Résoudre les problèmes d’accès conditionnelTroubleshoot conditional access

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

En général, l’utilisateur tente d’accéder à ses e-mails ou à SharePoint et reçoit une invitation à s’inscrire.Typically, a user is trying to access email or SharePoint and receives a prompt to enroll. Cette invitation le conduit au portail d’entreprise.That prompt will lead the user to the company portal.

Cette rubrique décrit les actions à entreprendre quand vos utilisateurs ne parviennent pas à accéder à des ressources par le biais de l’accès conditionnel Intune.This topic describes what to do when your users fail to get access to resources through Intune conditional access.

Ce qu’il faut savoir pour réussir l’accès conditionnelThe basics for success in conditional access

Pour que l’accès conditionnel fonctionne, les conditions suivantes doivent être remplies :In order to conditional access to work, you need the following conditions:

  • L’appareil doit être géré par Intune.The device must be managed by Intune
  • L’appareil doit être inscrit auprès d’Azure Active Directory (AAD).The device must be registered with Azure Active Directory (AAD) . Normalement, cette opération s’effectue automatiquement pendant l’inscription.Under normal circumcstances this registration takes place automatically during Intune enrollment
  • L’appareil doit être conforme à vos stratégies de conformité Intune, pour l’appareil et pour l’utilisateur de l’appareil.The device must be compliant with your Intune compliance policies, for the device, and for the user of the device. Si aucune stratégie de conformité n’existe, l’inscription Intune est suffisante.If there are no compliance policies, Intune enrollment is sufficient.
  • Exchange ActiveSync doit être activé sur l’appareil si l’utilisateur récupère ses e-mails par l’intermédiaire du client d’e-mail natif de l’appareil, plutôt que par l’intermédiaire d’Outlook.Exchange ActiveSync must be activated on the device if the user is retrieving mail through the device's native mail client rather than through Outlook. Ceci se produit automatiquement pour les appareils iOS, Windows Phone et Android/KNOX standard.This happens automatically for iOS, Windows Phone and Android/KNOX Standard devices.
  • Votre connecteur Exchange Intune doit être configuré correctement.Your Intune Exchange Connector should be properly configured. Pour plus d’informations, consultez Dépannage du connecteur Exchange dans Microsoft Intune.See Troubleshooting the Exchange Connector in Microsoft Intune for more information.

Ces conditions sont visibles sur chaque appareil dans le portail de gestion Azure et dans le rapport d’inventaire des appareils.These conditions can be viewed for each device in the Azure Management Portal and in the device inventory report.

Problèmes d’inscriptionEnrollment issues

  • L’appareil n’est pas inscrit. L’inscription résoudra le problème.The device isn't enrolled, so enrollment will resolve the issue.
  • L’utilisateur a inscrit l’appareil, mais la jonction au lieu de travail a échoué.The user enrolled the device, but the workplace join failed. L’utilisateur doit mettre à jour l’inscription à partir du portail d’entreprise.The user should update the enrollment from the company portal.

Problèmes de conformitéCompliance issues

  • L’appareil n’est pas conforme à la stratégie Intune.The device is not compliant with Intune policy. Les critères de chiffrement et de mot de passe font partie des problèmes courants.Common issues are encryption and password requirements. L’utilisateur est redirigé vers le portail d’entreprise, où il peut configurer son appareil pour qu’il soit conforme.The user will be redirected to the company portal, where they can configure their device to be compliant.
  • L’inscription des informations de conformité d’un appareil peut demander un certain temps.It may take some time for compliance information to be registered for a device. Attendez quelques minutes et réessayez.Wait a few minutes and try again.
  • Pour les appareils iOS :For iOS devices:

