Partager via


Résoudre les problèmes d’accès conditionnel

Cet article décrit ce qu’il faut faire lorsque vos utilisateurs ne parviennent pas à accéder aux ressources protégées par l’accès conditionnel, ou lorsque les utilisateurs peuvent accéder aux ressources protégées, mais doivent être bloqués.

Avec Intune et l’accès conditionnel, vous pouvez protéger l’accès aux services Microsoft 365 tels qu’Exchange Online et SharePoint Online et divers autres services. Cette fonctionnalité vous permet de vous assurer que seuls les appareils inscrits auprès d’Intune et conformes aux règles d’accès conditionnel que vous définissez dans Intune ou l’ID Microsoft Entra ont accès aux ressources de votre entreprise.

Conditions requises pour l’accès conditionnel

Les conditions suivantes doivent être remplies pour que l’accès conditionnel fonctionne :

  • L’appareil doit être inscrit dans la gestion des appareils mobiles (MDM) et géré par Intune.

  • L’utilisateur et l’appareil doivent être conformes aux stratégies de conformité Intune affectées.

  • Par défaut, l’utilisateur doit recevoir une stratégie de conformité des appareils. Cela peut dépendre de la configuration du paramètre Marquer les appareils sans stratégie de conformité attribuée comme étant sous Paramètres de stratégie de conformité de l’appareil>dans le portail d’administration Intune.

  • Exchange ActiveSync doit être activé sur l’appareil si l’utilisateur utilise le client de messagerie natif de l’appareil plutôt qu’Outlook. Cela se produit automatiquement pour les appareils iOS/iPadOS et Android Knox.

  • Pour Exchange local, votre connecteur Intune Exchange doit être correctement configuré. Pour plus d’informations, consultez Résolution des problèmes liés au connecteur Exchange dans Microsoft Intune.

  • Pour Skype local, vous devez configurer l’authentification moderne hybride. Consultez la vue d’ensemble de l’authentification moderne hybride.

Vous pouvez afficher ces conditions pour chaque appareil dans le Portail Azure et dans le rapport d’inventaire des appareils.

Les appareils apparaissent comme étant conformes, mais les utilisateurs sont quand même bloqués

  • Vérifiez que l’utilisateur dispose d’une licence Intune affectée pour une évaluation de conformité appropriée.

  • Les appareils Android non Knox ne seront pas autorisés à accéder tant que l’utilisateur n’a pas cliqué sur le lien Démarrer maintenant dans l’e-mail de quarantaine qu’il reçoit. Cela s’applique même si l’utilisateur est déjà inscrit dans Intune. Si l’utilisateur n’obtient pas l’e-mail avec le lien sur son téléphone, il peut utiliser un PC pour accéder à son e-mail et le transférer à un compte de messagerie sur son appareil.

  • Lorsqu’un appareil est inscrit ou mis à jour pour la première fois, il peut prendre un certain temps pour que les informations de conformité et les attributs soient inscrits pour un appareil. Patientez quelques minutes, puis réessayez.

  • Pour les appareils iOS/iPadOS, un profil de messagerie existant peut bloquer le déploiement d’un profil de messagerie créé par l’administrateur Intune affecté à cet utilisateur, ce qui rend l’appareil non conforme. Dans ce scénario, l’application Portail d’entreprise informe l’utilisateur qu’il n’est pas conforme en raison de son profil de messagerie configuré manuellement et invite l’utilisateur à supprimer ce profil. Une fois que l’utilisateur a supprimé le profil de messagerie existant, le profil de messagerie Intune peut être déployé avec succès. Pour éviter ce problème, demandez à vos utilisateurs de supprimer les profils de messagerie existants sur leur appareil avant l’inscription.

  • Un appareil peut être bloqué dans un état de vérification de conformité, empêchant l’utilisateur de démarrer un autre archivage. Si vous avez un appareil dans cet état :

    • Vérifiez que l’appareil utilise la dernière version de l’application Portail d’entreprise.
    • Redémarrez l’appareil.
    • Vérifiez si le problème persiste sur différents réseaux (par exemple, cellulaire, Wi-Fi, etc.).

    Si le problème persiste, contactez Support Microsoft comme décrit dans Obtenir le support technique dans Microsoft Intune.

  • Certains appareils Android peuvent sembler être chiffrés, mais l’application Portail d’entreprise reconnaît ces appareils comme non chiffrés et les marque comme non conformes. Dans ce scénario, l’utilisateur voit une notification dans l’application Portail d’entreprise lui demandant de définir un code secret de démarrage pour l’appareil. Après avoir appuyé sur la notification et confirmé le code confidentiel ou le mot de passe existant, choisissez l’option Exiger un code confidentiel pour démarrer l’appareil sur l’écran de démarrage sécurisé, puis appuyez sur le bouton Vérifier la conformité de l’appareil à partir de l’application Portail d’entreprise. L’appareil doit maintenant être détecté comme chiffré.

    Note

    Certains fabricants d’appareils chiffrent leurs appareils à l’aide d’un code confidentiel par défaut au lieu d’un code confidentiel défini par l’utilisateur. Intune affiche le chiffrement qui utilise un code confidentiel par défaut comme non sécurisé et marque ces appareils comme non conformes tant que l’utilisateur n’a pas créé de code confidentiel non défini par défaut.

  • Un appareil Android inscrit et conforme peut toujours être bloqué et recevoir une notification de mise en quarantaine lors de la première tentative d’accès aux ressources d’entreprise. Si cela se produit, vérifiez que l’application Portail d’entreprise n’est pas en cours d’exécution, sélectionnez le lien Prise en main maintenant dans l’e-mail de mise en quarantaine pour déclencher l’évaluation. Cette opération doit être effectuée uniquement lorsque l’accès conditionnel est activé pour la première fois.

