Condividi tramite

Risolvere i problemi di accesso condizionale

  • Articolo

Questo articolo descrive le operazioni da eseguire quando gli utenti non riescono a ottenere l'accesso alle risorse protette con l'accesso condizionale o quando gli utenti possono accedere a risorse protette, ma devono essere bloccate.

Con Intune e l'accesso condizionale, è possibile proteggere l'accesso ai servizi di Microsoft 365 come Exchange Online e SharePoint Online e vari altri servizi. Questa funzionalità consente di assicurarsi che solo i dispositivi registrati con Intune e conformi alle regole di accesso condizionale impostate in Intune o Microsoft Entra ID abbiano accesso alle risorse aziendali.

Requisiti per l'accesso condizionale

Per il funzionamento dell'accesso condizionale, è necessario soddisfare i requisiti seguenti:

  • Il dispositivo deve essere registrato nella gestione dei dispositivi mobili (MDM) e gestito da Intune.

  • Sia l'utente che il dispositivo devono essere conformi ai criteri di conformità di Intune assegnati.

  • Per impostazione predefinita, all'utente deve essere assegnato un criterio di conformità del dispositivo. Questo può dipendere dalla configurazione dell'impostazione Contrassegnare i dispositivi senza criteri di conformità assegnati in Impostazioni dei criteri di conformità>del dispositivo nel portale di amministrazione di Intune.

  • Exchange ActiveSync deve essere attivato nel dispositivo se l'utente usa il client di posta nativo del dispositivo anziché Outlook. Questo avviene automaticamente per i dispositivi iOS/iPadOS e Android Knox.

  • Per Exchange locale, Intune Exchange Connector deve essere configurato correttamente. Per altre informazioni, vedere Risoluzione dei problemi di Exchange Connector in Microsoft Intune.

  • Per Skype locale, è necessario configurare l'autenticazione moderna ibrida. Vedere Panoramica dell'autenticazione moderna ibrida.

È possibile visualizzare queste condizioni per ogni dispositivo nel report portale di Azure e nell'inventario dei dispositivi.

I dispositivi vengono visualizzati come conformi, ma gli utenti sono comunque bloccati

  • Assicurarsi che all'utente sia assegnata una licenza di Intune per la valutazione corretta della conformità.

  • Ai dispositivi Android non Knox non verrà concesso l'accesso finché l'utente non fa clic sul collegamento Get Started Now (Inizia adesso ) nel messaggio di posta elettronica di quarantena ricevuto. Questo vale anche se l'utente è già registrato in Intune. Se l'utente non riceve il messaggio di posta elettronica con il collegamento sul telefono, può usare un PC per accedere alla posta elettronica e inoltrarlo a un account di posta elettronica sul dispositivo.

  • Quando un dispositivo viene registrato o aggiornato per la prima volta, potrebbe essere necessario del tempo per registrare informazioni e attributi di conformità per un dispositivo. Attendere alcuni minuti e riprovare.

  • Per i dispositivi iOS/iPadOS, un profilo di posta elettronica esistente potrebbe bloccare la distribuzione di un profilo di posta elettronica creato dall'amministratore di Intune assegnato a tale utente, rendendo il dispositivo non conforme. In questo scenario, l'app Portale aziendale informerà l'utente che non è conforme a causa del profilo di posta elettronica configurato manualmente e richiede all'utente di rimuovere il profilo. Dopo aver rimosso il profilo di posta elettronica esistente, il profilo di posta elettronica di Intune può essere distribuito correttamente. Per evitare questo problema, indicare agli utenti di rimuovere eventuali profili di posta elettronica esistenti nel dispositivo prima della registrazione.

  • Un dispositivo potrebbe rimanere bloccato in uno stato di verifica della conformità, impedendo all'utente di avviare un'altra archiviazione. Se si dispone di un dispositivo in questo stato:

    • Assicurarsi che il dispositivo usi la versione più recente dell'app Portale aziendale.
    • Riavviare il dispositivo.
    • Verificare se il problema persiste su reti diverse (ad esempio, cellulare, Wi-Fi e così via).

    Se il problema persiste, contattare supporto tecnico Microsoft come descritto in Ottenere supporto in Microsoft Intune.

  • Alcuni dispositivi Android potrebbero sembrare crittografati, ma l'app Portale aziendale riconosce questi dispositivi come non crittografati e li contrassegna come non conformi. In questo scenario, l'utente visualizzerà una notifica nell'app Portale aziendale chiedendo loro di impostare un passcode di avvio per il dispositivo. Dopo aver toccato la notifica e aver confermato il PIN o la password esistenti, scegliere l'opzione Richiedi PIN per avviare il dispositivo nella schermata di avvio protetto, quindi toccare il pulsante Controlla conformità per il dispositivo dall'app Portale aziendale. Il dispositivo dovrebbe ora essere rilevato come crittografato.

    Note

    Alcuni produttori di dispositivi crittografano i dispositivi usando un PIN predefinito anziché un PIN impostato dall'utente. Intune visualizza la crittografia che usa un PIN predefinito come non sicuro e contrassegna tali dispositivi come non conformi fino a quando l'utente non crea un nuovo PIN non predefinito.

  • Un dispositivo Android registrato e conforme potrebbe comunque essere bloccato e ricevere un avviso di quarantena al primo tentativo di accesso alle risorse aziendali. In questo caso, assicurarsi che l'app Portale aziendale non sia in esecuzione, quindi selezionare il collegamento Inizia subito nel messaggio di posta elettronica di quarantena per attivare la valutazione. Questa operazione deve essere eseguita solo quando l'accesso condizionale è abilitato per la prima volta.