    • Un profil d’e-mail existant créé par l’utilisateur bloque le déploiement d’un profil créé par un administrateur Intune.An existing email profile created by the user will block the deployment of an Intune admin-created profile. Il s’agit d’un problème courant parce que les utilisateurs iOS créent généralement un profil de messagerie, puis s’inscrivent.This is a common problem as iOS users will typically create an email profile, then enroll. Le portail d’entreprise informe les utilisateurs qu’ils ne sont pas conformes en raison de leur profil de messagerie configuré manuellement et les invite à supprimer ce profil. Les utilisateurs doivent supprimer leur profil de messagerie pour que le profil Intune puisse être déployé.The company portal will inform the user that they are not compliant due to their manually-configured email profile, and will prompt the user to remove that profile.The user should remove their email profile so that the Intune profile can be deployed. Pour éviter ce problème, demandez à vos utilisateurs de s’inscrire sans installer de profil de messagerie et d’autoriser Intune à déployer le profil.To prevent the problem instruct your users to enroll without installing an email profile and to allow Intune to deploy the profile.
    • Un appareil iOS peut rester bloqué dans un état de vérification de conformité, ce qui empêche l’utilisateur de lancer une autre vérification.An iOS device may get stuck in a checking-compliance state, preventing the user from initiating another check-in. Le redémarrage du portail d’entreprise peut résoudre ce problème. L’état de conformité reflètera alors l’état de l’appareil dans Intune.Restarting the company portal may fix this, and the compliance state will reflect the device state in Intune. Une fois que toutes les données sont collectées sur un appareil, la synchronisation de la vérification de la conformité est rapide, moins d’une demi-seconde en moyenne.After all of the data is collected from a device sync the compliance check is, fast, less than half a second on average.

      En général, les appareils restent dans cet état parce qu’ils rencontrent des problèmes de connexion au service ou parce que la synchronisation prend beaucoup de temps.Typically, the reason devices stay in this state is because they are having trouble connecting to the service or the sync is taking a long time. Si le problème persiste sur différentes configurations réseau (téléphonie mobile, Wi-Fi, VPN), après redémarrage de l’appareil et après avoir vérifié que le fournisseur de services partagés est à jour sur l’appareil, contactez le support Microsoft comme décrit dans Guide pratique pour obtenir un support technique pour Microsoft Intune.If the problem persists on different network configurations (cellular, Wi-Fi, VPN), through device restarts, and after verifying that the SSP is up-to-date on the device, contact Microsoft Support as described in How to get support for Microsoft Intune.

  • Pour les appareils Android :For Android devices:

    • Certains appareils Android peuvent paraître chiffrés, alors que l’application Portail d’entreprise reconnaît ces appareils comme non chiffrés.Certain Android devices may seem to be encrypted, but the Company Portal app recognizes these devices as not encrypted.

      • Pour ces appareils, l’utilisateur doit définir un code secret de démarrage sécurisé.Devices that are in this state require the user to set a secure start-up passcode. L’utilisateur reçoit une notification d’appareil de l’application Portail d’entreprise lui demandant de définir un code secret de démarrage pour l’appareil.The user will see a device notification from the Company Portal app asking to set a start-up passcode for the device. Après avoir appuyé sur la notification d’appareil et confirmé votre code confidentiel ou mot de passe existant, choisissez l’option Exiger un code confidentiel pour démarrer l’appareil dans l’écran Démarrage sécurisé.After tapping the device notification and confirming the existing PIN or password, choose the Require PIN to start device option on the Secure start-up screen. Ensuite, appuyez sur le bouton Vérifier la conformité pour l’appareil dans l’application Portail d’entreprise.Then, tap the Check Compliance button for the device from the Company Portal app. L’appareil doit maintenant être détecté comme chiffré.The device should now be detected as encrypted.

      • Certains fabricants d’appareils chiffrent leurs appareils à l’aide d’un code confidentiel par défaut à la place du code confidentiel secret défini par l’utilisateur.Some device manufacturers encrypt their devices using a default PIN instead of the secret PIN set by the user. Intune considère le chiffrement au moyen du code confidentiel par défaut comme non sécurisé. En effet, cette méthode de chiffrement peut mettre en danger les données figurant sur l’appareil face à des utilisateurs mal intentionnés en mesure d’accéder physiquement à l’appareil.Intune recognizes encryption using the default PIN as insecure because this method of encryption can put the data on the device at risk from malicious users with physical access to the device. Si tel est le problème, envisagez d’utiliser les stratégies de protection des applications.If this is the issue, consider using app protection policies.

Problèmes de stratégiePolicy issues

Quand vous créez une stratégie de conformité et que vous la liez à une stratégie de messagerie, les deux stratégies doivent être déployées sur le même utilisateur. Par conséquent, soyez vigilant quand vous planifiez quelles stratégies sont déployées sur quels groupes.When you create a compliance policy and link it to an email policy, both policies have to be deployed to the same user, so be careful when planning which policies are deployed to which groups. Les utilisateurs auxquels une seule stratégie est appliquée découvriront probablement que leurs appareils ne sont pas conformes.Users that have only one policy applied are likely to find that their devices are not compliant.

