устройство не соответствует требованиям политики доступа заданным для этого приложения
Это устройство не соответствует требованиям безопасности, заданным вашим администратором электронной почты.
Если появилось это сообщение, ознакомьтесь с указанными ниже возможными причинами, а затем выполните инструкции для устранения проблемы и повторите попытку синхронизации.
Для приложений «Почта» и «Календарь» на компьютере
Ваш компьютер должен соответствовать требованиям безопасности, установленным администратором электронной почты
Узнайте у администратора, какие политики применяются для вашего почтового ящика. Приложения Почта и Календарь могут применять большинство политик автоматически, но бывают случаи, когда вам необходимо сначала выполнить определенные действия, например:
Проверьте, есть ли у вашей учетной записи права администратора на компьютере.
Задайте надежные пароли для всех учетных записей администраторов на компьютере.
Проследите, чтобы все пользователи на компьютере могли изменить свой пароль.
Отключите гостевые учетные записи.
Зашифруйте все разделы компьютера с помощью специального программного обеспечения.
После всех этих изменений перезагрузите компьютер и попробуйте выполнить синхронизацию.
Длина и сложность пароля для типов учетных записей
Узнайте у администратора электронной почты значение политики паролей для своего почтового ящика. Различные типы учетных записей имеют разные уровни поддержки политик длины и сложности паролей.
Политика MinDevicePasswordLength определяет минимальную длину пароля.
Политика MinDevicePasswordComplexCharacters определяет минимальное количество типов символов, которые должен содержать пароль учетной записи в соответствии с требованиями безопасности. Возможные типы символов:
Например, если политика MinDevicePasswordComplexCharacters имеет значение 2, будет достаточно, чтобы пароль содержал прописные и строчные буквы или же строчные буквы и цифры.
Различные типы учетных записей имеют разные уровни поддержки политик длины и сложности паролей, как поясняется ниже.
Локальные учетные записи
Локальные учетные записи могут полностью поддерживать политику длины паролей, но допускают использование только трех типов символов, а не всех четырех, которые позволяет указать протокол Exchange Active Sync (EAS). Если для политики EAS заданы обязательные четыре типа символов, все локальные учетные записи не будут соответствовать требованиям. Это связано с тем, что в операционной системе Windows нет явной поддержки выбора количества сложных символов в пароле. Вместо этого она требует, чтобы пароли соответствовали определенному уровню сложности. Эта сложность подразумевает три типа символов, поэтому учетные записи Windows не могут поддерживать политику EAS, которая требует для параметра MinDevicePasswordComplexCharacters значение больше 3.
Учетные записи Майкрософт
Свою учетную запись Майкрософт (которая раньше называлась идентификатором Windows Live ID) вы используете на устройствах и в службах Майкрософт. Для учетных записей Майкрософт обязательны минимальная длина пароля 8 символов и 2 типа символов в пароле. Таким образом, учетные записи Майкрософт соответствуют требованиям, если для политики MinDevicePasswordLength задано значение меньшее или равное 8 символам, а для политики MinDevicePasswordComplexCharacters — меньшее или равное 2.
Ошибки несоответствия требованиям появляются, если применяются более строгие политики EAS, чем способны поддерживать учетные записи Майкрософт. Чтобы в этом случае синхронизировать электронную почту, перейдите в параметры учетных записей и отключите все свои учетные записи Майкрософт.
Учетные записи доменов и Azure Active Directory
Учетные записи доменов и учетные записи Azure Active Directory не оцениваются локально на соответствие политикам паролей, задаваемым протоколом EAS, поскольку предполагается, что политики EAS и политики учетных записей доменов относятся к одной службе учетных записей. Эти политики включают параметры сложности, длины, срока действия и журнала.
Для приложений «Почта Outlook» и «Календарь Outlook» на мобильном устройстве
Ваше устройство должно соответствовать требованиям безопасности, установленным администратором электронной почты
Обратитесь к администратору, чтобы узнать, какие политики применяются к вашему почтовому ящику. Большинство политик могут автоматически применяться приложениями «Почта» и «Календарь», но в некоторых случаях необходимо принять необходимые меры. Например, убедитесь, что:
Зашифруйте все разделы мобильного устройства с помощью специального программного обеспечения.
