Résolution des problèmes de connexion avec l’accès conditionnel

  • Article

Les informations contenues dans cet article peuvent être utilisées pour résoudre des problèmes de connexion inattendus liés à l’accès conditionnel en tirant parti des messages d’erreur et du journal des connexions Microsoft Entra.

Sélectionner « toutes » les conséquences

L’infrastructure d’accès conditionnel vous offre une souplesse de configuration exceptionnelle. Toutefois, une grande souplesse signifie également que vous devez examiner soigneusement chaque stratégie de configuration avant de la mettre en œuvre afin d’éviter des résultats indésirables. Dans ce contexte, prêtez une attention particulière à l’affectation de jeux complets comme par exemple tous les utilisateurs / groupes / applications cloud.

Les organisations doivent éviter les configurations suivantes :

Pour tous les utilisateurs, toutes les applications cloud :

  • Bloquer l’accès : cette configuration bloque toute votre organisation.
  • Exiger que l’appareil soit marqué comme conforme : pour les utilisateurs qui n’ont pas encore inscrit leurs appareils, cette stratégie bloque tout accès, notamment l’accès au portail Intune. Si vous êtes un administrateur sans appareil inscrit, cette stratégie vous bloque et vous ne pouvez pas retourner modifier la stratégie.
  • Exiger un appareil avec jonction de domaine hybride Microsoft Entra – Ce blocage d’accès par stratégie peut également bloquer l’accès pour tous les utilisateurs de votre organisation si vous n’avez pas d’appareil avec jonction hybride Microsoft Entra.
  • Exiger une stratégie de protection des applications : ce blocage d’accès par stratégie peut également bloquer l’accès pour tous les utilisateurs de votre organisation si vous n’avez pas encore de stratégie Intune. Si vous êtes administrateur sans application cliente dotée d’une stratégie de protection des applications Intune, cette stratégie vous empêche de revenir aux portails comme Intune et Azure.

Pour tous les utilisateurs, toutes les applications cloud, toutes les plates-formes d’appareils :

  • Bloquer l’accès : cette configuration bloque toute votre organisation.

Interruption de connexion avec l’accès conditionnel

Vous devez tout d’abord consulter le message d’erreur qui s’affiche. Pour les problèmes de connexion lors de l’utilisation d’un navigateur web, la page d’erreur elle-même contient des informations détaillées. Ces informations peuvent décrire le problème et suggérer une solution.

Capture d’écran montrant une erreur de connexion dans laquelle un appareil conforme est requis.

Dans l’erreur ci-dessus, le message indique que l’application est accessible uniquement à partir d’appareils ou d’applications clientes qui respectent la stratégie de gestion des appareils mobiles de l’entreprise. Dans le cas présent, l’application et l’appareil ne sont pas conformes à cette stratégie.

Événements de connexion Microsoft Entra

La deuxième méthode permettant d’obtenir des informations détaillées sur l’interruption de connexion consiste à passer en revue les événements de connexion Microsoft Entra pour savoir quelles stratégies d’accès conditionnel ont été appliquées et pourquoi.

Pour plus d’informations sur le problème, cliquez sur Plus de détails dans la page d’erreur initiale. Cliquez sur Plus de détails pour afficher des informations de dépannage utiles lors de la recherche de l’événement d’échec spécifique que l’utilisateur a vu dans les événements de connexion Microsoft Entra ou lors de l’ouverture d’un incident de support auprès de Microsoft.

Capture d’écran montrant plus de détails d’une connexion au navigateur web interrompue par l’accès conditionnel.

Procédez comme suit pour trouver quelles stratégies d’accès conditionnel ont été appliquées et pourquoi.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.

  3. Recherchez l’événement de connexion à vérifier. Ajoutez ou supprimez des filtres et des colonnes pour filtrer les informations inutiles.

    1. Affinez l’étendue en ajoutant des filtres comme :
      1. ID de corrélation lorsque vous avez un événement spécifique à examiner.
      2. Accès conditionnel pour voir l’échec et la réussite de la stratégie. Pour limiter les résultats, restreignez votre filtre afin de n’afficher que les échecs.
      3. Nom d’utilisateur pour afficher des informations relatives à des utilisateurs spécifiques.
      4. Date limitée au laps de temps en question.

    Capture d’écran montrant la sélection du filtre d’accès conditionnel dans le journal des connexions.

