Mise à jour
Nous avons travaillé pour atténuer ce problème pour nos clients, et nous avons déployé des changements à notre plate-forme. Vous remarquerez peut-être que vos stratégies d'accès conditionnel pour iOS sont maintenant honorées pour iPadOS, similaire au comportement avant la mise à niveau de l'iPadOS.
Un moyen rapide de vérifier ce comportement mis à jour est d'accéder aux ressources de Safari sur un appareil iPadOS qui est protégé par des stratégies d'accès conditionnel. Si vous voyez une différence de comportement entre Safari et Apple Native Mail, demandez à vos utilisateurs de se déconnecter d'Apple Native Mail et de vous réabonner.
Pour automatiser ce processus, définir une stratégie d'accès conditionnel temporaire en utilisant le contrôle de session « Fréquence de connexion », puis définir une stratégie d'accès conditionnel temporaire qui s'applique aux applications clientes identifiées comme « applications mobiles et client de bureau ». Dans cette stratégie, définir la plate-forme de l'appareil sur "macOS" et la fréquence de connexion à 20 heures.
Pour plus d'informations sur la façon de définir cette stratégie, voir la documentation Configurer la gestion de la session d'authentification avec accès conditionnel.
Remarque La définition de cette politique exige que les utilisateurs d'Apple Native Mail sur iPadOS (précédemment identifié comme un appareil mac en raison du navigateur de bureau moderne sur iPadOS) se connectent après 20 heures. Après leur connexion à nouveau, Apple Native Mail sera bloqué d'accéder à toutes les ressources de l'entreprise si vous avez activé le contrôle de subvention "Require approved client app" ou "Require app protection policy". Vous pouvez désactiver ou supprimer la stratégie d'accès conditionnel temporaire pour éviter d'inciter les utilisateurs à se connecter toutes les 20 heures.
Résumé
Aperçu du changement de rupture
Apple a publié iPadOS (le nouveau système d'exploitation pour iPad) le 30 Septembre 2019. Avant la sortie, nous avons découvert que cette version introduit un changement qui pourrait affecter Microsoft Azure Active Directory (Azure AD) et Les clients Intune qui utilisent les stratégies d'accès conditionnel dans leur organisation. Cet avis est destiné à vous aider à comprendre le changement de rupture d'Apple et à évaluer les effets sur votre organisation. Cet avis fournit également des recommandations de Microsoft.
Tous les iPads qui mettent à jour iOS 13 ont eu leur système d'exploitation mis à jour d'iOS à iPadOS. Bien que l'iPadOS se comportera de la même façon qu'iOS, il existe certaines applications clés qui se comportent différemment. Safari, par exemple, se présentera comme macOS pour s'assurer que les utilisateurs d'iPadOS ont une expérience complète du navigateur de bureau.
Attention
Étant donné que les stratégies d'accès conditionnel sont souvent appliquées sur une base spécifique au système d'exploitation ou à l'application, ce changement pourrait affecter votre sécurité et la conformité de tout appareil iPad qui passe à l'iPadOS.
Applications qui peuvent être affectées par le changement de rupture
Cette modification affecte les applications qui utilisent l'accès conditionnel et qui s'identifient comme des applications macOS au lieu d'applications iOS. En examinant vos politiques d'accès conditionnel, vous devez vous concentrer sur la question de savoir si vous fournissez une expérience d'application différente entre macOS et iOS. En outre, nous vous recommandons de revoir les stratégies d'accès conditionnel dans Azure Azure AD qui utilisent les catégories d'applications affectées.
La modification de rupture affecte l'application de vos stratégies d'accès conditionnel sur les appareils iPad qui exécutent iPadOS dans les scénarios suivants :
-
Accès à l'application Web à l'aide du navigateur Safari
-
Accès Apple Native Mail
-
Accès à l'application native qui utilise Safari View Controller
Dans ces cas, Azure AD Conditional Access traite toute demande d'accès comme une demande d'accès macOS.
