排查Microsoft Intune应用保护策略的用户问题 - Intune

常见使用方案

用户可以使用 iOS/iPadOS 共享扩展在非托管应用中打开工作或学校数据，即使数据传输策略设置为 “仅托管应用 ”或“ 无应用 ”也是如此。这会泄露数据吗？ Intune应用保护策略无法在不管理设备的情况下控制 iOS/iPadOS 共享扩展。因此， Intune在应用外部共享“公司”数据之前对其进行加密 。可以通过尝试在托管应用外部打开“公司”文件来验证它。该文件应进行加密，且无法在托管应用外打开。系统会提示用户 安装 Microsoft Authenticator 应用 。应用基于应用的条件访问时需要它，请参阅需要批准的客户端应用。 Android 用户 必须安装公司门户应用 ，即使我们在未注册设备的情况下使用应用保护也是如此。在 Android 上，许多应用保护功能都内置于公司门户应用中。 即使始终需要公司门户应用，也不需要设备注册 。对于无需注册的应用保护，最终用户只需在设备上安装公司门户应用。 iOS/Android 应用保护策略未应用于 Outlook 应用中的草稿电子邮件由于 Outlook 支持公司和个人上下文，因此它不会对草稿电子邮件强制实施 MAM。 iOS/Android 应用保护策略不适用于 WXP (Word、Excel、PowerPoint) 中的新文档由于 WXP 支持公司和个人上下文，因此在将新文档保存在已标识的公司位置（如 OneDrive）之前，它不会对新文档强制实施 MAM。 iOS/Android 启用策略时不允许保存到本地存储的应用此设置的应用行为由应用开发人员控制。 Android Android 在哪些“本机”应用可以访问受 MAM 保护的内容方面比 iOS/iPadOS 有更多的限制 Android 是一个开放平台，最终用户可以将本机应用关联更改为可能不安全的应用。应用数据传输策略例外以免除特定应用。 Android 阻止另存为时，Azure 信息保护 (AIP) 可以另存为 PDF 使用“另存为 PDF”时，AIP 遵循“禁用打印”的 MAM 策略。在 Outlook 应用中打开 PDF 附件失败，操作 不允许 如果用户未向 Acrobat Reader 进行身份验证以Intune，或者已使用指纹向其组织进行身份验证，则可能会出现此问题。事先打开 Acrobat Reader 并使用 UPN 凭据进行身份验证。

常见用法对话框

消息或对话框 iOS、Android 登录：为了保护其数据，组织需要管理此应用。若要完成此操作，请使用工作或学校帐户登录。最终用户必须使用其工作或学校帐户登录才能使用此应用，这需要应用保护策略。若要应用策略，用户必须对 Azure Active Directory 进行身份验证。 iOS、Android 需要重启 ：你的组织现在正在保护此应用中的数据。需要重启应用才能继续。应用刚刚收到Intune应用保护策略，必须重启才能应用策略。 iOS、Android 不允许的操作 ：组织仅允许在此应用中打开工作或学校数据。 IT 管理员已将 “允许应用从其他应用接收数据 ”设置为 “仅限托管应用 ”。因此，最终用户只能将数据从具有应用保护策略的其他应用传输到此应用。 iOS、Android 不允许的操作 ：组织仅允许将其数据传输到其他托管应用。 IT 管理员已将 “允许应用将数据传输到其他应用 ”设置为“仅限托管应用 ”。因此，最终用户只能将数据从此应用传输到具有应用保护策略的其他应用。 iOS、Android 擦除警报 ：组织已删除与此应用关联的数据。若要继续，请重启应用。 IT 管理员已使用Intune应用保护启动了应用擦除。 Android 公司门户必需 ：若要将此应用用于工作或学校帐户，必须安装 Intune 公司门户应用。单击“转到商店”继续。在 Android 上，许多应用保护功能都内置于公司门户应用中。 即使始终需要公司门户应用，也不需要设备注册 。对于无需注册的应用保护，最终用户只需在设备上安装公司门户应用。

iOS 上的错误消息和对话框

错误消息或对话框 欢迎使用Intune Managed Browser ：此应用在由 Microsoft Intune 管理时效果最佳。你始终可以使用此应用浏览 Web，当它由Microsoft Intune访问其他数据保护功能时。无法检测Intune Managed Browser应用所需的应用保护策略。