После этого изменения перезагрузите мобильное устройство и попробуйте выполнить синхронизацию.
Устранение неполадок условного доступа
В этой статье описывается, что делать, если пользователям не удается получить доступ к ресурсам, защищенным условным доступом, или когда пользователи могут получать доступ к защищенным ресурсам, но должны быть заблокированы.
С помощью intune и условного доступа можно защитить доступ к таким службам, как:
Эта возможность позволяет убедиться, что доступ к ресурсам вашей компании имеют только устройства, зарегистрированные с помощью Intune и совместимые с правилами условного доступа, установленными в консоли администрирования Intune или Azure Active Directory.
Требования к условному доступу
Для условного доступа к работе должны быть выполнены следующие требования:
Устройство должно быть зарегистрировано в MDM и управляется Intune.
Как пользователь, так и устройство должны быть совместимы с назначенной политикой соответствия требованиям Intune.
По умолчанию пользователю должна быть назначена политика соответствия требованиям к устройству. Это может зависеть от конфигурации устройств mark параметра без политики соответствия требованиям, назначенной в соответствии с политикой соответствия требованиям Параметры на портале администрирования > Intune.
Exchange ActiveSync необходимо активировать на устройстве, если пользователь использует родной почтовый клиент устройства, а не Outlook. Это происходит автоматически для устройств iOS/iPadOS и Android Knox.
Для локального Exchange необходимо правильно настроить Exchange соединитель Intune. Дополнительные сведения см. в Exchange соединителе Microsoft Intune.
Для локальной Skype необходимо настроить гибридную современную проверку подлинности. См. обзор гибридного современного auth.
Эти условия можно просмотреть для каждого устройства на портале Azure и в отчете о инвентаризации устройств.
Устройства кажутся совместимыми, но пользователи по-прежнему заблокированы
Убедитесь, что пользователю назначена лицензия Intune для надлежащей оценки соответствия требованиям.
Устройствам, не относимым к Android, не будет предоставлен доступ до тех пор, пока пользователь не нажмет ссылку Начало работы Теперь в получаемой электронной почте карантина. Это применяется, даже если пользователь уже зарегистрирован в Intune. Если пользователь не получает сообщение электронной почты со ссылкой на телефон, он может использовать компьютер для доступа к электронной почте и отправки ее в учетную запись электронной почты на своем устройстве.
При первом регистрации устройства может потребоваться некоторое время для регистрации сведений о соответствии требованиям для устройства. Подождите несколько минут и попробуйте еще раз.
Для устройств iOS/iPadOS существующий профиль электронной почты может блокировать развертывание профиля электронной почты, созданного администратором Intune, назначенного этому пользователю, что делает устройство некомплиентным. В этом случае приложение Корпоративный портал уведомит пользователя о том, что он не соответствует требованиям из-за настраиваемого вручную профиля электронной почты, и оно будет побуждать пользователя удалить этот профиль. После удаления существующего профиля электронной почты профиль электронной почты Intune может успешно развернуться. Чтобы предотвратить эту проблему, проинструктуйте пользователей удалить все существующие профили электронной почты на своем устройстве перед регистрацией.
Устройство может застрять в состоянии проверки соответствия требованиям, что не позволит пользователю начать еще одну регистрацию. Если у вас есть устройство в этом состоянии:
Если проблема сохраняется, обратитесь в Службу поддержки Майкрософт, как описано в описании, чтобы получить поддержку в Microsoft Endpoint Manager.
Некоторые устройства Android могут показаться зашифрованными, однако приложение Корпоративный портал распознает эти устройства как не зашифрованные и отмечает их как несложные. В этом сценарии пользователь увидит уведомление в приложении Корпоративный портал с просьбой задать запуск пароля для устройства. После нажатия уведомления и подтверждения существующего ПИН-кода или пароля выберите необходимый ПИН-код для запуска параметра устройства на экране запуска Secure, а затем нажмите кнопку Check Compliance для устройства из Корпоративный портал приложения. Теперь устройство должно быть обнаружено как зашифрованное.
Некоторые производители устройств шифруют свои устройства с помощью ПИН-кода по умолчанию вместо ПИН-кода, установленного пользователем. Intune рассматривает шифрование, использующее ПИН-код по умолчанию как небезопасный, и отмечает эти устройства как нескомплиентные, пока пользователь не создаст новый, не по умолчанию ПИН-код.
Устройство Android, которое зарегистрировано и соответствует требованиям, по-прежнему может быть заблокировано и получать уведомление о карантине при первом попытке получить доступ к корпоративным ресурсам. Если это произойдет, убедитесь, что Корпоративный портал приложение не запущено, выберите ссылку Начало работы Now в карантином электронном письме, чтобы вызвать оценку. Это необходимо сделать только при первом включаемом условном доступе.
Зарегистрированное android-устройство может подсказыть пользователю «Нет найденных сертификатов» и не получить доступ к Microsoft 365 ресурсам. Пользователь должен включить параметр Включить доступ к браузеру на зарегистрированных устройствах следующим образом:
Устройства заблокированы и не получается карантиновая электронная почта
Убедитесь, что устройство присутствует в консоли администрирования Intune в качестве Exchange ActiveSync устройства. Если это не так, вероятно, обнаружение устройства не удается, вероятно, из-за проблемы Exchange соединители. Дополнительные сведения см. в дополнительных сведениях об устранении неполадок соединители Exchange Intune.
Перед блокировкой Exchange соединителю отправляется сообщение активации (карантина). Если устройство находится в автономном режиме, оно может не получать сообщение об активации.
Проверьте, настроен ли клиент электронной почты на устройстве для получения электронной почты с помощью Push вместо Poll. Если это так, это может привести к тому, что пользователь пропустит сообщение электронной почты. Переключиться на опрос и узнать, получает ли устройство сообщение электронной почты.
Устройства некомплитентные, но пользователи не заблокированы
Для Windows компьютеров условный доступ блокирует только родной почтовый приложение, Office 2013 с помощью современной проверки подлинности или Office 2016. Для блокировки более ранних версий Outlook или всех почтовых приложений на Windows ПК требуются конфигурации регистрации устройств Azure AD и Active Directory Federation Services (AD FS) в зависимости от того, как:заблокировать устаревшую проверку подлинности в Azure AD с условным доступом.
Если устройство выборочно вытерто или выбыло из Intune, он может продолжать получать доступ в течение нескольких часов после выхода на пенсию. Это потому, что Exchange кэш права доступа в течение шести часов. В этом сценарии рассмотрим другие средства защиты данных на устройствах с выходом на пенсию.
Surface Hub, массово зарегистрированные и зарегистрированные Windows DEM могут поддерживать условный доступ при входе пользователя, которому назначена лицензия для Intune. Однако для правильной оценки необходимо развернуть политику соответствия требованиям группам устройств (а не группам пользователей).
Проверьте назначения для политик соответствия требованиям и политик условного доступа. Если пользователь не находится в группе, назначенной политикам, или находится в исключенной группе, пользователь не блокируется. Проверяются на соответствие требованиям только устройства для пользователей в назначенной группе.
Некомплиентное устройство не блокируется
Если устройство не соответствует требованиям, но продолжает иметь доступ, примите следующие действия.
Просмотрите целевые группы и группы исключения. Если пользователь не находится в нужной целевой группе или находится в группе исключения, он не будет заблокирован. Проверяются на соответствие требованиям только устройства пользователей в целевой группе.
Убедитесь, что устройство обнаружено. Является ли Exchange, указывающий на Exchange 2010 г., когда пользователь находится на Exchange 2013 г.? В этом случае, если по умолчанию Exchange допустимо, даже если пользователь находится в целевой группе, Intune не может знать о подключении устройства к Exchange.
Проверьте состояние существования и доступа устройства в Exchange:
Если устройство включено в список, используйте «Get-CASmailbox-identity:’upn’ | cmdlet fl’ для получения подробных сведений о состоянии доступа и предоставления этой информации в Службу поддержки Майкрософт.
Дальнейшие действия
Если эта информация вам не поможет, вы также можете получить поддержку в Microsoft Endpoint Manager.
Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune
Решения в управлении мобильными устройствами (MDM), такие как Intune, помогают защитить данные организации, запрашивая пользователей и устройства в соответствии с некоторыми требованиями. В Intune эта функция называется политики соответствия.
Политики соответствия в Intune.