Important : Il est essentiel que votre organisation dispose d'une politique d'accès conditionnel pour macOS . Le fait de ne pas avoir de stratégie pour macOS pourrait entraîner une condition d'accès libre dans les ressources de votre organisation pour les scénarios précédemment identifiés.
Il n'y a aucun effet sur les scénarios d'accès suivants :
-
Tous les accès d'applications natifs de Microsoft (tels que Outlook, Word ou Edge)
-
Accès à l'application Web à l'aide d'un navigateur autre que Safari (comme Chrome)
-
Applications qui utilisent l'outil d'emballage Intune App SDK/ App pour les bibliothèques d'authentificationiOS/Microsoft identity platform v2.0 ou les bibliothèques d'authentification v1.0
Avant d'examiner les recommandations de Microsoft, considérez les scénarios suivants qui pourraient être affectés.
|
Scénario |
Résultats |
|---|---|
|
Vous avez configuré une stratégie d'accès conditionnel qui « nécessite une application client approuvée » pour l'accès aux e-mails sur un appareil iOS, et vous n'avez pas de stratégie configurée pour macOS. |
Après une mise à jour iPad sur iPadOS, la politique d'application client approuvée ne sera pas appliquée pour les catégories d'applications concernées, comme décrit précédemment. |
|
Vous avez mis en place une stratégie d'accès conditionnel qui « nécessite un appareil conforme » afin d'utiliser un appareil iOS pour accéder aux ressources de l'entreprise. Toutefois, vous n'avez pas configuré de stratégie macOS. |
Après la mise à jour iPadd sur iPadOS, les utilisateurs peuvent accéder aux ressources de l'entreprise en utilisant des applications dans les catégories d'applications affectées à partir d'iPads non conformes. |
|
Vous avez mis en place une stratégie d'accès conditionnel qui « nécessite l'AMF » sur un appareil iOS afin d'accéder à des sites Web Office365 tels que Outlook Web Access. Toutefois, vous n'avez pas configuré une stratégie macOS correspondante. |
Après la mise à jour iPadde sur iPadOS, les utilisateurs peuvent accéder à ces sites Web Office365 en utilisant des applications des catégories d'applications touchées sans être invités à l'authentification multifacteur (MFA). |
|
Vous avez mis en place une stratégie d'accès conditionnel qui « nécessite un appareil conforme » pour les appareils iOS et « nécessite un MFA » pour les appareils macOS. |
Après la mise à jour iPadd sur iPadOS, les utilisateurs peuvent accéder aux ressources de l'entreprise en utilisant des applications dans les catégories d'applications affectées à partir d'iPads non conformes. |
Ce ne sont là que quelques exemples de cas où la Politique d'accès conditionnel pour iOS peut différer de la politique d'accès conditionnel pour macOS. Vous devez identifier tous ces cas dans votre police.
Recommandations Microsoft
Nous vous recommandons de prendre les mesures suivantes :
-
Évaluez si vous avez des stratégies Azure AD CA basées sur le navigateur pour iOS qui régissent l'accès à partir d'appareils iPad. Si vous le faites, suivez les étapes suivantes :
-
Créez une stratégie d'accès équivalent e de navigateur MacOS Azure AD. Nous vous recommandons d'utiliser la stratégie " exiger un appareil conforme ". Cette politique intègre vos appareils iPad et Mac dans Microsoft Intune (ou JAMF Pro, si vous l'avez sélectionné comme outil de gestion macOS). Cette politique garantit également que les applications de navigateur n'ont accès qu'à partir d'appareils conformes (option la plus sécurisée). Vous devrez également créer une politique de conformité de l'appareil Intune pour macOS.
-
Dans le cas où vous ne pouvez pas « exiger un appareil conforme » pour macOS et iPadOS pour l'accès au navigateur, assurez-vous que vous « avez besoin de MFA » pour un tel accès.
-
-
Déterminez si une stratégie d'accès conditionnel Azure AD basée sur les Conditions d'utilisation (consentement par appareil) est configurée pour iOS. Si c'est le cas, créez une politique équivalente pour macOS.
Pour plus d'informations, contactez Microsoft Support.
