Problembehandlung für den bedingten Zugriff

  • Artikel

In diesem Artikel wird beschrieben, was zu tun ist, wenn Ihre Benutzer keinen Zugriff auf Ressourcen erhalten, die mit bedingtem Zugriff geschützt sind, oder wenn Benutzer auf geschützte Ressourcen zugreifen können, aber blockiert werden sollten.

Mit Intune und bedingtem Zugriff können Sie den Zugriff auf Microsoft 365-Dienste wie Exchange Online und SharePoint Online sowie verschiedene andere Dienste schützen. Mit dieser Funktion können Sie sicherstellen, dass nur Geräte, die mit Intune registriert sind und den Regeln für bedingten Zugriff entsprechen, die Sie in Intune oder Microsoft Entra ID festgelegt haben, Zugriff auf Ihre Unternehmensressourcen haben.

Anforderungen für bedingten Zugriff

Damit der bedingte Zugriff funktioniert, müssen die folgenden Anforderungen erfüllt sein:

  • Das Gerät muss für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) registriert und von Intune verwaltet werden.

  • Sowohl der Benutzer als auch das Gerät müssen mit den zugewiesenen Intune Konformitätsrichtlinien kompatibel sein.

  • Standardmäßig muss dem Benutzer eine Gerätekonformitätsrichtlinie zugewiesen werden. Dies kann von der Konfiguration der Einstellung Geräte ohne Zugewiesene Konformitätsrichtlinie als markieren abhängig sein, die sich im Intune-Verwaltungsportal unter Einstellungen für gerätekonformitätsrichtlinie> befindet.

  • Exchange ActiveSync muss auf dem Gerät aktiviert werden, wenn der Benutzer den nativen E-Mail-Client des Geräts anstelle von Outlook verwendet. Dies geschieht automatisch für iOS/iPadOS- und Android Knox-Geräte.

  • Für lokales Exchange muss Ihr Intune Exchange Connector ordnungsgemäß konfiguriert sein. Weitere Informationen finden Sie unter Problembehandlung für den Exchange Connector in Microsoft Intune.

  • Für lokales Skype müssen Sie die moderne Hybridauthentifizierung konfigurieren. Weitere Informationen finden Sie unter Übersicht über moderne Hybridauthentifizierung.

Sie können diese Bedingungen für jedes Gerät im Azure-Portal und im Gerätebestandsbericht anzeigen.

Geräte scheinen konform zu sein, benutzer sind aber weiterhin blockiert

  • Stellen Sie sicher, dass dem Benutzer eine Intune Lizenz für eine ordnungsgemäße Konformitätsbewertung zugewiesen ist.

  • Nicht-Knox-Android-Geräten wird der Zugriff erst gewährt, wenn der Benutzer in der empfangenen Quarantäne-E-Mail auf den Link Jetzt loslegen klickt. Dies gilt auch, wenn der Benutzer bereits bei Intune registriert ist. Wenn der Benutzer die E-Mail mit dem Link nicht auf dem Smartphone erhält, kann er über einen PC auf seine E-Mails zugreifen und sie an ein E-Mail-Konto auf dem Gerät weiterleiten.

  • Wenn ein Gerät zum ersten Mal registriert wird, kann es einige Zeit dauern, bis Konformitätsinformationen für ein Gerät registriert sind. Warten Sie einige Minuten, und versuchen Sie es erneut.

  • Bei iOS-/iPadOS-Geräten kann ein vorhandenes E-Mail-Profil die Bereitstellung eines Intune vom Administrator erstellten E-Mail-Profils blockieren, das diesem Benutzer zugewiesen ist, sodass das Gerät nicht konform ist. In diesem Szenario benachrichtigt die Unternehmensportal-App den Benutzer, dass er aufgrund seines manuell konfigurierten E-Mail-Profils nicht konform ist, und fordert den Benutzer auf, dieses Profil zu entfernen. Nachdem der Benutzer das vorhandene E-Mail-Profil entfernt hat, kann das Intune E-Mail-Profil erfolgreich bereitgestellt werden. Um dieses Problem zu vermeiden, weisen Sie Ihre Benutzer an, vor der Registrierung alle vorhandenen E-Mail-Profile auf ihrem Gerät zu entfernen.

