排查应用保护策略用户问题
本文提供与 Intune 应用保护策略相关的常见用户问题和错误消息的解决方案。 对于以下类别中的用户问题,它提供说明和解决方案:
常见使用方案:用户在具有 Intune 应用保护策略的应用上可能会遇到这些方案。 它们不是实际问题,但可能被视为 bug 或错误。
常见使用对话框:用户在具有 Intune 应用保护策略的应用中看到的使用情况对话框。 这些消息和对话不指示错误或 bug。
iOS 上的错误消息和对话框、 Android 上的错误消息和对话框:用户在具有 Intune 应用保护策略的应用上可能看到的错误消息和对话框。 他们通常表示 IT 管理员或应用保护策略的 bug 出错。
常见使用方案
| 平台 | 场景 | 说明 |
|---|---|---|
| iOS | 用户可以使用 iOS/iPadOS 共享扩展在非托管应用中打开工作或学校数据,即使数据传输策略设置为 “仅限 托管应用”或 “无”应用也是如此。 这是否会泄露数据? | Intune 应用保护策略无法控制 iOS/iPadOS 共享扩展,而无需管理设备。 因此, Intune 在应用外部共享数据之前会加密“公司”数据。 可以通过尝试在托管应用外部打开“公司”文件来验证它。 该文件应经过加密,并且无法在托管应用外部打开。 |
| iOS | 系统会提示用户 安装 Microsoft Authenticator 应用。 | 应用基于应用的条件访问时,需要用到它,请参阅 “需要批准的客户端应用”。 |
| Android | 即使我们在不使用设备注册的情况下使用应用保护,也需要用户安装公司门户应用。 | 在 Android 上,许多应用保护功能内置于公司门户应用中。 即使始终需要公司门户应用,也不要求设备注册。 对于无需注册的应用保护,最终用户只需在设备上安装公司门户应用。 |
| iOS/Android | 应用保护策略未应用于 Outlook 应用中的草稿电子邮件 | 由于 Outlook 支持企业和个人上下文,因此它不会在草稿电子邮件中强制实施 MAM。 |
| iOS/Android | 应用保护策略未应用于 WXP 中的新文档(Word、Excel、PowerPoint) | 由于 WXP 同时支持企业和个人上下文,因此在将 MAM 保存到标识的公司位置(如 OneDrive)之前,它不会对新文档强制执行 MAM。 |
| iOS/Android | 启用策略时不允许“另存为”本地存储的应用 | 此设置的应用行为由应用开发人员控制。 |
| Android | 与 iOS/iPadOS 相比,Android 对“本机”应用可以访问受 MAM 保护的内容的限制更大 | Android 是一个开放平台, 最终用户可以将本机 应用关联更改为潜在的不安全应用。 应用 数据传输策略例外 以免除特定应用。 |
| Android | 阻止另存为时,Azure 信息保护 (AIP) 可以另存为 PDF | 使用“另存为 PDF”时,AIP 遵循“禁用打印”的 MAM 策略。 |
| iOS | 在 Outlook 应用中打开 PDF 附件失败,操作 不允许 | 如果用户未向 Acrobat Reader for Intune 进行身份验证,或者已使用指纹向组织进行身份验证,则可能会出现此问题。 事先打开 Acrobat Reader,并使用 UPN 凭据进行身份验证。 |
常见使用对话框
| 平台 | 消息或对话框 | 解释 |
|---|---|---|
| iOS、Android | 登录:若要保护其数据,组织需要管理此应用。 若要完成此操作,请使用工作或学校帐户登录。 | 最终用户必须使用其工作或学校帐户登录才能使用此应用,这需要应用保护策略。 若要应用策略,用户必须针对 Microsoft Entra ID 进行身份验证。 |
| iOS、Android | 需要重启:你的组织现在正在保护其在此应用中的数据。 需要重启应用才能继续。 | 应用刚刚收到 Intune 应用保护策略,必须重启才能应用策略。 |
| iOS、Android | 不允许的操作:组织仅允许在此应用中打开工作或学校数据。 | IT 管理员已将“允许”应用设置为仅从其他应用接收数据到托管应用。 因此,最终用户只能从具有应用保护策略的其他应用将数据传输到此应用。 |
| iOS、Android | 不允许的操作:组织仅允许将其数据传输到其他托管应用。 | IT 管理员已将“允许”应用仅将数据传输到托管应用。 因此,最终用户只能将此应用中的数据传输到具有应用保护策略的其他应用。 |
| iOS、Android | 擦除警报:组织已删除与此应用关联的数据。 若要继续,请重启应用。 | IT 管理员已使用 Intune 应用保护启动应用擦除。 |
| Android | 公司门户必需:若要将此应用用于工作或学校帐户,必须安装Intune 公司门户应用。 单击“转到商店”继续。 | 在 Android 上,许多应用保护功能内置于公司门户应用中。 即使始终需要公司门户应用,也不要求设备注册。 对于无需注册的应用保护,最终用户只需在设备上安装公司门户应用。 |
iOS 上的错误消息和对话框
| 错误消息或对话框 | 原因 | 修正 |
|---|---|---|
| 应用未设置:尚未设置此应用供你使用。 请联系 IT 管理员寻求帮助。 | 无法检测应用所需的应用保护策略。 | 确保将 iOS 应用保护策略部署到用户的安全组并面向此应用。 |
