Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez cet article pour corriger les résultats de connexion inattendus liés à l’accès conditionnel en vérifiant les messages d’erreur et les journaux de connexion Microsoft Entra.
Sélectionner « toutes » les conséquences
L’infrastructure d’accès conditionnel vous offre une grande flexibilité de configuration. Toutefois, cette flexibilité signifie que vous devez examiner attentivement chaque stratégie de configuration avant de la libérer pour éviter les résultats indésirables. Dans ce contexte, portez une attention particulière aux affectations qui affectent les ensembles complets comme tous les utilisateurs/ groupes/ ressources.
N’utilisez pas les configurations suivantes :
Pour tous les utilisateurs, toutes les ressources :
- Bloquer l’accès : cette configuration bloque l’ensemble de l’organisation.
- Exiger que l’appareil soit marqué comme conforme : pour les utilisateurs qui n’ont pas encore inscrit leurs appareils, cette stratégie bloque tout accès, y compris l’accès au portail Intune. Si vous êtes un administrateur sans appareil inscrit, cette politique vous bloque et vous empêche de réaccéder pour la modifier.
- Exiger un appareil joint à un domaine Microsoft Entra hybride : cette stratégie peut également bloquer l’accès pour tous les utilisateurs de votre organisation s’ils n’ont pas d’appareil joint à Microsoft Entra hybride.
- Exiger une stratégie de protection des applications : cette stratégie peut également bloquer l’accès pour tous les utilisateurs de votre organisation si vous n’avez pas de stratégie Intune. Si vous êtes administrateur sans application cliente disposant d’une stratégie de protection des applications Intune, cette stratégie vous empêche de revenir dans des portails tels qu’Intune et Azure.
Pour tous les utilisateurs, toutes les ressources, toutes les plateformes d’appareils :
- Bloquer l’accès : cette configuration bloque l’ensemble de votre organisation.
Interruption de connexion avec l’accès conditionnel
Vérifiez le message d’erreur qui s’affiche. Si vous vous connectez avec un navigateur web, la page d’erreur contient généralement des informations détaillées. Ces informations décrivent souvent le problème et suggèrent une solution.
Dans cette erreur, le message indique que vous pouvez uniquement utiliser l’application à partir d’appareils ou d’applications clientes qui répondent à la stratégie de gestion des appareils mobiles de votre entreprise. Ici, l’application et l’appareil ne répondent pas à la stratégie.
Événements de connexion Microsoft Entra
Pour obtenir des informations détaillées sur l’interruption de connexion, passez en revue les événements de connexion Microsoft Entra pour voir quelle stratégie ou stratégies d’accès conditionnel appliquées et pourquoi.
Vous trouverez plus d’informations sur le problème en cliquant sur Plus de détails dans la page d’erreur initiale. Cliquez sur Plus d’informations pour afficher les informations de résolution des problèmes qui sont utiles lors de la recherche d’événements de connexion Microsoft Entra pour l’événement d’échec spécifique que l’utilisateur a vu ou lors de l’ouverture d’un incident de support avec Microsoft.
Suivez ces étapes pour déterminer la stratégie ou les stratégies d’accès conditionnel appliquées et pourquoi.
Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
Accédez à Entra ID>Surveillance et santé>Journaux de connexion.
Recherchez l’événement de connexion à vérifier. Ajoutez ou supprimez des filtres et des colonnes pour filtrer les informations inutiles.
- Limitez l’étendue en ajoutant des filtres comme :
- ID de corrélation lorsque vous avez un événement spécifique à examiner.
- Accès conditionnel pour voir l’échec et la réussite de la stratégie. Pour limiter les résultats, restreignez votre filtre afin de n’afficher que les échecs.
- Nom d’utilisateur pour afficher les informations relatives à des utilisateurs spécifiques.
- Date limitée au laps de temps en question.
- Ressource permettant d’afficher des informations relatives à la ressource appelée.
- Limitez l’étendue en ajoutant des filtres comme :
Après avoir trouvé l’événement de connexion qui correspond à l’échec de connexion de l’utilisateur, sélectionnez l’onglet Accès conditionnel . L’onglet Accès conditionnel affiche la stratégie ou les stratégies spécifiques qui ont entraîné l’interruption de connexion.
- Les informations contenues dans l’onglet Résolution des problèmes et support peuvent indiquer clairement pourquoi une connexion a échoué, par exemple un appareil qui ne répondait pas aux exigences de conformité.
- Pour approfondir vos recherches, explorez la configuration des stratégies en cliquant sur le nom de la stratégie. Le fait de cliquer sur le nom de la stratégie affiche l’interface utilisateur de configuration de stratégie pour la stratégie sélectionnée pour révision et modification.
