VPN), through device restarts, and after verifying that the SSP is up-to-date on the device, contact Microsoft Support as described in How to get support for Microsoft Intune.

  • Android cihazlar için:For Android devices:

    • Belirli Android cihazları şifrelenmiş görünüyor olabilir, ancak Şirket Portalı uygulaması bu cihazları şifrelenmemiş olarak tanır.Certain Android devices may seem to be encrypted, but the Company Portal app recognizes these devices as not encrypted.

      • Bu durumda olan cihazlarda kullanıcının güvenli başlangıç geçiş kodu ayarlaması gerekir.Devices that are in this state require the user to set a secure start-up passcode. Kullanıcı, Şirket Portalı uygulamasında, cihaz için başlangıç geçiş kodu ayarlamasının istendiği bir bildirim görür.The user will see a device notification from the Company Portal app asking to set a start-up passcode for the device. Cihaz bildirimine dokunup, geçerli PIN veya parolayı onayladıktan sonra, Cihazı başlatmak için PIN gerektir seçeneğini Güvenli başlangıç ekranında seçin.After tapping the device notification and confirming the existing PIN or password, choose the Require PIN to start device option on the Secure start-up screen. Ardından, Şirket Portalı uygulamasında cihazın Uyumluluk Denetimi düğmesine dokunun.Then, tap the Check Compliance button for the device from the Company Portal app. Cihazın artık şifrelenmiş olarak algılanması gerekir.The device should now be detected as encrypted.

      • Bazı cihaz üreticileri, kullanıcı tarafından ayarlanan gizli PIN yerine varsayılan bir PIN kullanarak cihazları şifreler.Some device manufacturers encrypt their devices using a default PIN instead of the secret PIN set by the user. Intune, varsayılan PIN kullanılarak yapılan şifrelemeyi güvensiz olarak tanır, çünkü bu şifreleme yöntemi cihaza fiziksel erişimi olan kötü amaçlı kullanıcılar nedeniyle cihazdaki verileri riske atabilir.Intune recognizes encryption using the default PIN as insecure because this method of encryption can put the data on the device at risk from malicious users with physical access to the device. Durum buysa, uygulama koruma ilkeleri kullanmayı düşünün.If this is the issue, consider using app protection policies.

İlke sorunlarıPolicy issues

Bir uyumluluk ilkesi oluşturduğunuzda ve onu bir e-posta ilkesine bağladığınızda, her iki ilkenin aynı kullanıcıya dağıtılması gerekir, bu nedenle, hangi ilkelerin hangi gruplara dağıtıldığını planlamada dikkatli olun.When you create a compliance policy and link it to an email policy, both policies have to be deployed to the same user, so be careful when planning which policies are deployed to which groups. Yalnızca bir ilke uygulanmış kullanıcılar, olasılıkla, cihazların uyumlu olmadığını anlayacaktır.Users that have only one policy applied are likely to find that their devices are not compliant.

Exchange ActiveSync sorunlarıExchange ActiveSync issues

Uyumlu Android cihazı, karantina bildirimi alıyorCompliant Android device gets quarantine notice

  • Kayıtlı ve uyumlu bir Android cihaz, şirket kaynaklarına erişmeye çalışırken yine de karantina bildirimi alabilir.An Android device that is enrolled and compliant may still get a quarantine notice when trying to access corporate resources. Başlat bağlantısını seçmeden önce, kullanıcı, kaynaklara erişmeye çalıştıklarında şirket portalının açık olmamasını sağlamalıdır.Before choosing the link that says Begin, the user should ensure that the company portal was not open when they tried to access the resources. Kullanıcılar, şirket portalını kapatmalı, kaynaklara yeniden erişmeye çalışmalı ve ardından Başlat bağlantısını kapatmalıdır.The users should close the company portal, try again to access the resources, and then choose the Begin link.

Kullanımdan kaldırılmış cihaz, erişmeye devam ediyor.Retired device continues to have access.

