EvolitBlogKontakt
Conditional AccessMicrosoft 365Entra IDIntune

Conditional Access vs rejestracja Intune — jak nie zablokować enrollment

Po zaostrzeniu Conditional Access rejestracja w Intune się wysypuje? Diagnoza konfliktu „urządzenie vs polityka” i konkretna kolejność naprawcza z Entra What If.

Scenariusz

Zaostrzasz Conditional Access: dostęp do chmury Microsoft 365 tylko z urządzeń oznaczonych jako zgodne (compliant) lub zarządzanych przez organizację. Po wdrożeniu okazuje się, że nowe urządzenia nie mogą dokończyć rejestracji w Intune — użytkownik widzi pętlę logowania lub komunikat o zablokowanym dostępie do aplikacji rejestracji.

Diagnoza

Typowy konflikt to kurczak i jajko: aby urządzenie stało się compliant, musi najpierw ukończyć enrollment; aby enrollment przeszedł, użytkownik musi dotrzeć do usług Entra/Intune, które są objęte polityką wymagającą już compliant device. Efekt: onboarding się zatrzymuje.

Rozwiązanie krok po kroku

Krok 1 — nowa polityka tylko pod rejestrację

  1. Zaloguj się do Microsoft Entra admin center (rola co najmniej Conditional Access Administrator).
  2. W menu wybierz ProtectionConditional AccessPolicies → przycisk + New policy.
  3. Nadaj nazwę, np. CA-IntuneEnrollment-AllowUnmanaged, aby zespół rozpoznawał cel polityki.

Krok 2 — aplikacje w chmurze

  1. W sekcji AssignmentsUsers ustaw zakres pilotażu (grupa testowa lub „All users” tylko na czas testu).
  2. Target resourcesCloud appsIncludeSelect apps → wyszukaj i zaznacz Microsoft Intune Enrollment (jeśli nie widać pozycji, użyj filtra „Intune”).

Krok 3 — warunki i grant

  1. W Conditions pozostaw domyślne lub doprecyzuj platformy (Windows / Android / iOS) zgodnie z zakresem onboardingu.
  2. W Grant wybierz Grant access, włącz wymóg MFA zgodnie z polityką firmy, ale nie włączaj „Require device to be marked as compliant” ani „Require Microsoft Entra hybrid joined device” dla tej polityki.
  3. Ustaw przełącznik polityki na On i zapisz.

Krok 4 — weryfikacja What If

  1. Entra → ProtectionConditional AccessWhat If.
  2. Wybierz użytkownika testowego, chmurę Microsoft Intune Enrollment i uruchom symulację — upewnij się, że nowa polityka daje wynik Success / brak blokady dla ścieżki enrollment.

Krok 5 — test na urządzeniu

  1. Na czystym profilu Windows (lub fabrycznie zresetowanym) uruchom SettingsAccountsAccess work or schoolConnect i dokończ Workplace Join / enrollment zgodnie z profilem Intune.
  2. Intune admin center (intune.microsoft.com) → DevicesMonitorEnrollment failures — sprawdź, czy nie ma nowych błędów skorelowanych z CA.

Dobre praktyki wdrożeniowe

  • Najpierw poluzuj dostęp do ścieżki enrollment, potem stopniowo zaostrzaj dostęp do danych produkcyjnych (SharePoint, Exchange Online itd.).
  • Prowadź rejestr wyjątków i dat ich przeglądu — wyjątki mają tendencję do „zostania na zawsze”.
  • Testuj na urządzeniach fabrycznie zresetowanych; nie zakładaj, że stary profil MDM nie wpływa na wynik.

Weryfikacja po zmianach

Po poprawce wykonaj próbę onboardingu na co najmniej dwóch platformach (Windows i Android lub iOS), sprawdź logi rejestracji w Intune oraz sign-in logs w Entra dla zablokowanych żądań. Dopiero po stabilnym tygodniu pilotażu rozszerzaj zakres polityk produkcyjnych.