Résoudre les problèmes d’accès conditionnel
Cet article décrit ce qu’il faut faire lorsque vos utilisateurs ne parviennent pas à accéder aux ressources protégées par l’accès conditionnel, ou lorsque les utilisateurs peuvent accéder à des ressources protégées, mais doivent être bloqués.
Avec Intune et l’accès conditionnel, vous pouvez protéger l’accès aux services Microsoft 365 tels que Exchange Online et SharePoint Online, ainsi que divers autres services. Cette fonctionnalité vous permet de vous assurer que seuls les appareils inscrits avec Intune et conformes aux règles d’accès conditionnel que vous définissez dans Intune ou Microsoft Entra ID ont accès aux ressources de votre entreprise.
Conditions requises pour l’accès conditionnel
Les conditions suivantes doivent être remplies pour que l’accès conditionnel fonctionne :
L’appareil doit être inscrit à la gestion des appareils mobiles (GPM) et géré par Intune.
L’utilisateur et l’appareil doivent être conformes aux stratégies de conformité Intune attribuées.
Par défaut, une stratégie de conformité d’appareil doit être affectée à l’utilisateur. Cela peut dépendre de la configuration du paramètre Marquer les appareils sans stratégie de conformité affectée comme étant sous Paramètres de stratégiede conformité de conformité> des appareils dans le portail d’administration Intune.
Exchange ActiveSync doivent être activés sur l’appareil si l’utilisateur utilise le client de messagerie natif de l’appareil plutôt qu’Outlook. Cela se produit automatiquement pour les appareils iOS/iPadOS et Android Knox.
Pour Exchange local, votre connecteur Exchange Intune doit être correctement configuré. Pour plus d’informations, consultez Résolution des problèmes liés au connecteur Exchange dans Microsoft Intune.
Pour Skype local, vous devez configurer l’authentification moderne hybride. Consultez Vue d’ensemble de l’authentification moderne hybride.
Vous pouvez afficher ces conditions pour chaque appareil dans le Portail Azure et dans le rapport d’inventaire des appareils.
Les appareils semblent conformes, mais les utilisateurs sont toujours bloqués
Vérifiez que l’utilisateur dispose d’une licence Intune affectée pour une évaluation de conformité appropriée.
Les appareils Android non Knox ne seront pas autorisés à accéder tant que l’utilisateur n’aura pas cliqué sur le lien Démarrer maintenant dans l’e-mail de quarantaine qu’il reçoit. Cela s’applique même si l’utilisateur est déjà inscrit dans Intune. Si l’utilisateur n’obtient pas l’e-mail avec le lien sur son téléphone, il peut utiliser un PC pour accéder à son courrier électronique et le transférer à un compte de messagerie sur son appareil.
Lorsqu’un appareil est inscrit pour la première fois, l’inscription des informations de conformité pour un appareil peut prendre un certain temps. Patientez quelques minutes, puis réessayez.
Pour les appareils iOS/iPadOS, un profil de messagerie existant peut bloquer le déploiement d’un profil de messagerie Intune créé par l’administrateur affecté à cet utilisateur, ce qui rend l’appareil non conforme. Dans ce scénario, l’application Portail d'entreprise informe l’utilisateur qu’il n’est pas conforme en raison de son profil de messagerie configuré manuellement, et invite l’utilisateur à supprimer ce profil. Une fois que l’utilisateur a supprimé le profil de messagerie existant, le Intune profil de messagerie peut être déployé avec succès. Pour éviter ce problème, demandez à vos utilisateurs de supprimer tous les profils de messagerie existants sur leur appareil avant de s’inscrire.
Un appareil peut être bloqué dans un état de vérification de conformité, empêchant l’utilisateur de démarrer un autre case activée-in. Si vous avez un appareil dans cet état :
- Vérifiez que l’appareil utilise la dernière version de l’application Portail d'entreprise.
- Redémarrez lʼappareil.
- Vérifiez si le problème persiste sur différents réseaux (par exemple, cellulaire, Wi-Fi, etc.).
Si le problème persiste, contactez Support Microsoft comme décrit dans Obtenir du support dans Microsoft Intune.
Certains appareils Android peuvent sembler être chiffrés, mais l’application Portail d'entreprise reconnaît ces appareils comme non chiffrés et les marque comme non conformes. Dans ce scénario, l’utilisateur voit une notification dans l’application Portail d'entreprise lui demandant de définir un code secret de démarrage pour l’appareil. Après avoir appuyé sur la notification et confirmé le code confidentiel ou le mot de passe existant, choisissez l’option Exiger le code confidentiel pour démarrer l’appareil dans l’écran Démarrage sécurisé, puis appuyez sur le bouton Vérifier la conformité de l’appareil à partir de l’application Portail d'entreprise. L’appareil doit maintenant être détecté comme chiffré.
Remarque
Certains fabricants d’appareils chiffrent leurs appareils à l’aide d’un code confidentiel par défaut au lieu d’un code confidentiel défini par l’utilisateur. Intune affiche le chiffrement qui utilise un code confidentiel par défaut comme non sécurisé et marque ces appareils comme non conformes jusqu’à ce que l’utilisateur crée un nouveau code confidentiel autre que celui par défaut.
Un appareil Android inscrit et conforme peut toujours être bloqué et recevoir une notification de mise en quarantaine lors de la première tentative d’accès aux ressources de l’entreprise. Si cela se produit, assurez-vous que l’application Portail d'entreprise n’est pas en cours d’exécution, puis sélectionnez le lien Démarrer maintenant dans l’e-mail de mise en quarantaine pour déclencher l’évaluation. Cette opération ne doit être effectuée que lorsque l’accès conditionnel est activé pour la première fois.