В Intune есть две части политик соответствия:
Параметры политики соответствия — параметры на уровне клиента, которые аналогичны встроенной политике соответствия, получаемой каждым устройством. Параметры политики соответствия определяют базовый уровень работы политики соответствия в среде Intune, включая сведения о том, являются ли устройства, которые не получили никаких политик соответствия устройств, соответствующими или несоответствующими.
Политика соответствия устройств — правила для конкретной платформы, которые настраиваются и развертываются в группах пользователей или устройств. Эти правила определяют требования к устройствам, например к минимальным операционным системам или использованию шифрования дисков. Устройства должны соответствовать этим правилам, чтобы считаться соответствующими.
Как и другие политики Intune, оценки политики соответствия устройства зависят от того, когда оно выполняет проверки в Intune, а также от циклов обновления политики и профиля.
Параметры политики соответствия требованиям
Параметры политики соответствия являются параметрами на уровне клиента, которые определяют, как служба соответствия Intune взаимодействует с вашими устройствами. Эти параметры отличаются от параметров, настраиваемых в политике соответствия устройств.
Чтобы управлять параметрами политики соответствия, войдите в Центр администрирования Microsoft Endpoint Manager и перейдите в Безопасность конечной точки > Соответствие устройств > Параметры политики соответствия.
Параметры политики соответствия включают следующие параметры.
Отметка устройств без назначенной политики соответствия.
Этот параметр определяет, как Intune обрабатывает устройства, которым не назначена политика соответствия устройств. У этого параметра два значения:
При использовании условного доступа с политиками соответствия устройств рекомендуется изменить этот параметр на Несоответствующие, чтобы обеспечить доступ к ресурсам только тем устройствам, которые подтверждены как соответствующие требованиям.
Если пользователь не соответствует требованиям, потому что ему не назначена политика, в приложении корпоративного портала будет отображаться «Политики соответствия не назначены».
Улучшенное обнаружение взлома (применяется только к iOS/iPadOS).
Этот параметр влияет только на устройства, для которых назначена политика соответствия, блокирующая устройства со снятой защитой. (См. параметры Работоспособности устройств для iOS//iPadOS).
У этого параметра два значения:
При включении на соответствующем устройстве iOS/iPadOS устройство:
Улучшенное обнаружение взлома выполняет оценку в следующих случаях:
В iOS 13 и более поздних версиях для использования этой функции пользователи должны выбирать Всегда разрешать каждый раз, когда устройство запрашивает разрешение для Корпоративного портала использовать их расположение в фоновом режиме. Если этот флажок установлен, это позволит выполнять более частые проверки обнаружения взлома.
Период действия состояния соответствия требованиям (в днях)
Укажите период, в котором устройства должны успешно сообщать о всех полученных политиках соответствия. Если устройству не удается сообщить в состоянии соответствия политике до истечения срока действия, оно считается несоответствующим.
По умолчанию этот период составляет 30 дней. Можно настроить период от 1 до 120 дней.
Вы можете просмотреть сведения о соответствии устройства параметру периода действия. Войдите в Центр администрирования Microsoft Endpoint Manager и перейдите в Устройства > Мониторинг > Настройка соответствия. Этот параметр называется Активный в столбце Настройка. Дополнительные сведения об этом и связанных с ним представлениях состояния соответствия см. в разделе Мониторинг соответствия устройств.
Политики соответствия требованиям для устройств
Политики соответствия устройств Intune:
При использовании условного доступа политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств.
Доступные параметры, которые можно указать в политике соответствия устройств, зависят от типа платформы, выбранной при создании политики. Различные платформы устройств поддерживают разные параметры, и для каждого типа платформы требуется отдельная политика.
Следующие темы содержат ссылки на выделенные статьи для различных аспектов политики конфигурации устройств.
Действия при несоответствии — каждая политика соответствия устройств включает одно или несколько действий при несоответствии. Эти действия являются правилами, которые применяются к устройствам, не соответствующим условиям, заданным в политике.
По умолчанию каждая политика соответствия устройств включает действие, которое помечает устройство как несоответствующее, если оно не соответствует правилу политики. Затем политика применяет к устройству любые дополнительные действия при несоответствии, настроенные на основе расписаний, заданных для этих действий.
Действия при несоответствии могут предупреждать пользователей о том, что их устройство не соответствует требованиям, или защищать данные, которые могут на нем храниться. Ниже приведены примеры действий.