Problèmes Exchange ActiveSyncExchange ActiveSync issues

L’appareil Android compatible reçoit un avis de mise en quarantaineCompliant Android device gets quarantine notice

  • Un appareil Android inscrit et conforme peut quand même recevoir une notification de mise en quarantaine quand vous tentez d’accéder à des ressources d’entreprise.An Android device that is enrolled and compliant may still get a quarantine notice when trying to access corporate resources. Avant de cliquer sur le lien indiquant Commencer, l’utilisateur doit vérifier que le portail d’entreprise n’était pas ouvert quand il a tenté d’accéder aux ressources.Before choosing the link that says Begin, the user should ensure that the company portal was not open when they tried to access the resources. Les utilisateurs doivent fermer le portail d’entreprise, réessayer d’accéder aux ressources, puis cliquer sur le lien Commencer.The users should close the company portal, try again to access the resources, and then choose the Begin link.

Un appareil mis hors service continue d’avoir un accès.Retired device continues to have access.

  • Avec Exchange Online, un appareil mis hors service peut continuer à avoir accès aux ressources pendant plusieurs heures après sa mise hors service.When using Exchange Online, a retired device may continue to have access for several hours after retirement. En effet, Exchange met en cache les droits d’accès pendant 6 heures.This is because Exchange caches access rights for 6 hours. Envisagez d’autres moyens de protéger les données sur les appareils mis hors service dans ce scénario.Consider other means of protecting data on retired devices in this scenario.

Un appareil est conforme et inscrit sur AAD, mais reste bloquéDevice is compliant and registered with AAD but still blocked

  • Parfois, l’approvisionnement de l’ID d’Exchange ActiveSync (EASID) sur AAD est retardé.Sometimes, provision of the Exchange ActiveSync ID (EASID) to AAD is delayed. La limitation constitue une cause courante de ce problème. Par conséquent, attendez quelques minutes et réessayez.A common cause of this issue is throttling, so wait a few minutes and try again.

Appareil bloquéDevice blocked

Un appareil peut être bloqué au niveau de l’accès conditionnel sans recevoir d’e-mail d’activation.A device may be blocked from Conditional Access without receiving an activation email.

  • Existe-t-il une règle Exchange par défaut qui met en quarantaine ou bloque les appareils ?Is there a default Exchange rule which quarantines or blocks devices? Si une règle par défaut bloque ou met en quarantaine les appareils, ces derniers ne peuvent pas recevoir le message d’activation du connecteur Exchange.If a default rule blocks or quarantines devices, devices will not be able to receive the activation email from the Exchange Connector. Ceci est volontaire.This is by design.
  • Le compte de notification est-il correctement configuré comme décrit dans la configuration de base ?Is the notification account properly configured as described in Basic configuration?
  • L’appareil apparaît-il dans la console d’administration Intune comme appareil Exchange ActiveSync ?Is the device present in the Intune admin console as an Exchange ActiveSync device? Si ce n’est pas le cas, la découverte des appareils est certainement défaillante, probablement en raison d’un problème de synchronisation du connecteur Exchange.If not, it's likely that device discovery is failing, probably because of an Exchange Connector sync issue. Consultez Appareil Exchange ActiveSync non découvert à partir d’Exchange.See Exchange ActiveSync device not discovered from Exchange.
  • Examinez les journaux du connecteur Exchange pour l’activité sendemail et recherchez les éventuelles erreurs.Check the Exchange Connector logs for sendemail activity and check for errors. Un exemple de la commande à rechercher est SendEmail à partir du compte de notification jusqu’à useremail.An example of the command to search for is SendEmail from notification account to useremail.
  • Avant que le connecteur Exchange bloque l’appareil, il envoie l’e-mail d’activation.Before the Exchange Connector blocks the device, it sends the activation email. Si l’appareil est hors connexion, il peut ne pas recevoir l’e-mail d’activation.If the device is offline, it may not receive the activation email. Vérifiez si le client d’e-mail de l’appareil récupère les e-mails avec Push au lieu de Poll, car cela pourrait également expliquer que l’utilisateur ne reçoit pas l’e-mail.Check if the device email client has email retrieval using Push instead of Poll as this could also cause the user to miss the email. Basculez sur Poll et regardez si l’appareil reçoit l’e-mail.Switch to Poll and see if the device receives the email.