Un appareil Android inscrit peut inviter l’utilisateur à indiquer « Aucun certificat trouvé » et ne pas avoir accès aux ressources Microsoft 365. L’utilisateur doit activer l’option Activer l’accès au navigateur sur l’appareil inscrit comme suit :
- Ouvrez l’application Portail d'entreprise.
- Accédez à la page Paramètres à partir des points triples (...) ou du bouton du menu matériel.
- Sélectionnez le bouton Activer l’accès au navigateur .
- Dans le navigateur Chrome, déconnectez-vous de Microsoft 365 et redémarrez Chrome.
Les applications de bureau doivent utiliser des méthodes d’authentification modernes qui s’appuient sur une invite d’authentification affichée dans un navigateur web ou un répartiteur d’authentification. Les scripts qui envoient des mots de passe directement peuvent fournir une preuve de l’identité d’un appareil uniquement s’ils utilisent un répartiteur d’authentification.
Les appareils sont bloqués et aucun e-mail de quarantaine n’est reçu
Vérifiez que l’appareil est présent dans la console d’administration Intune en tant qu’appareil Exchange ActiveSync. Si ce n’est pas le cas, il est probable que la découverte de l’appareil échoue, probablement en raison d’un problème de connecteur Exchange. Pour plus d’informations, consultez Résoudre les problèmes liés au connecteur Exchange Intune.
Avant que le connecteur Exchange ne bloque un appareil, il envoie un e-mail d’activation (mise en quarantaine). Si l’appareil est hors connexion, il se peut qu’il ne reçoive pas l’e-mail d’activation.
Vérifiez si le client de messagerie sur l’appareil est configuré pour récupérer les e-mails à l’aide de l’envoi (push ) au lieu de l’interrogation. Si c’est le cas, l’utilisateur peut manquer l’e-mail. Basculez vers Sondage et vérifiez si l’appareil reçoit l’e-mail.
Les appareils ne sont pas conformes, mais les utilisateurs ne sont pas bloqués
Pour les PC Windows, l’accès conditionnel bloque uniquement l’application de messagerie native, Office 2013 avec l’authentification moderne ou Office 2016. Le blocage des versions antérieures d’Outlook ou de toutes les applications de messagerie sur les PC Windows nécessite Microsoft Entra configurations d’inscription et de Services ADFS (AD FS) conformément à Guide pratique pour bloquer l’authentification héritée pour Microsoft Entra ID avec l’accès conditionnel.
Si l’appareil est réinitialise ou mis hors service de Intune, il peut continuer à y accéder pendant plusieurs heures après sa mise hors service. Cela est dû au fait qu’Exchange met en cache les droits d’accès pendant six heures. Dans ce scénario, envisagez d’autres moyens de protéger les données sur les appareils mis hors service.
Les appareils Windows inscrits au Surface Hub, inscrits en bloc et DEM peuvent prendre en charge l’accès conditionnel lorsqu’un utilisateur disposant d’une licence pour Intune est connecté. Toutefois, vous devez déployer la stratégie de conformité sur des groupes d’appareils (et non sur des groupes d’utilisateurs) pour une évaluation correcte.
Vérifiez les affectations de vos stratégies de conformité et de vos stratégies d’accès conditionnel. Si un utilisateur n’est pas dans le groupe auquel les stratégies sont attribuées ou se trouve dans un groupe exclu, l’utilisateur n’est pas bloqué. Seuls les appareils pour les utilisateurs d’un groupe attribué sont vérifiés pour la conformité.
L’appareil non conforme n’est pas bloqué
Si un appareil n’est pas conforme, mais qu’il continue d’y avoir accès, effectuez les actions suivantes.
Passez en revue vos groupes Cible et Exclusion. Si un utilisateur n’est pas dans le groupe cible approprié ou dans le groupe d’exclusion, il ne sera pas bloqué. Seuls les appareils des utilisateurs d’un groupe cible sont vérifiés pour la conformité.
Vérifiez que l’appareil est en cours de découverte. Le connecteur Exchange pointe-t-il vers un serveur d’administration centrale Exchange 2010 alors que l’utilisateur se trouve sur un serveur Exchange 2013 ? Dans ce cas, si la règle Exchange par défaut est Autoriser, même si l’utilisateur se trouve dans le groupe cible, Intune ne peut pas connaître la connexion de l’appareil à Exchange.
Vérifiez l’état de l’existence/de l’accès de l’appareil dans Exchange :
Utilisez cette applet de commande PowerShell pour obtenir la liste de tous les appareils mobiles d’une boîte aux lettres : « Get-MobileDeviceStatistics -mailbox mbx ». Si l’appareil n’est pas répertorié, il n’accède pas à Exchange. Pour plus d’informations, consultez la documentation Exchange PowerShell.
Si l’appareil est répertorié, utilisez « Get-CASmailbox -identity :'upn » | Applet de commande fl' pour obtenir des informations détaillées sur son état d’accès et fournir ces informations à Support Microsoft. Pour plus d’informations, consultez la documentation Exchange PowerShell.
Erreurs de connexion avec l’accès conditionnel basé sur l’application
Intune stratégies de protection des applications vous aident à protéger les données d’entreprise au niveau de l’application, même sur les appareils que vous ne gérez pas dans Intune. Si vos utilisateurs ne peuvent pas se connecter à des applications protégées, il peut y avoir un problème avec vos stratégies d’accès conditionnel basées sur les applications. Pour obtenir des instructions détaillées, consultez Résolution des problèmes de connexion avec l’accès conditionnel .
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour