Freigeben über

Problembehandlung für bedingten Zugriff

  • Artikel

In diesem Artikel wird beschrieben, was zu tun ist, wenn Ihre Benutzer keinen Zugriff auf Ressourcen erhalten, die mit bedingtem Zugriff geschützt sind, oder wenn Benutzer auf geschützte Ressourcen zugreifen können, aber blockiert werden sollten.

Mit Intune und bedingtem Zugriff können Sie den Zugriff auf Microsoft 365-Dienste wie Exchange Online und SharePoint Online und verschiedene andere Dienste schützen. Mit dieser Funktion können Sie sicherstellen, dass nur Geräte, die bei Intune registriert sind, und die Regeln für den bedingten Zugriff, die Sie in Intune oder der Microsoft Entra-ID festgelegt haben, Zugriff auf Ihre Unternehmensressourcen haben.

Anforderungen für bedingten Zugriff

Die folgenden Anforderungen müssen erfüllt sein, damit der bedingte Zugriff funktioniert:

  • Das Gerät muss bei der Verwaltung mobiler Geräte (Mobile Device Management, MDM) registriert und von Intune verwaltet werden.

  • Sowohl der Benutzer als auch das Gerät müssen den zugewiesenen Intune-Compliancerichtlinien entsprechen.

  • Standardmäßig muss dem Benutzer eine Gerätekompatibilitätsrichtlinie zugewiesen werden. Dies kann von der Konfiguration der Einstellung "Geräte ohne Konformitätsrichtlinie markieren" abhängig sein, die im Intune-Verwaltungsportal unter "Richtlinieneinstellungen für gerätekonforme Compliancerichtlinien>" festgelegt ist.

  • Exchange ActiveSync muss auf dem Gerät aktiviert werden, wenn der Benutzer den systemeigenen E-Mail-Client des Geräts anstelle von Outlook verwendet. Dies geschieht automatisch für iOS/iPadOS- und Android Knox-Geräte.

  • Für lokales Exchange muss Ihr Intune Exchange Connector ordnungsgemäß konfiguriert sein. Weitere Informationen finden Sie unter Problembehandlung für den Exchange Connector in Microsoft Intune.

  • Für lokale Skype müssen Sie die moderne Hybridauthentifizierung konfigurieren. Siehe Übersicht über die moderne Hybridauthentifizierung.

Sie können diese Bedingungen für jedes Gerät im Azure-Portal und im Gerätebestandsbericht anzeigen.

Geräte scheinen konform zu sein, aber Benutzer sind immer noch gesperrt

  • Stellen Sie sicher, dass dem Benutzer eine Intune-Lizenz für eine ordnungsgemäße Compliancebewertung zugewiesen ist.

  • Nicht-Knox Android-Geräte erhalten erst Zugriff, wenn der Benutzer auf den Link "Jetzt starten" in der empfangenen Quarantäne-E-Mail klickt. Dies gilt auch, wenn der Benutzer bereits in Intune registriert ist. Wenn der Benutzer die E-Mail nicht mit dem Link auf dem Smartphone erhält, kann er einen PC verwenden, um auf seine E-Mails zuzugreifen und es an ein E-Mail-Konto auf dem Gerät weiterzuleiten.

  • Wenn ein Gerät zum ersten Mal registriert oder aktualisiert wird, kann es einige Zeit dauern, bis Complianceinformationen und Attribute für ein Gerät registriert werden. Warten Sie einige Minuten, und versuchen Sie erneut.

  • Bei iOS-/iPadOS-Geräten kann ein vorhandenes E-Mail-Profil die Bereitstellung eines dem Intune-Administrator erstellten E-Mail-Profils blockieren, das diesem Benutzer zugewiesen wurde, wodurch das Gerät nicht kompatibel ist. In diesem Szenario benachrichtigt die Unternehmensportal-App den Benutzer darüber, dass er aufgrund seines manuell konfigurierten E-Mail-Profils nicht kompatibel ist, und er fordert den Benutzer auf, dieses Profil zu entfernen. Sobald der Benutzer das vorhandene E-Mail-Profil entfernt hat, kann das Intune-E-Mail-Profil erfolgreich bereitgestellt werden. Um dieses Problem zu verhindern, weisen Sie Ihre Benutzer an, vorhandene E-Mail-Profile auf ihrem Gerät zu entfernen, bevor Sie sich registrieren.