  • Exchange Online kullanılırken, kullanımdan kaldırılmış bir cihaz kullanımdan kaldırıldıktan sonra birkaç saat erişmeye devam edebilir.When using Exchange Online, a retired device may continue to have access for several hours after retirement. Bunun nedeni, Exchange’in, erişim haklarını 6 saat boyunca önbelleğe almasıdır.This is because Exchange caches access rights for 6 hours. Bu senaryoda, kullanımdan kaldırılan cihazlardaki verileri korumanın başka yöntemlerini göz önünde bulundurun.Consider other means of protecting data on retired devices in this scenario.

Cihaz uyumlu ve AAD’ye kayıtlı ancak hala engelleniyorDevice is compliant and registered with AAD but still blocked

  • Bazen Exchange ActiveSync Kimliği’nin (EASID) AAD’ye sağlanması gecikir.Sometimes, provision of the Exchange ActiveSync ID (EASID) to AAD is delayed. Bu sorunun temel nedeni azaltmadır, bu yüzden, birkaç dakika bekleyin ve yeniden deneyin.A common cause of this issue is throttling, so wait a few minutes and try again.

Cihaz engelleniyorDevice blocked

Cihaz, bir etkinleştirme e-postası almadan Koşullu Erişim’den engellenmiş olabilir.A device may be blocked from Conditional Access without receiving an activation email.

  • Cihazları karantinaya alan veya engelleyen varsayılan bir Exchange kuralı var mı?Is there a default Exchange rule which quarantines or blocks devices? Varsayılan bir kural cihazları engelliyor veya karantinaya alıyorsa, cihazlar Exchange Connector’dan etkinleştirme e-postası alamaz.If a default rule blocks or quarantines devices, devices will not be able to receive the activation email from the Exchange Connector. Bu, bilinçli olarak böyle tasarlanmıştır.This is by design.
  • Bildirim hesabı Temel yapılandırma’da anlatıldığı şekilde düzgün yapılandırılmış mı?Is the notification account properly configured as described in Basic configuration?
  • Cihaz, Intune yönetim konsolunda bir Exchange ActiveSync cihazı olarak mevcut mu?Is the device present in the Intune admin console as an Exchange ActiveSync device? Değilse, cihaz olası bir Exchange Connector eşitleme sorunu nedeniyle bulunamıyor olabilir.If not, it's likely that device discovery is failing, probably because of an Exchange Connector sync issue. Exchange’dan bulunamayan Exchange ActiveSync cihazına bakın.See Exchange ActiveSync device not discovered from Exchange.
  • Sendemail etkinliği için Exchange Connector günlüklerine bakın ve hata arayın.Check the Exchange Connector logs for sendemail activity and check for errors. Aranacak komuta bir örnek, bildirim hesabından kullanıcı e-postasına SendEmail işlemidir.An example of the command to search for is SendEmail from notification account to useremail.
  • Exchange Connector cihazı engellemeden önce etkinleştirme e-postasını gönderir.Before the Exchange Connector blocks the device, it sends the activation email. Cihaz çevrimdışıysa, etkinleştirme e-postasını almayabilir.If the device is offline, it may not receive the activation email. Ayrıca, kullanıcının e-postayı kaçırmasına neden olabileceğinden cihazın e-posta alımının Poll yerine Push kullanılarak mı yapıldığını da denetleyin.Check if the device email client has email retrieval using Push instead of Poll as this could also cause the user to miss the email. Poll yöntemine geçip cihazın e-postayı alıp almadığına bakın.Switch to Poll and see if the device receives the email.

Uyumsuz cihaz engellenmiyorNon-compliant device not blocked

Uyumlu olmayan ancak erişimi olan bir cihazla karşılaşırsanız, aşağıdaki adımları uygulayın.If you encounter a device that is not compliant but continues to have access, take the following steps.