  4. Une fois que vous avez trouvé l’événement de connexion qui correspond à l’échec de connexion de l’utilisateur, sélectionnez l’onglet Accès conditionnel. L’onglet Accès conditionnel affiche la ou les stratégies spécifiques qui ont abouti à l’interruption de la connexion.

    1. Les informations de l’onglet Dépannage et support peuvent indiquer clairement pourquoi une connexion a échoué, par exemple un appareil ne respectant pas les exigences de conformité.
    2. Pour approfondir vos recherches, explorez la configuration des stratégies en cliquant sur Nom de la stratégie. Cliquez sur Nom de la stratégie pour afficher l’interface utilisateur de configuration de la stratégie pour la stratégie sélectionnée à des fins de révision et de modification.
    3. L’utilisateur client et les détails sur l’appareil qui ont été utilisés pour l’évaluation de la stratégie d’accès conditionnel sont également disponibles dans les onglets Informations de base, Emplacement, Informations sur l’appareil, Détails d’authentification et Détails supplémentaires de l’événement de connexion.

Stratégie qui ne fonctionne pas comme prévu

La sélection des points de suspension à droite de la stratégie dans un événement de connexion permet d’afficher les détails de la stratégie. Cette option fournit aux administrateurs des informations supplémentaires sur la raison pour laquelle une stratégie a été correctement appliquée ou non.

Capture d’écran montrant les détails de la stratégie d’accès conditionnel pour voir pourquoi la stratégie a été appliquée ou non.

Le côté gauche fournit les détails collectés lors de la connexion et le côté droit indique si ces détails répondent aux exigences des stratégies d’accès conditionnel appliquées. Les stratégies d’accès conditionnel s’appliquent uniquement lorsque toutes les conditions sont satisfaites ou non configurées.

Si les informations de l’événement ne sont pas suffisantes pour vous permettre de comprendre les résultats de la connexion ou pour modifier la stratégie afin d’obtenir les résultats souhaités, vous pouvez utiliser l’outil de diagnostic de connexion. Le diagnostic de connexion se trouve sous l’événement Informations de base>Résoudre les problèmes liés à l’événement. Pour plus d’informations sur le diagnostic de connexion, consultez l’article Qu’est-ce que le diagnostic de connexion dans Microsoft Entra ID. Vous pouvez également utiliser l’outil What If pour résoudre les problèmes de stratégies d’accès conditionnel.

Si vous devez envoyer un incident de support, fournissez l’ID de la demande, ainsi que l’heure et la date de l’événement de connexion dans les détails d’envoi de l’incident. Ces informations permettent au support Microsoft de trouver l’événement spécifique qui vous intéresse.

Codes d’erreur courants pour l’accès conditionnel

Code d’erreur de connexion Chaîne d’erreur
53000 DeviceNotCompliant
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk

Vous trouverez des informations complémentaires sur les codes d’erreur dans l’article Codes d’erreur d’authentification et d’autorisation Microsoft Entra. Les codes d’erreur de la liste s’affichent avec le préfixe AADSTS suivi du code affiché dans le navigateur, par exemple AADSTS53002.

Dépendances de services

Dans certains scénarios spécifiques, les utilisateurs sont bloqués, car il existe des applications cloud ayant des dépendances par rapport à des ressources qui sont bloquées par la stratégie d’accès conditionnel.

Pour déterminer la dépendance du service, consultez le journal des connexions de l’application et de la ressource appelées par la connexion. Dans la capture d’écran suivante, l’application appelée est le portail Azure, mais la ressource appelée est l’API Gestion des services Microsoft Azure. Pour cibler ce scénario de manière appropriée, toutes les applications et ressources doivent être combinées de manière similaire dans la stratégie d’accès conditionnel.

Capture d’écran d’un exemple de journal des connexions qui montre une application appelant une ressource. Ce scénario est également appelé dépendance de service.

Que faire si l’accès vous est refusé

Si vos accès sont bloqués en raison d’un paramètre incorrect dans une stratégie d’accès conditionnel :

  • Vérifiez s’il existe d’autres administrateurs dans votre organisation dont l’accès n’a pas encore été verrouillé. Un administrateur disposant des accès peut désactiver la stratégie qui entrave votre connexion.
  • Si aucun des administrateurs de votre organisation ne peut mettre à jour la stratégie, soumettez une demande de support. Le support Microsoft peut vérifier et, sur confirmation, mettre à jour les stratégies d’accès conditionnel qui empêchent l’accès.

Étapes suivantes