- Les détails de l’utilisateur client et de l’appareil utilisés pour l’évaluation de la stratégie d’accès conditionnel sont également disponibles dans les onglets Informations de base, Emplacement, Informations sur l’appareil, Détails de l’authentification et Détails supplémentaires de l’événement de connexion.
Stratégie qui ne fonctionne pas comme prévu
Sélectionnez les points de suspension à droite de la stratégie dans un événement de connexion pour afficher les détails de la stratégie. Cette option donne aux administrateurs plus d’informations sur la raison pour laquelle une stratégie a été appliquée ou non.
Le côté gauche fournit les détails collectés lors de la connexion et le côté droit indique si ces détails répondent aux exigences des stratégies d’accès conditionnel appliquées. Les stratégies d’accès conditionnel s’appliquent uniquement lorsque toutes les conditions sont satisfaites ou non configurées.
Si les informations contenues dans l’événement ne suffisent pas à comprendre les résultats de connexion ou à ajuster la stratégie pour obtenir les résultats souhaités, utilisez l’outil de diagnostic de connexion. Le diagnostic de connexion se trouve sous informations de base>l'événement de résolution des problèmes. Pour plus d’informations sur le diagnostic de connexion, consultez Présentation du diagnostic de connexion dans l’ID Microsoft Entra. Vous pouvez également utiliser l’outil What If pour résoudre les problèmes de stratégies d’accès conditionnel.
Si vous devez envoyer un incident de support, incluez l’ID de demande, l’heure et la date de l’événement de connexion dans les détails de l’incident. Ces informations aident le support Microsoft à trouver l’événement spécifique auquel vous êtes préoccupé.
Codes d’erreur courants pour l’accès conditionnel
| Code d’erreur de connexion | Chaîne d’erreur |
|---|---|
| 53000 | DeviceNotCompliant |
| 53001 | DeviceNotDomainJoined |
| 53002 | L'application utilisée n'est pas une application approuvée. |
| 53003 | BloquéParAccèsConditionnel |
| 53004 | ProofUpBlockedDueToRisk |
| 53009 | L’application doit appliquer des stratégies de protection Intune |
En savoir plus sur les codes d’erreur dans les codes d’erreur d’authentification et d’autorisation Microsoft Entra. Les codes d’erreur de la liste apparaissent avec un préfixe de AADSTS suivi du code que vous voyez dans le navigateur, par exemple AADSTS53002.
Dépendances de services
Dans certains scénarios, les utilisateurs sont bloqués, car les applications cloud dépendent des ressources qu’une stratégie d’accès conditionnel bloque.
Pour vérifier la dépendance du service, passez en revue le journal de connexion de l’application et de la ressource appelée par la connexion. Dans la capture d’écran suivante, l’application est le portail Azure, mais la ressource est Azure Resource Manager. Pour cibler ce scénario, combinez toutes les applications et ressources dans la stratégie d’accès conditionnel.
Rapports d’audience
Lorsqu’un utilisateur se connecte à une application comme Microsoft Teams, il demande en fait l’accès à plusieurs ressources, telles que la conversation Teams, le calendrier Outlook, les documents Excel, etc. Bien que les utilisateurs pensent qu’ils se connectent uniquement au client Teams, les stratégies d’accès conditionnel s’appliquent à toutes ces ressources. Par exemple, si un administrateur restreint l’accès à SharePoint ou à des sites SharePoint spécifiques, la stratégie s’applique même lorsque l’utilisateur pense qu’il se connecte uniquement à Teams.
Les rapports d’audience dans les journaux de connexion permettent aux administrateurs de voir toutes les ressources demandées dans le cadre d’un événement de connexion. Cela s'affiche en tant que Audience sous la section Ressource pour toutes les stratégies activées ou pour les rapports uniquement.
Les administrateurs recherchent Audience dans les journaux de connexion après avoir sélectionné une stratégie sous l’onglet Accès conditionnel.
Les administrateurs utilisent le rapport d'assistance pour comprendre pourquoi une stratégie d'accès conditionnel s'applique ou ne s'applique pas à un événement de connexion. Par exemple, une stratégie s’applique à un événement de connexion spécifique, car l’une des audiences de la liste se trouve dans l’étendue de la stratégie.
Que faire si l’accès vous est refusé
Si vous êtes verrouillé en raison d’un paramètre incorrect dans une stratégie d’accès conditionnel :
- Vérifiez s’il existe d’autres administrateurs de votre organisation qui ne sont pas encore bloqués. Un administrateur disposant d’un accès peut désactiver la stratégie qui affecte votre connexion.
- Si aucun administrateur de votre organisation ne peut mettre à jour la stratégie, envoyez une demande de support. Le support Microsoft examine et, après confirmation, met à jour les stratégies d’accès conditionnel qui empêchent l’accès.