  • Hedef ve Dışlama gruplarını gözden geçirin.Review your Target and Exclusion groups. Kullanıcı doğru hedef grupta değilse veya dışlama grubundaysa, engellenmez.If a user isn't in the right target group or is in the exclusion group, they won’t be blocked. Yalnızca Hedef grupta olan kullanıcıların cihazlarında uyumluluk denetimi yapılır.Only devices of users in a Target group are checked for compliance.
  • Cihazın bulunabildiğinden emin olun.Ensure the device is being discovered. Exchange Connector bir Exchange 2010 CAS’ine, buna karşın kullanıcı bir Exchange 2013 sunucusuna mı işaret ediyor?Is the Exchange Connector pointing to an Exchange 2010 CAS while the user is on an Exchange 2013 server? Bu durumda, varsayılan Exchange kuralı İzin Ver ise, kullanıcı Hedef grupta olsa bile Intune cihazın Exchange’a bağlandığının farkında olamaz.In this case, if the default Exchange rule is Allow, even if the user is in the Target group, Intune can't be aware of the device's connection to Exchange.
  • Exchange’de Cihazın Varlığı/Erişim Durumu’nu kontrol edin:Check Device Existence/Access State in Exchange:
    • Bir posta kutusunun tüm mobil cihazlarının listesini almak için şu PowerShell cmdlet’ini kullanın: "Get-ActiveSyncDeviceStatistics -mailbox mbx'.Use this PowerShell cmdlet to get a list of all mobile devices for a mailbox: "Get-ActiveSyncDeviceStatistics -mailbox mbx'. Cihaz listelenmiyorsa, Exchange’e erişmiyordur.If the device isn’t listed then it isn’t accessing Exchange.
    • Cihaz listeleniyorsa, erişim durumu hakkında ayrıntılı bilgi almak için Get-CASmailbox -identity:’upn’ | fl cmdlet’ini kullanın ve bu bilgileri Microsoft Desteği’ne verin.If the device is listed, use the Get-CASmailbox -identity:’upn’ | fl cmdlet to get detailed information about its access state, and provide that information to Microsoft Support.

Bir destek bileti açmadan önceBefore you open a support ticket

Bu sorun giderme yordamları sorununuzu çözmüyorsa, Microsoft Desteği, OWA posta kutusu günlükleri veya Exchange Connector günlükleri gibi bilgileri isteyebilir.If these troubleshooting procedures don't resolve your issue, there is information that you may be asked to provide to Microsoft Support, such as OWA mailbox logs or Exchange Connector logs.

OWA posta kutusu günlüklerini toplamaCollecting OWA mailbox logs

  1. OWA aracılığıyla oturum açın ve sağ üst köşedeki adınızın yanındaki ayarları (dişli) simgesini seçin.Log on through OWA and choose the settings (gear) symbol next to your name in the upper right corner.
  2. Seçenekler’i seçinChoose Options
  3. Sol taraftaki sütunda Telefon (Mobil Cihazlar olarak gözükebilir) seçin.Choose Phone (may say Mobile Devices) in the column on the left side.
  4. Üstteki menüden, Mobil Cihazlar’ı seçin.From the top menu, choose Mobile Devices.
  5. Listeden cihazınızı seçin ve ardından Günlüğü Başlat’ı seçin.Choose your device from the list and then choose Start Logging.
  6. İstendiğinde, açılan iletişimde Evet’i seçin.When prompted, choose Yes on the pop-up dialog.
  7. Soruna neden olan eylemi gerçekleştirin, böylelikle onu yeniden oluşturabilirsiniz.Perform the action that caused the issue, so that you can reproduce it.
  8. 1-2 dakika bekleyin, sonra OWA’daki telefon listesine dönün.Wait 1-2 minutes then go back to the phone list in OWA. Telefonunuzun listede seçildiğinden emin olun, sonra en üst menüden Günlüğü Al’ı seçin.Make sure your phone is selected in the list, and then from the top menu choose Retrieve Log.
  9. Kendinizden bir ek dosyası olan bir e-posta almanız gerekir.You should receive an email from yourself with an attachment. Bir destek bileti açtığınızda, e-posta içeriğini Microsoft Destek’e sağlayın.When you open a support ticket, provide the contents of the email to Microsoft Support.