Appareil non conforme non bloquéNon-compliant device not blocked

Si vous constatez qu’un appareil continue à avoir un accès alors qu’il n’est pas conforme, procédez comme suit.If you encounter a device that is not compliant but continues to have access, take the following steps.

  • Vérifiez vos groupes cibles et d’exclusion.Review your Target and Exclusion groups. Si un utilisateur n’est pas dans le bon groupe cible ou est dans le groupe d’exclusions, il n’est pas bloqué.If a user isn't in the right target group or is in the exclusion group, they won’t be blocked. Seuls les appareils des utilisateurs d’un groupe cible sont vérifiés pour la conformité.Only devices of users in a Target group are checked for compliance.
  • Assurez-vous que l’appareil est en cours de découverte.Ensure the device is being discovered. Le connecteur Exchange pointe-t-il sur la sécurité d’accès du code Exchange 2010 quand l’utilisateur est sur un serveur Exchange 2013 ?Is the Exchange Connector pointing to an Exchange 2010 CAS while the user is on an Exchange 2013 server? Dans ce cas, si la règle d’Exchange par défaut est Autoriser, même si l’utilisateur est dans le groupe cible, Intune ne peut pas savoir si l’appareil est connecté à Exchange.In this case, if the default Exchange rule is Allow, even if the user is in the Target group, Intune can't be aware of the device's connection to Exchange.
  • Vérifiez l’état Existence/accès de l’appareil dans Exchange :Check Device Existence/Access State in Exchange:
    • Utilisez cette applet de commande PowerShell pour obtenir la liste de tous les appareils mobiles d’une boîte aux lettres : "Get-ActiveSyncDeviceStatistics -mailbox mbx'.Use this PowerShell cmdlet to get a list of all mobile devices for a mailbox: "Get-ActiveSyncDeviceStatistics -mailbox mbx'. Si l’appareil n’est pas dans la liste, cela signifie qu’il n’accède pas à Exchange.If the device isn’t listed then it isn’t accessing Exchange.
    • S’il est dans la liste, utilisez l’applet de commande Get-CASmailbox -identity:’upn’ | fl pour obtenir des informations détaillées sur son état d’accès que vous fournirez au support Microsoft.If the device is listed, use the Get-CASmailbox -identity:’upn’ | fl cmdlet to get detailed information about its access state, and provide that information to Microsoft Support.

Avant d’ouvrir un ticket de supportBefore you open a support ticket

Si ces procédures de dépannage ne résolvent pas votre problème, le support Microsoft vous demandera peut-être de fournir des informations comme les journaux de la boîte aux lettres OWA ou les journaux du connecteur Exchange.If these troubleshooting procedures don't resolve your issue, there is information that you may be asked to provide to Microsoft Support, such as OWA mailbox logs or Exchange Connector logs.

Collecte des journaux de boîte aux lettres OWACollecting OWA mailbox logs

  1. Connectez-vous par le biais d’OWA et choisissez le symbole Paramètres (engrenage) en regard de votre nom en haut à droite.Log on through OWA and choose the settings (gear) symbol next to your name in the upper right corner.
  2. Choisissez Options.Choose Options
  3. Choisissez Téléphone (ou bien Appareils mobiles) dans la colonne sur le côté gauche.Choose Phone (may say Mobile Devices) in the column on the left side.
  4. Dans le menu affiché en haut, choisissez Appareils mobiles.From the top menu, choose Mobile Devices.
  5. Choisissez votre appareil dans la liste, puis Démarrer l’enregistrement dans le journal.Choose your device from the list and then choose Start Logging.
  6. Quand vous y êtes invité, choisissez Oui dans la boîte de dialogue contextuelle.When prompted, choose Yes on the pop-up dialog.
  7. Exécutez l’action qui a provoqué le problème pour pouvoir le reproduire.Perform the action that caused the issue, so that you can reproduce it.
  8. Patientez 1 à 2 minutes, puis revenez à la liste téléphonique dans OWA.Wait 1-2 minutes then go back to the phone list in OWA. Vérifiez que votre téléphone est sélectionné dans la liste, puis dans le menu supérieur, choisissez Récupérer le journal.Make sure your phone is selected in the list, and then from the top menu choose Retrieve Log.
  9. Vous devriez maintenant recevoir un e-mail de vous-même avec une pièce jointe.You should receive an email from yourself with an attachment. Quand vous ouvrez un ticket de support, fournissez le contenu de l’e-mail au support technique Microsoft.When you open a support ticket, provide the contents of the email to Microsoft Support.

