51CTO 博客地址: https://blog.51cto.com/14669127
Azure培训视频地址: https://space.bilibili.com/2000820534
很多企业在使用Microsoft 365作为企业办公协作管理平台时,都会结合Intune Management和Azure Conditional Access集成来确保企业内部资源的安全性,今天本文将给大家分享一下场景问题排错,希望对大家日后管理提供帮助。
· 在 Microsoft Intune 中部署密码策略时出现错误 -2016281112
· 使用Intune加密报告对 BitLocker 进行故障排除
· Intune许可的用户在尝试访问 Microsoft 365 资源时,系统会提示他们注册
故障1场景:在 Microsoft Intune 中部署密码策略时出现错误 -2016281112,如下图所示:
原因是:对于 Android 和 Windows 桌面设备,不能使用设备限制策略立即对用户强制实施密码策略。 如果用户未根据策略的要求更改密码,则错误仍然存在。
解决方案:
· 若要解决此问题,请指示用户更改其密码,在 Android 平台上,用户必须接受密码更改通知。
· 在 Windows MDM 桌面平台上,用户必须按 Ctrl+Alt+DEL 并选择“ 更改密码”,然后将强制实施新的密码规则。
故障场景2:Microsoft Intune提供内置加密报告,提供有关所有托管设备的加密状态的详细信息。 Intune加密报告是排查加密失败问题的关键, 可以使用报告来识别和隔离 BitLocker 加密失败,并查看受信任的平台模块 (TPM) Windows 设备的状态和加密状态。
Intune注册Windows 10设备上的 BitLocker 加密失败可能属于以下类别之一:
· 设备硬件或软件不符合启用 BitLocker 的先决条件。
· Intune BitLocker 策略配置错误,导致组策略对象 (GPO) 冲突。
· 设备已加密,加密方法与策略设置不匹配。
若要确定设备加密失败的类别,请登录到 Microsoft Endpoint Manager 管理中心 ,然后选择“ 设备>监视>加密报告”,报告将显示已注册设备的列表,并显示设备是否已加密或已准备好进行加密。
常见的解决方案:设备已准备就绪,但未加密。
加密状态说明:此设备具有为用户交互而不是无提示加密配置的 BitLocker 策略。 用户尚未启动或完成加密过程, (用户收到) 通知消息,因此驱动器保持未加密状态。
更多信息请查看:使用Intune加密报告对 BitLocker 进行故障排除
故障场景3:Intune许可的用户在尝试访问 Microsoft 365 资源时,系统会提示他们注册
原因:当用户成为安全性安全策略的目标时,Azure Active Directory (Azure AD) 身份验证服务将评估条件访问, 这些服务检查用户的组成员身份。 Azure AD 身份验证服务在强制实施条件访问时不会检查用户授权 (Intune而不是 Microsoft 365) 。
解决方案:若要更改此行为,请从仍分配有基本移动性和安全性安全策略的任何组中删除受影响的用户或者,如果不再需要基本移动性和安全性安全策略,请将其删除。
谢谢大家的阅读。