Exchange Connector günlükleriExchange Connector logs

Genel günlük bilgileriGeneral log information

Exchange Connector günlüklerini görüntülemek için [Server Trace Viewer Tool](sunucu izleme görüntüleme aracı (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx') kullanın.To view Exchange Connector logs use the [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx'). Bu araç, Windows Server SDK’yı indirmenizi gerektirir.This tool requires that you download the Windows Server SDK.

Not

Günlükler C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs konumundadır.The logs are located in C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs. Günlükler, Connector0.log ile başlayıp Connector29.log ile biten bir dizi 30 günlük dosyası içindedir.The logs are contained in a series of 30 log files starting with Connector0.log and stopping at Connector29.log. Günlükler, bir günlükte 10 MB veri biriktikten sonra birinden diğerine geçer.Logs rollover from one to another after 10MB of data has accumulated in a log. Günlükler Connector29’a vardıktan sonra yeniden Connector0’dan başlayarak önceki günlük dosyalarının üzerine yazılır.Once the logs get to Connector29, they will start over at Connector0 again, overwriting previous log files.

Eşitleme günlüklerinin konumunu bulmaLocating sync logs

  • Günlüklerde bir tam eşitlemenin konumunu full sync ifadesini arayarak bulun.Locate a full sync in the logs by searching for full sync. Tam eşitlemenin başlangıcında şu metin bulunur:The beginning of a full sync will be marked by this text:

    'İşleme komutu: Zaman filtresi (tam eşitleme) olmadan kullanıcının mobil cihaz listesi alınıyor`'Handling command: Getting the mobile device list without a time filter (full sync) for users`

    Tam eşitleme günlüğünün sonu şu şekildedir:The end of the log for a full sync looks like this:

    Zaman filtresi (tam eşitleme) olmadan 4 kullanıcının mobil cihaz listesini alma başarıyla tamamlandı.Getting the mobile device list without a time filter (full sync) for 4 users completed successfully. Ayrıntılar: Envanter komutu sonucu - Eşitlenen cihazlar: 0 Komut Kimliği: commandIDGUID' Exchange sistem durumu: 'Sunucu sistem durumu 'Adı: 'PowerShellExchangeServer: ' Durum: Bağlı','Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: ' Status: Connected','

  • Hızlı (delta) eşitlemeyi günlüklerde quick sync ifadesini arayarak bulun.Locate a quick (delta) sync in the logs by searching for quick sync.

Get next command özel durumlarıExceptions in Get next command

Get next command özel durumları için Exchange Connector günlüklerine bakın ve bunları Microsoft Desteği’ne verin.Check the Exchange Connector logs for exceptions in Get next command, and provide these to Microsoft Support.

Ayrıntılı günlük kaydıVerbose logging

Ayrıntılı günlük kaydını etkinleştirmek için:To enable verbose logging:

  1. Exchange Connector izleme yapılandırma dosyasını açın.Open the Exchange Connector tracing configuration file. Dosya şu konumdadır: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.The file is located at: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.
  2. Anahtarı şu olan TraceSourceLine’ı (izleme kaynak satırı) bulun: OnPremisesExchangeConnectorServiceLocate the TraceSourceLine with the following key: OnPremisesExchangeConnectorService
  3. SourceLevel düğüm değerini, aşağıda gösterildiği gibi Warning ActivityTracing (varsayılan) yerine Verbose ActivityTracing olarak değiştirin.Change the SourceLevel node value from Warning ActivityTracing (the default) to Verbose ActivityTracing, as shown below.

    OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30 OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30

Sonraki adımlarNext steps

Bu sorun giderme bilgileri işe yaramazsa, Microsoft Intune için destek alma konusunda açıklandığı gibi Microsoft Desteği ile iletişim kurun.If this troubleshooting information didn't help you, contact Microsoft Support as described in How to get support for Microsoft Intune.

Ürün geri bildiriminde bulunmak için lütfen şu sayfayı ziyaret edin Intune Feedback