  • Ein Gerät bleibt möglicherweise in einem Überprüfungscompliancestatus hängen, hindert den Benutzer daran, ein anderes Einchecken zu starten. Wenn Sie über ein Gerät in diesem Zustand verfügen:

    • Stellen Sie sicher, dass das Gerät die neueste Version der Unternehmensportal-App verwendet.
    • Starten Sie das Gerät neu.
    • Überprüfen Sie, ob das Problem in verschiedenen Netzwerken weiterhin besteht (z. B. Mobilfunk, WLAN usw.).

    Wenn das Problem weiterhin besteht, wenden Sie sich an Microsoft-Support, wie unter "Support in Microsoft Intune abrufen" beschrieben.

  • Bestimmte Android-Geräte scheinen möglicherweise verschlüsselt zu sein, die Unternehmensportal-App erkennt diese Geräte jedoch als nicht verschlüsselt und kennzeichnet sie als nicht konform. In diesem Szenario wird dem Benutzer in der Unternehmensportal App eine Benachrichtigung angezeigt, in der er aufgefordert wird, eine Startkennung für das Gerät einzurichten. Nachdem Sie auf die Benachrichtigung gekippt und die vorhandene PIN oder das vorhandene Kennwort bestätigt haben, wählen Sie auf dem Bildschirm "Sicheres Startgerät" die Option "PIN zum Starten des Geräts anfordern" aus, und tippen Sie dann in der Unternehmensportal-App auf die Schaltfläche "Kompatibilität überprüfen". Das Gerät sollte jetzt als verschlüsselt erkannt werden.

    Notiz

    Einige Gerätehersteller verschlüsseln ihre Geräte mithilfe einer Standard-PIN anstelle einer vom Benutzer festgelegten PIN. Die Verschlüsselung von Intune-Ansichten, die eine Standard-PIN als unsicher verwendet, kennzeichnet diese Geräte als nicht konform, bis der Benutzer eine neue, nicht standardmäßige PIN erstellt.

  • Ein Android-Gerät, das registriert und konform ist, wird möglicherweise weiterhin blockiert und erhält beim ersten Versuch, auf Unternehmensressourcen zuzugreifen, eine Quarantänebenachrichtigung. Stellen Sie in diesem Fall sicher, dass die Unternehmensportal App nicht ausgeführt wird, und wählen Sie dann den Link "Erste Schritte" in der Quarantäne-E-Mail aus, um die Auswertung auszulösen. Dies sollte nur erfolgen, wenn der bedingte Zugriff zuerst aktiviert ist.

  • Ein registriertes Android-Gerät fordert den Benutzer möglicherweise mit "Keine gefundenen Zertifikate" auf und erhält keinen Zugriff auf Microsoft 365-Ressourcen. Der Benutzer muss die Option "Browserzugriff aktivieren" auf dem registrierten Gerät wie folgt aktivieren:

    1. Öffnen Sie die Unternehmensportal-App.
    2. Wechseln Sie über die dreifachen Punkte (...) oder die Hardwaremenüschaltfläche zur Seite "Einstellungen".
    3. Wählen Sie die Schaltfläche "Browserzugriff aktivieren" aus.
    4. Melden Sie sich im Chrome-Browser bei Microsoft 365 ab, und starten Sie Chrome neu.

  • Desktopanwendungen müssen moderne Authentifizierungsmethoden verwenden, die auf einer Authentifizierungsaufforderung basieren, die entweder in einem Webbrowser oder einem Authentifizierungsbroker angezeigt wird. Skripts, die Kennwörter direkt senden, können den Nachweis der Identität eines Geräts nur bereitstellen, wenn sie einen Authentifizierungsbroker verwenden.

Geräte werden blockiert und es wird keine Quarantäne-E-Mail empfangen

  • Stellen Sie sicher, dass das Gerät in der Intune-Administratorkonsole als Exchange ActiveSync-Gerät vorhanden ist. Andernfalls tritt wahrscheinlich ein Fehler bei der Geräteermittlung auf, wahrscheinlich aufgrund eines Exchange Connector-Problems. Weitere Informationen finden Sie unter Problembehandlung für den Intune Exchange Connector.

  • Bevor der Exchange Connector ein Gerät blockiert, sendet er eine Aktivierungs-E-Mail (Quarantäne). Wenn das Gerät offline ist, erhält es möglicherweise keine Aktivierungs-E-Mail.