Journaux du connecteur ExchangeExchange Connector logs

Informations générales sur les journauxGeneral log information

Pour afficher les journaux du connecteur Exchange, utilisez [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx').To view Exchange Connector logs use the [Server Trace Viewer Tool](server trace viewer tool (https://msdn.microsoft.com/library/ms732023(v=vs.110).aspx'). Pour utiliser cet outil, vous devez télécharger le SDK de Windows Server.This tool requires that you download the Windows Server SDK.

Note

Les journaux sont dans C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs.The logs are located in C:\ProgramData\Microsoft\Windows Intune Exchange Connector\Logs. Ils sont contenus dans une série de 30 fichiers journaux qui vont de Connector0.log à Connector29.log.The logs are contained in a series of 30 log files starting with Connector0.log and stopping at Connector29.log. Les journaux se remplacent les uns les autres dès que 10 Mo de données ont été accumulées dans un journal.Logs rollover from one to another after 10MB of data has accumulated in a log. Une fois que les journaux arrivent à Connector29, ils reviennent à Connector0 en remplaçant les fichiers journaux précédents.Once the logs get to Connector29, they will start over at Connector0 again, overwriting previous log files.

Localisation des journaux de synchronisationLocating sync logs

  • Localisez une synchronisation complète dans les journaux en recherchant full sync. Le début d’une synchronisation complète est marqué par ce texte :Locate a full sync in the logs by searching for full sync. The beginning of a full sync will be marked by this text:

    « Traitement de la commande : obtention de la liste des appareils mobiles sans filtre de temps (synchronisation complète) pour utilisateurs »'Handling command: Getting the mobile device list without a time filter (full sync) for users`

    La fin du journal pour une synchronisation complète ressemble à ceci :The end of the log for a full sync looks like this:

    Obtention de la liste des appareils mobiles sans filtre de temps (synchronisation complète) pour 4 utilisateurs réussie.Getting the mobile device list without a time filter (full sync) for 4 users completed successfully. Détails : Résultat de la commande d’inventaire - Appareils synchronisés : 0 ID de commande : commandIDGUID' Intégrité Exchange : 'Server health 'Nom : 'PowerShellExchangeServer: <Name=nomdemonserveurmail>' État : Connected','Details: Inventory command result - Devices synced: 0 Commmand ID: commandIDGUID' Exchange health: 'Server health 'Name: 'PowerShellExchangeServer: <Name=mymailservername>' Status: Connected','

  • Localisez une synchronisation (différentielle) rapide dans les journaux en recherchant quick sync.Locate a quick (delta) sync in the logs by searching for quick sync.

Exceptions dans la commande Get nextExceptions in Get next command

Recherchez les exceptions de la commande get next dans les journaux du connecteur Exchange et fournissez-les au support Microsoft.Check the Exchange Connector logs for exceptions in Get next command, and provide these to Microsoft Support.

Journalisation détailléeVerbose logging

Pour activer la journalisation détaillée :To enable verbose logging:

  1. Ouvrez le fichier de configuration de suivi du connecteur Exchange.Open the Exchange Connector tracing configuration file. Le fichier est situé dans : %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.The file is located at: %ProgramData%\Microsoft\Windows Intune Exchange Connector\TracingConfiguration.xml.
  2. Recherchez TraceSourceLine avec la clé suivante : OnPremisesExchangeConnectorServiceLocate the TraceSourceLine with the following key: OnPremisesExchangeConnectorService
  3. Remplacez la valeur du nœud SourceLevel Warning ActivityTracing (par défaut) par Verbose ActivityTracing, comme indiqué ci-dessous.Change the SourceLevel node value from Warning ActivityTracing (the default) to Verbose ActivityTracing, as shown below.

    OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30 OnPremisesExchangeConnectorService All CircularTraceListener Verbose ActivityTracing 10000000 Microsoft\Windows Intune Exchange Connector\Logs\Connector.svclog 30

Étapes suivantesNext steps

Si ces informations de dépannage n’ont pas permis de vous aider, contactez le support Microsoft comme décrit dans Comment obtenir un support technique pour Microsoft Intune.If this troubleshooting information didn't help you, contact Microsoft Support as described in How to get support for Microsoft Intune.