  • Ein Gerät bleibt möglicherweise in einem Zustand der Kompatibilitätsprüfung hängen, wodurch der Benutzer daran gehindert wird, ein weiteres Einchecken zu starten. Wenn Sie über ein Gerät in diesem Zustand verfügen:

    • Stellen Sie sicher, dass das Gerät die neueste Version der Unternehmensportal App verwendet.
    • Starten Sie das Gerät neu.
    • Überprüfen Sie, ob das Problem in verschiedenen Netzwerken (z. B. Mobilfunk, WLAN usw.) weiterhin besteht.

    Wenn das Problem weiterhin besteht, wenden Sie sich an Microsoft-Support, wie unter Support in Microsoft Intune beschrieben.

  • Bestimmte Android-Geräte scheinen möglicherweise verschlüsselt zu sein, die Unternehmensportal-App erkennt diese Geräte jedoch als nicht verschlüsselt und markiert sie als nicht konform. In diesem Szenario wird dem Benutzer in der Unternehmensportal-App eine Benachrichtigung angezeigt, in der er aufgefordert wird, eine Startkennung für das Gerät festzulegen. Nachdem Sie auf die Benachrichtigung gekippt und die vorhandene PIN oder das Kennwort bestätigt haben, wählen Sie auf dem Startbildschirm sicherer Start die Option PIN zum Starten des Geräts erforderlich aus, und tippen Sie dann in der Unternehmensportal App auf die Schaltfläche Kompatibilität überprüfen für das Gerät. Das Gerät sollte jetzt als verschlüsselt erkannt werden.

    Hinweis

    Einige Gerätehersteller verschlüsseln ihre Geräte mithilfe einer Standard-PIN anstelle einer vom Benutzer festgelegten PIN. Intune die Verschlüsselung, die eine Standard-PIN verwendet, als unsicher an und kennzeichnet diese Geräte als nicht konform, bis der Benutzer eine neue, nicht standardmäßige PIN erstellt.

  • Ein registriertes und konformes Android-Gerät wird möglicherweise weiterhin blockiert und erhält eine Quarantänebenachrichtigung, wenn er zum ersten Mal versucht, auf Unternehmensressourcen zuzugreifen. Wenn dies der Fall ist, stellen Sie sicher, dass die Unternehmensportal-App nicht ausgeführt wird, und wählen Sie dann den Link Jetzt loslegen in der Quarantäne-E-Mail aus, um die Auswertung auszulösen. Dies sollte nur erforderlich sein, wenn der bedingte Zugriff zuerst aktiviert ist.

  • Ein registriertes Android-Gerät fordert den Benutzer möglicherweise mit der Meldung "Keine Zertifikate gefunden" auf und erhält keinen Zugriff auf Microsoft 365-Ressourcen. Der Benutzer muss die Option Browserzugriff aktivieren auf dem registrierten Gerät wie folgt aktivieren:

    1. Öffnen Sie die Unternehmensportal-App.
    2. Wechseln Sie über die dreifachen Punkte (...) oder die Hardwaremenüschaltfläche zur Seite Einstellungen.
    3. Wählen Sie die Schaltfläche Browserzugriff aktivieren aus.
    4. Melden Sie sich im Chrome-Browser von Microsoft 365 ab, und starten Sie Chrome neu.

  • Desktopanwendungen müssen moderne Authentifizierungsmethoden verwenden, die auf einer Authentifizierungsaufforderung basieren, die entweder in einem Webbrowser oder einem Authentifizierungsbroker angezeigt wird. Skripts, die Kennwörter direkt senden , können nur dann einen Nachweis der Geräteidentität liefern, wenn sie einen Authentifizierungsbroker verwenden.

Geräte werden blockiert, und es wird keine Quarantäne-E-Mail empfangen

  • Stellen Sie sicher, dass das Gerät in der Intune-Verwaltungskonsole als Exchange ActiveSync-Gerät vorhanden ist. Wenn dies nicht der Fall ist, ist es wahrscheinlich, dass die Geräteermittlung fehlschlägt, wahrscheinlich aufgrund eines Exchange Connector-Problems. Weitere Informationen finden Sie unter Problembehandlung beim Intune Exchange Connector.

  • Bevor der Exchange Connector ein Gerät blockiert, sendet er eine Aktivierungs-E-Mail (Quarantäne). Wenn das Gerät offline ist, erhält es die Aktivierungs-E-Mail möglicherweise nicht.

  • Überprüfen Sie, ob der E-Mail-Client auf dem Gerät so konfiguriert ist, dass E-Mails per Push anstelle von Poll abgerufen werden. Wenn dies der Fall ist, kann dies dazu führen, dass der Benutzer die E-Mail verpasst. Wechseln Sie zu Umfrage , und überprüfen Sie, ob das Gerät die E-Mail empfängt.