| 欢迎使用 Intune Managed Browser:此应用在由 Microsoft Intune 管理时效果最佳。 始终可以使用此应用浏览 Web,当它由 Microsoft Intune 管理时,可以访问其他数据保护功能。 | 无法检测 Intune Managed Browser 应用所需的应用保护策略。 用户仍然可以使用该应用浏览 Web,但应用不受 Intune 管理。 |
确保将 iOS 应用保护策略部署到用户的安全组,并面向 Intune Managed Browser 应用。 |
| 登录失败:目前无法登录。 请稍后重试。” | 用户尝试使用工作或学校帐户登录后,无法使用 MAM 服务注册用户。 | 确保将 iOS 应用保护策略部署到用户的安全组并面向此应用。 |
| 帐户未设置:组织尚未设置帐户以访问工作或学校数据。 请联系 IT 管理员寻求帮助。 | 用户帐户没有 Intune A Direct 许可证。 | 确保用户帐户在Microsoft 365 管理中心中分配有 Intune 许可证。 |
| 设备不符合:无法使用此应用,因为使用的是越狱设备。 请联系 IT 管理员寻求帮助。 | Intune 检测到用户位于已越狱的设备上。 | 将设备重置为默认设置。 按照 Apple 支持站点中的这些说明 操作。 |
| 需要 Internet 连接:必须连接到 Internet 才能验证是否可以使用此应用。 | 设备未连接到 Internet。 | 将设备连接到 WiFi 或数据网络。 |
| 未知失败:尝试重启此应用。 如果问题仍然存在,请与 IT 管理员联系以获取帮助。 | 发生未知的失败。 | 请等待一会,然后重试。 如果错误仍然存在,请使用 Intune 创建 支持票证 。 |
| 访问组织的数据:你指定的工作或学校帐户无权访问此应用。 可能必须使用其他帐户登录。 请联系 IT 管理员寻求帮助。 | Intune 检测到用户尝试使用与设备 MAM 注册帐户不同的第二个工作或学校帐户登录。 每个设备一次只能由 MAM 管理一个工作或学校帐户。 | 让用户使用登录屏幕预填充用户名的帐户登录。 可能需要 为 Intune 配置用户 UPN 设置。 或者,让用户使用新的工作或学校帐户登录,并删除现有的 MAM 注册帐户。 |
| 连接问题:发生意外的连接问题。 检查连接,然后重试。 | 意外失败。 | 请等待一会,然后重试。 如果错误仍然存在,请使用 Intune 创建 支持票证 。 |
| 警报:无法再使用此应用。 有关详细信息,请与IT 管理员联系。 | 无法验证应用的证书。 | 确保应用版本是最新的。 重新安装应用。 |
| 错误:此应用遇到问题并且必须关闭。 如果此错误仍然存在,请联系 IT 管理员。 | 无法从 Apple iOS 密钥链读取 MAM 应用 PIN。 | 重启设备。 确保应用版本是最新的。 重新安装应用。 |
Android 上的错误消息和对话框
| 对话框/错误消息 | 原因 | 修正 |
|---|---|---|
| 未设置应用:尚未设置此应用供你使用。 请联系 IT 管理员寻求帮助。 | 无法检测应用所需的应用保护策略。 | 确保将 Android 应用保护策略部署到用户的安全组并面向此应用。 |
| 应用启动失败:启动应用时出现问题。 请尝试更新应用或Intune 公司门户应用。 如果需要帮助,请联系 IT 管理员。 | Intune 检测到应用的有效应用保护策略,但应用在 MAM 初始化期间崩溃。 | 确保应用版本是最新的。 请确保设备上已安装Intune 公司门户应用并更新。 如果错误仍然存在,请使用公司门户应用将日志发送到 Intune 或创建支持票证。 |
| 找不到任何应用:组织允许在此设备上打开此内容的应用。 请联系 IT 管理员寻求帮助。 | 用户尝试使用其他应用打开工作或学校数据,但 Intune 找不到允许打开数据的任何其他托管应用。 | 确保将 Android 应用保护策略部署到用户的安全组,并将至少一个启用了 MAM 的应用作为目标,该应用可以打开相关的数据。 |
| 登录失败:尝试再次登录。 如果此问题仍然存在,请与 IT 管理员联系以获取帮助。 | 无法对用户尝试登录的帐户进行身份验证。 | 确保用户使用已注册 Intune MAM 服务的工作或学校帐户登录(此应用中已成功登录到的第一个工作或学校帐户)。 清除应用的数据。 确保应用版本是最新的。 确保公司门户版本是最新的。 |
| 需要 Internet 连接:必须连接到 Internet 才能验证是否可以使用此应用。 | 设备未连接到 Internet。 | 将设备连接到 WiFi 或数据网络。 |
| 设备不符合:由于使用的是根设备,因此无法使用此应用。 请联系 IT 管理员寻求帮助。 | Intune 检测到用户位于根设备上。 | 将设备重置为默认设置。 |
| 帐户未设置:此应用必须由 Microsoft Intune 管理,但尚未设置帐户。 请联系 IT 管理员寻求帮助。 | 用户帐户没有 Intune A Direct 许可证。 | 确保用户帐户在Microsoft 365 管理中心中分配有 Intune 许可证。 |
| 无法注册应用:此应用必须由 Microsoft Intune 管理,但目前无法注册此应用。 请联系 IT 管理员寻求帮助。 | 当需要应用保护策略时,无法自动向 MAM 服务注册应用。 | 清除应用的数据。 通过公司门户应用或提交支持票证将日志发送到 Intune。 有关详细信息,请参阅 如何在 Microsoft Intune 中获取支持。 |