  • Un appareil Android inscrit peut inviter l’utilisateur avec « Aucun certificat trouvé » et n’a pas accès aux ressources Microsoft 365. L’utilisateur doit activer l’option Activer l’accès au navigateur sur l’appareil inscrit comme suit :

    1. Ouvrez l'application Portail d'entreprise.
    2. Accédez à la page Paramètres à partir des points triples (...) ou du bouton de menu matériel.
    3. Sélectionnez le bouton Activer l’accès au navigateur.
    4. Dans le navigateur Chrome, déconnectez-vous de Microsoft 365 et redémarrez Chrome.
  • Les applications de bureau doivent utiliser des méthodes d’authentification modernes qui s’appuient sur une invite d’authentification affichée dans un navigateur web ou un répartiteur d’authentification. Les scripts qui envoient directement des mots de passe peuvent fournir la preuve de l’identité d’un appareil uniquement s’ils utilisent un répartiteur d’authentification.

Les appareils sont bloqués et aucun e-mail de mise en quarantaine n’est reçu

  • Vérifiez que l’appareil est présent dans la console d’administration Intune en tant qu’appareil Exchange ActiveSync. Si ce n’est pas le cas, il est probable que la découverte d’appareils échoue, probablement en raison d’un problème de connecteur Exchange. Pour plus d’informations, consultez Résoudre les problèmes liés au connecteur Intune Exchange.

  • Avant que le connecteur Exchange bloque un appareil, il envoie un e-mail d’activation (mise en quarantaine). Si l’appareil est hors connexion, il peut ne pas recevoir l’e-mail d’activation.

  • Vérifiez si le client de messagerie sur l’appareil est configuré pour récupérer l’e-mail à l’aide de l’envoi (Push ) au lieu de Poll. Dans ce cas, cela peut entraîner l’absence de l’e-mail par l’utilisateur. Basculez vers Poll et vérifiez si l’appareil reçoit l’e-mail.

Les appareils ne sont pas conformes, mais les utilisateurs ne sont pas bloqués

  • Pour les PC Windows, l’accès conditionnel bloque uniquement l’application de messagerie native, Office 2013 avec l’authentification moderne ou Office 2016. Le blocage des versions antérieures d’Outlook ou de toutes les applications de messagerie sur les PC Windows nécessite des configurations Microsoft Entra Device Registration et services de fédération Active Directory (AD FS) (AD FS) selon Comment : bloquer l’authentification héritée auprès de Microsoft Entra ID avec accès conditionnel.

  • Si l’appareil est réinitialiser ou mis hors service d’Intune de manière sélective, il peut continuer à avoir accès pendant plusieurs heures après la mise hors service. Cela est dû au fait que Exchange met en cache les droits d’accès pendant six heures. Envisagez d’autres moyens de protéger les données sur les appareils supprimés dans ce scénario.

  • Les appareils Windows inscrits au Surface Hub, inscrits en bloc et DEM peuvent prendre en charge l’accès conditionnel lorsqu’un utilisateur disposant d’une licence pour Intune est connecté. Toutefois, vous devez déployer la stratégie de conformité sur des groupes d’appareils (et non des groupes d’utilisateurs) pour une évaluation correcte.

  • Vérifiez les affectations de vos stratégies de conformité et de vos stratégies d’accès conditionnel. Si un utilisateur n’est pas dans le groupe auquel les stratégies sont affectées ou se trouve dans un groupe exclu, l’utilisateur n’est pas bloqué. Seuls les appareils pour les utilisateurs d’un groupe affecté sont vérifiés pour la conformité.

Un appareil non conforme n’est pas bloqué

Si un appareil n’est pas conforme mais continue d’avoir accès, effectuez les actions suivantes.

  • Passez en revue vos groupes cible et exclusion. Si un utilisateur n’est pas dans le groupe cible approprié ou s’il se trouve dans le groupe d’exclusion, il ne sera pas bloqué. Seuls les appareils d’utilisateurs d’un groupe cible sont vérifiés pour la conformité.

  • Vérifiez que l’appareil est découvert. Le connecteur Exchange pointe-t-il vers un système d’administration centrale Exchange 2010 alors que l’utilisateur se trouve sur un serveur Exchange 2013 ? Dans ce cas, si la règle Exchange par défaut est Autoriser, même si l’utilisateur se trouve dans le groupe cible, Intune ne peut pas connaître la connexion de l’appareil à Exchange.

  • Vérifiez l’existence/l’état d’accès de l’appareil dans Exchange :

    • Utilisez cette applet de commande PowerShell pour obtenir la liste de tous les appareils mobiles pour une boîte aux lettres : « Get-MobileDeviceStatistics -mailbox mbx ». Si l’appareil n’est pas répertorié, il n’accède pas à Exchange. Pour plus d’informations, consultez la documentation Exchange PowerShell.

    • Si l’appareil est répertorié, utilisez « Get-CASmailbox -identity :'upn » | applet de commande fl' pour obtenir des informations détaillées sur son état d’accès et fournir ces informations à Support Microsoft. Pour plus d’informations, consultez la documentation Exchange PowerShell.

Erreurs de connexion avec accès conditionnel basé sur l’application

Les stratégies de protection des applications Intune vous aident à protéger les données d’entreprise au niveau de l’application, même sur les appareils que vous ne gérez pas dans Intune. Si vos utilisateurs ne peuvent pas se connecter à des applications protégées, il peut y avoir un problème avec vos stratégies d’accès conditionnel basées sur l’application. Consultez résolution des problèmes de connexion avec l’accès conditionnel pour obtenir des instructions détaillées.