  • Überprüfen Sie, ob der E-Mail-Client auf dem Gerät so konfiguriert ist, dass E-Mails mithilfe von Push anstelle von Umfrage abgerufen werden. In diesem Fall könnte dies dazu führen, dass der Benutzer die E-Mail verpasst. Wechseln Sie zu "Umfrage ", und überprüfen Sie, ob das Gerät die E-Mail empfängt.

Die Geräte sind nicht konform, aber Benutzer werden nicht blockiert

  • Für Windows-PCs blockiert der bedingte Zugriff nur die systemeigene E-Mail-App, Office 2013 mit moderner Authentifizierung oder Office 2016. Das Blockieren früherer Versionen von Outlook oder aller Mail-Apps auf Windows-PCs erfordert microsoft Entra Device Registration and Active Directory-Verbunddienste (AD FS) (AD FS) Konfigurationen gemäß How to: Block legacy authentication to Microsoft Entra ID with Conditional Access.

  • Wenn das Gerät selektiv zurückgesetzt oder von Intune zurückgezogen wird, kann es nach der Einstellung weiterhin mehrere Stunden lang Zugriff haben. Dies liegt daran, dass Exchange Zugriffsrechte für sechs Stunden zwischenspeichert. Ziehen Sie in diesem Szenario andere Möglichkeiten zum Schutz von Daten auf eingestellten Geräten in Betracht.

  • Surface Hub, Massenregistrierung und DEM-registrierten Windows-Geräte können bedingten Zugriff unterstützen, wenn ein Benutzer, dem eine Lizenz für Intune zugewiesen ist, angemeldet ist. Sie müssen jedoch die Compliancerichtlinie für Gerätegruppen (nicht Benutzergruppen) zur korrekten Auswertung bereitstellen.

  • Überprüfen Sie die Zuweisungen für Ihre Compliancerichtlinien und Ihre Richtlinien für bedingten Zugriff. Wenn sich ein Benutzer nicht in der Gruppe befindet, der die Richtlinien zugewiesen ist oder sich in einer Gruppe befindet, die ausgeschlossen ist, wird der Benutzer nicht blockiert. Nur Geräte für Benutzer in einer zugewiesenen Gruppe werden auf Compliance überprüft.

Nicht konformes Gerät wird nicht blockiert

Wenn ein Gerät nicht kompatibel ist, aber weiterhin Zugriff hat, führen Sie die folgenden Aktionen aus.

  • Überprüfen Sie Ihre Ziel- und Ausschlussgruppen. Wenn sich ein Benutzer nicht in der richtigen Zielgruppe befindet oder sich in der Ausschlussgruppe befindet, wird er nicht blockiert. Nur Geräte von Benutzern in einer Zielgruppe werden auf Compliance überprüft.

  • Stellen Sie sicher, dass das Gerät erkannt wird. Verweist der Exchange Connector auf eine Exchange 2010-CAS, während sich der Benutzer auf einem Exchange 2013-Server befindet? Wenn in diesem Fall die Exchange-Standardregel "Zulassen" lautet, auch wenn sich der Benutzer in der Zielgruppe befindet, kann Intune die Verbindung des Geräts mit Exchange nicht kennen.

  • Überprüfen des Status "Geräteexistenz/Zugriff" in Exchange:

    • Verwenden Sie dieses PowerShell-Cmdlet, um eine Liste aller mobilen Geräte für ein Postfach abzurufen: "Get-MobileDeviceStatistics -mailbox mbx". Wenn das Gerät nicht aufgeführt ist, greift es nicht auf Exchange zu. Weitere Informationen finden Sie in den Exchange PowerShell-Dokumenten.

    • Wenn das Gerät aufgeführt ist, verwenden Sie "Get-CASmailbox -identity:'upn" | fl' cmdlet to get detailed information about its access state, and provide that information to Microsoft-Support. Weitere Informationen finden Sie in den Exchange PowerShell-Dokumenten.

Anmeldefehler mit appbasiertem bedingtem Zugriff

Intune-App-Schutzrichtlinien helfen Ihnen, Unternehmensdaten auf App-Ebene zu schützen, auch auf Geräten, die Sie nicht in Intune verwalten. Wenn sich Ihre Benutzer nicht bei geschützten Anwendungen anmelden können, liegt möglicherweise ein Problem mit Den App-basierten Richtlinien für bedingten Zugriff vor. Ausführliche Anleitungen finden Sie unter Problembehandlung bei Anmeldeproblemen mit bedingtem Zugriff .