Geräte sind nicht konform, aber Benutzer werden nicht blockiert.

  • Bei Windows-PCs blockiert der bedingte Zugriff nur die native E-Mail-App, Office 2013 mit moderner Authentifizierung oder Office 2016. Das Blockieren früherer Versionen von Outlook oder aller Mail-Apps auf Windows-PCs erfordert Microsoft Entra Konfigurationen für geräteregistrierung und Active Directory-Verbunddienste (AD FS) (AD FS) gemäß Vorgehensweise: Blockieren der Legacyauthentifizierung für Microsoft Entra ID mit bedingtem Zugriff.

  • Wenn das Gerät selektiv zurückgesetzt oder von Intune außer Betrieb genommen wird, hat es nach der Deaktivierung möglicherweise mehrere Stunden lang weiterhin Zugriff. Dies liegt daran, dass Exchange Zugriffsrechte sechs Stunden lang zwischenspeichert. Ziehen Sie in diesem Szenario andere Möglichkeiten zum Schutz von Daten auf außer Betrieb genommenen Geräten in Betracht.

  • Surface Hub-, Massenregistrierungs- und DEM-registrierte Windows-Geräte können den bedingten Zugriff unterstützen, wenn ein Benutzer, dem eine Lizenz für Intune zugewiesen ist, angemeldet ist. Sie müssen die Konformitätsrichtlinie jedoch für Gerätegruppen (nicht für Benutzergruppen) bereitstellen, um eine korrekte Auswertung zu ermöglichen.

  • Überprüfen Sie die Zuweisungen für Ihre Konformitätsrichtlinien und Ihre Richtlinien für bedingten Zugriff. Wenn sich ein Benutzer nicht in der Gruppe befindet, der die Richtlinien zugewiesen sind, oder sich in einer ausgeschlossenen Gruppe befindet, wird der Benutzer nicht blockiert. Nur Geräte für Benutzer in einer zugewiesenen Gruppe werden auf Konformität überprüft.

Nicht kompatibles Gerät ist nicht blockiert

Wenn ein Gerät nicht konform ist, aber weiterhin Zugriff hat, führen Sie die folgenden Aktionen aus.

  • Überprüfen Sie Ihre Ziel- und Ausschlussgruppen. Wenn sich ein Benutzer nicht in der richtigen Zielgruppe befindet oder sich in der Ausschlussgruppe befindet, wird er nicht blockiert. Nur Geräte von Benutzern in einer Zielgruppe werden auf Konformität überprüft.

  • Stellen Sie sicher, dass das Gerät ermittelt wird. Verweist der Exchange-Connector auf einen Exchange 2010-Cas, während sich der Benutzer auf einem Exchange 2013-Server befindet? Wenn in diesem Fall die Exchange-Standardregel Zulassen lautet, auch wenn sich der Benutzer in der Zielgruppe befindet, kann Intune die Verbindung des Geräts mit Exchange nicht kennen.

  • Überprüfen Sie die Geräteexistenz/den Zugriffsstatus in Exchange:

    • Verwenden Sie dieses PowerShell-Cmdlet, um eine Liste aller mobilen Geräte für ein Postfach abzurufen: "Get-MobileDeviceStatistics -mailbox mbx". Wenn das Gerät nicht aufgeführt ist, greift es nicht auf Exchange zu. Weitere Informationen finden Sie in der Exchange PowerShell-Dokumentation.

    • Wenn das Gerät aufgeführt ist, verwenden Sie "Get-CASmailbox -identity:'upn" | Fl'-Cmdlet, um detaillierte Informationen zum Zugriffsstatus zu erhalten und diese Informationen für Microsoft-Support bereitzustellen. Weitere Informationen finden Sie in der Exchange PowerShell-Dokumentation.

Anmeldefehler beim appbasierten bedingten Zugriff

Intune App-Schutzrichtlinien helfen Ihnen, Unternehmensdaten auf App-Ebene zu schützen, auch auf Geräten, die Sie nicht in Intune verwalten. Wenn sich Ihre Benutzer nicht bei geschützten Anwendungen anmelden können, liegt möglicherweise ein Problem mit Ihren App-basierten Richtlinien für bedingten Zugriff vor. Ausführliche Anleitungen finden Sie unter Behandeln von Anmeldeproblemen mit bedingtem Zugriff .