Создание политики — сведения, приведенные в этой статье, позволяют просмотреть предварительные требования, работать с параметрами для настройки правил, указывать действия при несоответствии и назначать политику группам. Кроме того, статья содержит сведения о времени обновления политики.
Просмотрите параметры соответствия для различных платформ устройств:
Мониторинг состояния соответствия
Intune включает панель мониторинга соответствия устройств, которая используется для мониторинга состояния соответствия устройств, а также для детализации политик и устройств, позволяющей получить дополнительные сведения. Дополнительные сведения о панели мониторинга см. в разделе Мониторинг соответствия устройств.
Интеграция с условным доступом
При использовании условного доступа можно настроить политики условного доступа для использования результатов политик соответствия устройств, чтобы определить, какие устройства могут получать доступ к ресурсам организации. Этот контроль доступа является отдельным дополнением к действиям при несоответствии, включенным в политики соответствия устройств.
При регистрации устройства в Intune оно регистрируется в Azure AD. Состояние соответствия устройств выводится в Azure AD. Если в ваших политиках условного доступа для элементов управления доступом задано значение Требовать, чтобы устройство было отмечено как соответствующее, условный доступ использует это состояние соответствия, чтобы определить, следует ли предоставлять или блокировать доступ к электронной почте и другим ресурсам организации.
Если вы будете использовать состояние соответствия устройств с политиками условного доступа, проверьте способ настройки вашего клиента Отметка устройств без назначенной политики соответствия, которым вы управляете в разделе Параметры политики соответствия.
Дополнительные сведения об использовании условного доступа с политиками соответствия устройств см. в разделе Условный доступ на основе устройств
Дополнительные сведения об условном доступе в документации по Azure AD.
Ссылка на несоответствие требованиям и условный доступ на разных платформах
В приведенной ниже таблице показано, как осуществляется управление несоответствующими параметрами при использовании политики соответствия требованиям вместе с политикой условного доступа.
Исправлено: операционная система устройства обеспечивает соответствие. Например, пользователю приходится установить ПИН-код.
Карантин: операционная система устройства не обеспечивает соответствие. Например, устройства с Android и Android Enterprise не вынуждают пользователя зашифровывать устройство. Если устройство не соответствует требованиям, выполняются следующие действия:
— iOS 8.0 и более поздние версии: исправлено
— macOS 10.11 и более поздние версии: исправлено
— Windows 8.1 и более поздние версии: исправлено
— Samsung Knox Standard 4.0 и более поздние версии: карантин
— Android Enterprise: карантин
— iOS 8.0 и более поздние версии: исправление (путем установки ПИН-кода)
— macOS 10.11 и более поздние версии: карантин
— Windows 8.1 и более поздние версии: неприменимо
— Samsung Knox Standard 4.0 и более поздние версии: карантин (не параметр)
— Android Enterprise: карантин (не параметр)
— iOS 8.0 и более поздние версии: карантин (не параметр)
— macOS 10.11 и более поздние версии: неприменимо
— Windows 8.1 и более поздние версии: неприменимо
— Samsung Knox Standard 4.0 и более поздние версии: неприменимо
— Android Enterprise: неприменимо
— iOS 8.0 и более поздние версии: карантин
— macOS 10.11 и более поздние версии: карантин
— Windows 8.1 и более поздние версии: неприменимо
— Samsung Knox Standard 4.0 и более поздние версии: карантин
— Android Enterprise: карантин
— iOS 8.0 и более поздние версии: карантин
— macOS 10.11 и более поздние версии: карантин
— Windows 8.1 и более поздние версии: карантин
— Samsung Knox Standard 4.0 и более поздние версии: карантин
— Android Enterprise: карантин
— iOS 8.0 и более поздние версии: карантин
— macOS 10.11 и более поздние версии: карантин
— Windows 8.1 и более поздние версии: карантин
— Samsung Knox Standard 4.0 и более поздние версии: неприменимо
— Android Enterprise: неприменимо
— iOS 8.0 и более поздние версии: неприменимо
— macOS 10.11 и более поздние версии: неприменимо
- устройство аппаратной отрисовки не найдено приложение будет закрыто overwatch
- устройство подключено к драйверу который не поддерживается приложением magician