用户仍可以使用应用浏览 Web，但应用不受Intune管理。确保 iOS 应用保护策略已部署到用户的安全组，并将Intune Managed Browser应用作为目标。 登录失败 ：目前无法登录。请稍后重试。在用户尝试使用其工作或学校帐户登录后，无法使用 MAM 服务注册用户。确保 iOS 应用保护策略已部署到用户的安全组并面向此应用。 帐户未设置 ：组织尚未设置帐户以访问工作或学校数据。请联系 IT 管理员获取帮助。用户帐户没有 Intune A Direct 许可证。确保用户帐户在Microsoft 365 管理中心中分配了 Intune 许可证。 设备不符合 ：无法使用此应用，因为你使用的是已越狱的设备。请联系 IT 管理员获取帮助。 Intune检测到用户位于已越狱的设备上。将设备重置为默认出厂设置。按照 Apple 支持站点中的这些说明进行操作。 需要 Internet 连接 ：必须连接到 Internet 才能验证是否可以使用此应用。设备未连接到 Internet。将设备连接到 WiFi 或数据网络。 未知失败 ：尝试重启此应用。如果问题仍然存在，请联系 IT 管理员寻求帮助。发生未知故障。请稍等片刻，然后重试。如果错误仍然存在，请使用 Intune 创建支持票证。 访问组织的数据 ：指定的工作或学校帐户无权访问此应用。你可能必须使用其他帐户登录。请联系 IT 管理员获取帮助。 Intune检测到用户尝试使用与设备注册的 MAM 帐户不同的第二个工作或学校帐户登录。每个设备一次只能由 MAM 管理一个工作或学校帐户。让用户使用登录屏幕预填充其用户名的帐户登录。可能需要为Intune配置用户 UPN 设置。

或者，让用户使用新的工作或学校帐户登录，并删除现有的 MAM 注册帐户。 连接问题 ：出现意外的连接问题。请检查连接，然后重试。意外失败。请稍等片刻，然后重试。如果错误仍然存在，请使用 Intune 创建支持票证。警报：无法再使用此应用。有关详细信息，请与 IT 管理员联系。未能验证应用的证书。确保应用版本是最新的。

重新安装应用。错误：此应用遇到问题，必须关闭。如果此错误仍然存在，请联系 IT 管理员。无法从 Apple iOS 密钥链读取 MAM 应用 PIN。重启设备。确保应用版本是最新的。

重新安装应用。

Android 上的错误消息和对话框

对话框/错误消息 应用启动失败 ：启动应用时出现问题。尝试更新应用或Intune 公司门户应用。如果需要帮助，请联系 IT 管理员。 Intune检测到应用的有效应用保护策略，但应用在 MAM 初始化期间崩溃。确保应用版本是最新的。

确保设备上已安装Intune 公司门户应用并处于最新状态。

如果错误仍然存在，请使用公司门户应用将日志发送到Intune或创建支持票证。 找不到应用 ：此设备上没有你的组织允许打开此内容的应用。请联系 IT 管理员获取帮助。用户尝试使用其他应用打开工作或学校数据，但Intune找不到允许打开数据的任何其他托管应用。确保 Android 应用保护策略已部署到用户的安全组，并且至少面向另一个启用了 MAM 的应用，该应用可以打开相关的数据。 登录失败 ：尝试再次登录。如果此问题仍然存在，请联系 IT 管理员寻求帮助。无法对用户尝试登录的帐户进行身份验证。确保用户使用已注册Intune MAM 服务的工作或学校帐户登录， (在此应用中成功登录的第一个工作或学校帐户) 。

清除应用的数据。

确保应用版本是最新的。

确保公司门户版本是最新的。 需要 Internet 连接 ：必须连接到 Internet 才能验证是否可以使用此应用。设备未连接到 Internet。将设备连接到 WiFi 或数据网络。 设备不符合要求 ：无法使用此应用，因为你使用的是根设备。请联系 IT 管理员获取帮助。 Intune检测到用户位于根设备上。将设备重置为默认出厂设置。 帐户未设置 ：此应用必须由Microsoft Intune管理，但尚未设置帐户。请联系 IT 管理员获取帮助。用户帐户没有 Intune A Direct 许可证。确保用户帐户在Microsoft 365 管理中心中分配了 Intune 许可证。 无法注册应用 ：此应用必须由Microsoft Intune管理，但目前无法注册此应用。请联系 IT 管理员获取帮助。需要应用保护策略时，无法自动向 MAM 服务注册应用。清除应用的数据。

通过公司门户应用向Intune发送日志或提交支持票证。有关详细信息，请参阅如何在 Microsoft Endpoint Manager 中获取支持。