Tester et résoudre les problèmes des stratégies d’accès conditionnel

  • 3 minutes

L’infrastructure d’accès conditionnel vous offre une grande flexibilité de configuration. Toutefois, une grande souplesse signifie également que vous devez examiner soigneusement chaque stratégie de configuration avant de la mettre en œuvre afin d’éviter des résultats indésirables. Dans ce contexte, prêtez une attention particulière à l’affectation de jeux complets comme par exemple tous les utilisateurs / groupes / applications cloud.

Les organisations doivent éviter les configurations suivantes :

Pour tous les utilisateurs, toutes les applications cloud :

  • Bloquer l’accès : cette configuration bloque toute votre organisation.
  • Exiger un appareil joint à un domaine Microsoft Entra hybride  : cette stratégie de blocage de l’accès permet également de bloquer l’accès pour tous les utilisateurs de votre organisation, s’ils n’ont pas d’appareil à jointure hybride Microsoft Entra.
  • Exiger une stratégie de protection des applications : cette stratégie de blocage d’accès peut également bloquer l’accès pour tous les utilisateurs de votre organisation si vous n’avez pas encore de stratégie Intune. Si vous êtes administrateur sans application cliente dotée d’une stratégie de protection des applications Intune, cette stratégie vous empêche de revenir aux portails comme Intune et Azure.

Pour tous les utilisateurs, toutes les applications cloud, toutes les plates-formes d’appareils :

  • Bloquer l’accès : cette configuration bloque toute votre organisation.

Interruption de connexion avec l’accès conditionnel

Vous devez tout d’abord consulter le message d’erreur qui s’affiche. Pour les problèmes de connexion lors de l’utilisation d’un navigateur web, la page d’erreur elle-même contient des informations détaillées. Ces informations décrivent le problème et suggèrent une solution.

Capture d’écran de l’erreur de connexion - Appareil conforme requis. Avec un bouton pour annuler ou avoir plus d’informations.

Dans l’erreur ci-dessus, le message indique que l’application est accessible uniquement à partir d’appareils ou d’applications clientes qui respectent la stratégie de gestion des appareils mobiles de l’entreprise. Dans le cas présent, l’application et l’appareil ne sont pas conformes à cette stratégie.

Événements de connexion Microsoft Entra

La deuxième méthode permettant d’obtenir des informations détaillées sur l’interruption de connexion consiste à passer en revue les événements de connexion Microsoft Entra pour savoir quelles stratégies d’accès conditionnel ont été appliquées et pourquoi.

Obtenez plus d’informations sur le problème en cliquant sur Plus de détails dans la page d’erreur initiale. Cliquez sur Plus de détails pour afficher des informations de dépannage utiles lors de la recherche de l’événement d’échec spécifique que l’utilisateur a vu dans les événements de connexion Microsoft Entra ou lors de l’ouverture d’un incident de support auprès de Microsoft.

Capture d’écran de Plus de détails d’une connexion au navigateur web interrompue par l’accès conditionnel.

Procédez comme suit pour trouver quelles stratégies d’accès conditionnel ont été appliquées et pourquoi :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur général, administrateur de la sécurité ou lecteur général.

  2. Accédez à Identité – Supervision et Intégrité, puis Connexions.

  3. Recherchez l’événement de connexion à vérifier. Ajoutez ou supprimez des filtres et des colonnes pour filtrer les informations inutiles.

    1. Ajoutez des filtres pour limiter l’étendue :

      1. ID de corrélation lorsque vous avez un événement spécifique à examiner.

      2. Accès conditionnel pour voir l’échec et la réussite de la stratégie. Pour limiter les résultats, restreignez votre filtre afin de n’afficher que les échecs.

      3. Nom d’utilisateur pour afficher des informations relatives à des utilisateurs spécifiques.

      4. Date limitée au laps de temps en question.

        Capture d’écran du message d’erreur. L’utilisateur sélectionne le filtre Accès conditionnel dans le journal des connexions.

  4. Une fois que l’événement de connexion qui correspond à l’échec de connexion de l’utilisateur a été trouvé, sélectionnez l’onglet Accès conditionnel. Cet onglet affiche la ou les stratégies spécifiques qui ont abouti à l’interruption de la connexion.

    1. Les informations de l’onglet Dépannage et support indiquent clairement pourquoi une connexion a échoué, par exemple un appareil ne respectant pas les exigences de conformité.
    2. Pour approfondir vos recherches, explorez la configuration des stratégies en cliquant sur Nom de la stratégie. Cliquez sur Nom de la stratégie pour afficher l’interface utilisateur de configuration de la stratégie pour la stratégie sélectionnée à des fins de révision et de modification.
    3. L’utilisateur client et les détails sur l’appareil qui ont été utilisés pour l’évaluation de la stratégie d’accès conditionnel sont également disponibles dans les onglets Informations de base, Emplacement, Informations sur l’appareil, Détails d’authentification et Détails supplémentaires de l’événement de connexion.

Détails de la stratégie

La sélection des points de suspension à droite de la stratégie dans un événement de connexion permet d’afficher les détails de la stratégie. Les administrateurs peuvent ainsi obtenir des informations supplémentaires sur la raison pour laquelle une stratégie a été correctement appliquée ou non.

Capture d’écran de l’onglet Accès conditionnel aux événements de connexion. En attente d’une entrée utilisateur.Capture d’écran des Détails de la stratégie (préversion) dans l’accès conditionnel Microsoft Entra.

Le côté gauche fournit les détails collectés lors de la connexion et le côté droit indique si ces détails répondent aux exigences des stratégies d’accès conditionnel appliquées. Les stratégies d’accès conditionnel s’appliquent uniquement lorsque toutes les conditions sont satisfaites ou non configurées.

Si les informations de l’événement ne suffisent pas à comprendre les résultats de la connexion ou à ajuster la stratégie pour obtenir les résultats souhaités, il est possible d’ouvrir un incident de support. Accédez à l’onglet Dépannage et support de cet événement de connexion, puis sélectionnez Créer une demande de support.

Capture d’écran de l’onglet Résolution des problèmes et support de l’événement Connexion. L’Assistant permet de résoudre les problèmes.

Lors de l’envoi de l’incident, fournissez l’ID de la demande, ainsi que l’heure et la date de l’événement de connexion dans les détails d’envoi de l’incident. Ces informations permettent au support Microsoft de trouver l’événement qui vous intéresse.