  • Un dispositivo Android registrato potrebbe richiedere all'utente "Nessun certificato trovato" e non viene concesso l'accesso alle risorse di Microsoft 365. L'utente deve abilitare l'opzione Abilita accesso browser nel dispositivo registrato come indicato di seguito:

    1. Aprire l'app Portale aziendale.
    2. Passare alla pagina Impostazioni dal triplo punto (...) o dal pulsante del menu hardware.
    3. Selezionare il pulsante Abilita accesso al browser.
    4. Nel browser Chrome disconnettersi da Microsoft 365 e riavviare Chrome.

  • Le applicazioni desktop devono usare metodi di autenticazione moderni che si basano su un prompt di autenticazione visualizzato in un Web browser o in un broker di autenticazione. Gli script che inviano direttamente le password possono fornire una prova dell'identità di un dispositivo solo se usano un broker di autenticazione.

I dispositivi sono bloccati e non è stato ricevuto alcun messaggio di posta elettronica di quarantena

  • Verificare che il dispositivo sia presente nella console di amministrazione di Intune come dispositivo Exchange ActiveSync. In caso contrario, è probabile che l'individuazione dei dispositivi abbia esito negativo, probabilmente a causa di un problema di Exchange Connector. Per altre informazioni, vedere Risolvere i problemi di Intune Exchange Connector.

  • Prima che Exchange Connector blocchi un dispositivo, invia un messaggio di posta elettronica di attivazione (quarantena). Se il dispositivo è offline, potrebbe non ricevere il messaggio di posta elettronica di attivazione.

  • Controllare se il client di posta elettronica nel dispositivo è configurato per recuperare la posta elettronica usando Push anziché Poll. In questo caso, l'utente potrebbe perdere il messaggio di posta elettronica. Passare a Polling e verificare se il dispositivo riceve il messaggio di posta elettronica.

I dispositivi non sono conformi, ma gli utenti non sono bloccati

  • Per i PC Windows, l'accesso condizionale blocca solo l'app di posta elettronica nativa, Office 2013 con l'autenticazione moderna o Office 2016. Il blocco delle versioni precedenti di Outlook o di tutte le app di posta elettronica nei PC Windows richiede la registrazione del dispositivo Microsoft Entra e le configurazioni di Active Directory Federation Services (AD FS) in base a Procedura: Bloccare l'autenticazione legacy a Microsoft Entra ID con accesso condizionale.

  • Se il dispositivo viene cancellato o ritirato in modo selettivo da Intune, potrebbe continuare ad avere accesso per diverse ore dopo il ritiro. Ciò è dovuto al fatto che Exchange memorizza nella cache i diritti di accesso per sei ore. Prendere in considerazione altri mezzi per proteggere i dati nei dispositivi ritirati in questo scenario.

  • I dispositivi Windows registrati in blocco e DEM registrati in Surface Hub possono supportare l'accesso condizionale quando un utente a cui è assegnata una licenza per Intune è connesso. Tuttavia, è necessario distribuire i criteri di conformità ai gruppi di dispositivi (non ai gruppi di utenti) per la valutazione corretta.

  • Controllare le assegnazioni per i criteri di conformità e i criteri di accesso condizionale. Se un utente non è nel gruppo a cui sono assegnati i criteri o si trova in un gruppo escluso, l'utente non viene bloccato. Solo i dispositivi per gli utenti di un gruppo assegnato vengono controllati per la conformità.

Il dispositivo non conforme non è bloccato

Se un dispositivo non è conforme ma continua ad avere accesso, eseguire le azioni seguenti.

  • Esaminare i gruppi di destinazione ed esclusione. Se un utente non è nel gruppo di destinazione corretto o si trova nel gruppo di esclusione, non verrà bloccato. Solo i dispositivi degli utenti in un gruppo di destinazione vengono controllati per la conformità.

  • Verificare che il dispositivo venga individuato. Exchange Connector punta a un sito cas di Exchange 2010 mentre l'utente si trova in un server Exchange 2013? In questo caso, se la regola di Exchange predefinita è Consenti, anche se l'utente si trova nel gruppo Di destinazione, Intune non può essere a conoscenza della connessione del dispositivo a Exchange.

  • Controllare l'esistenza/lo stato di accesso del dispositivo in Exchange:

    • Usare questo cmdlet di PowerShell per ottenere un elenco di tutti i dispositivi mobili per una cassetta postale: 'Get-MobileDeviceStatistics -mailbox mbx'. Se il dispositivo non è elencato, non accede a Exchange. Per altre informazioni, vedere la documentazione di Exchange PowerShell.

    • Se il dispositivo è elencato, usare 'Get-CASmailbox -identity:'upn' | cmdlet fl' per ottenere informazioni dettagliate sullo stato di accesso e fornire tali informazioni per supporto tecnico Microsoft. Per altre informazioni, vedere la documentazione di Exchange PowerShell.

Errori di accesso con l'accesso condizionale basato su app

I criteri di protezione delle app di Intune consentono di proteggere i dati aziendali a livello di app, anche nei dispositivi non gestiti in Intune. Se gli utenti non riescono ad accedere alle applicazioni protette, potrebbe verificarsi un problema con i criteri di accesso condizionale basati su app. Per indicazioni dettagliate, vedere Risoluzione dei problemi di accesso con l'accesso condizionale.