Installation forcée d'Okta Device Trust pour les navigateurs et les applications natives sur les appareils Android gérés par MDM

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Okta Device Trust pour Android vous permet d'éviter que des appareils Android non gérés accèdent aux services de l'entreprise via des navigateurs et des applications natives.

L'image illustre l'installation forcée d'Okta Device Trust pour les navigateurs et les applications natives sur les appareils Android gérés par MDM

Conditions préalables

  • Appareils Android fonctionnant sous Android 5.1 (Lollipop) ou version ultérieure
  • Services Google Play
  • Gestion d'Android Enterprise
  • N'importe quel fournisseur Mobile Device Management (MDM) qui prend en charge la configuration des applications gérées
  • Applications :
    • Toute application cloud Android SAML ou WS-Fed
    • Okta Mobile 5.14.0 et versions ultérieures pour Android, géré par votre fournisseur MDM

Avant de commencer

  • Dans certains cas, appuyer sur le bouton Retour empêche l'accès aux applications - dans les orgs qui implémentent la MFA Okta, appuyer sur le bouton Retour de l'appareil Android après avoir réussi la vérification par authentification multifacteur (MFA) redirige les utilisateurs vers leur page d'accueil Okta au lieu de l'application sécurisée par Device Trust à laquelle ils tentaient d'accéder. Conseillez aux utilisateurs finaux concernés de réessayer sans appuyer sur le bouton Retour.
  • Des retards sont possibles lors de l'envoi d'Okta Mobile et de l'indice de gestion aux appareils - vous pouvez subir de longs délais lorsque vous attendez que MDM envoie l'application Okta Mobile gérée et l'indice de gestion aux appareils Android. Dans certains cas, le délai est indéfini. Ce problème semble provenir de Google, qui est en conscient.
  • Règles de politique d'authentification avec la condition De confiance ou non approuvé - lors du traitement d'une règle de politique d'authentification pour une application configurée avec la condition Faire confiance ou Non de confiance, Okta suspend le traitement normal de la règle et utilise Okta Mobile pour évaluer si l'appareil est approuvé ou non. Si Okta estime que l'appareil n'est pas de confiance, l'une des situations suivantes se produit :
    • Si vous configurez une règle de politique d'authentification pour refuser les appareils non de confiance, les utilisateurs sont invités à s'inscrire sur votre fournisseur MDM.
    • Si vous configurez une règle de politique de connexion pour émettre un défi MFA aux utilisateurs disposant d'appareils non de confiance, ces utilisateurs se verront présenter un défi MFA.
  • Les utilisateurs finaux ne sont parfois pas redirigés vers la page de connexion de l'application - lorsque cette solution Device Trust est activée, si les utilisateurs finaux se connectent à un compte Gmail ou Salesforce fédéré par Okta et suppriment ensuite le compte, ils sont redirigés vers la page d'accueil d'Okta au lieu de la page de déconnexion de l'application.
  • Okta prend en charge l'authentification sans mot de passe uniquement pour les applications Office 365 (en supposant qu'Okta Mobile est installé) - pour toutes les autres applications, une page de connexion Okta est présentée aux utilisateurs finaux pour qu'ils saisissent leurs informations d'identification. Les utilisateurs sont ensuite invités à laisser Okta Mobile évaluer le statut d'approbation de leur appareil. Si l'appareil est approuvé (inscrit auprès de MDM), les utilisateurs finaux peuvent accéder à l'application. Si Okta Mobile estime que l'appareil n'est pas approuvé, l'une des situations suivantes se produit :
    • Si vous avez configuré une règle de stratégie d'authentification pour refuser les appareils non approuvés, les utilisateurs de ces appareils sont invités à s'inscrire à votre fournisseur MDM.
    • Si vous avez configuré une règle de politique d'authentification afin de présenter une vérification par MFA pour les utilisateurs disposant d'appareils non de confiance, ces utilisateurs sont invités à utiliser la vérification par MFA.
  • Sécurisation d'une application MDM fédérée par Okta avec cette solution Device Trust - Okta vous recommande de ne pas appliquer une politique de signature d'application Non de confiance : refuser à votre application MDM fédérée par Okta. Cela empêchera les nouveaux utilisateurs d'inscrire leur appareil dans votre application MDM et d'accéder à d'autres applications sécurisées par l'approbation de l'appareil.

  • Les applications sécurisées par Device Trust sont affichées comme verrouillées sur le tableau de bord d'utilisateur final Okta. Une icône de verrouillage s'affiche à côté des applications sécurisées par Device Trust dans ces conditions :

    • Les utilisateurs finaux ont accédé au tableau de bord dans un navigateur de bureau ou mobile (pas dans Okta Mobile).
    • Device Trust est activé pour l'organisation.
    • L'appareil n'est pas de confiance.
    • L'utilisateur final a essayé d'accéder à une application sécurisée par Device Trust depuis son tableau de bord.

Procédures

Étape 1. Activer le paramètre global Device Trust pour votre organisation

  1. Dans Admin Console, allez à SécuritéDevice Trust.

  2. Dans la section Android Device Trust, cliquez sur Modifier.
  3. Sélectionnez Activer AndroidDevice Trust.
  4. Sélectionnez la ou les options qui correspondent à votre fournisseur MDM :
    MDMOptions
    Workspace ONE UEM

    (anciennement AirWatch)

    • L'approbation est établie par : VMware
    • Type d'intégration : basé sur le client Okta (Workspace ONE UEM)
    Microsoft Intune
    • L'approbation est établie par : Microsoft Intune
    MobileIron
    • L'approbation est établie par : MobileIron
    Aucune des réponses ci-dessus
    • L'approbation est établie par : autre
    • Type d'intégration : basé sur le client Okta.
    Important : ne sélectionnez pas l'option basée sur SAML. Cela ne s'applique pas à cette solution Device Trust.
  5. Cliquez sur Suivant.

  6. Copiez la Clé secrète fournie dans votre presse-papiers en cliquant sur l'icône de copie adjacente au champ. Vous saisirez la clé secrète plus tard dans la configuration de l'application de votre fournisseur MDM, comme décrit dans Étape 2.

    Notez bien la valeur de la Clé secrète fournie, car c'est la seule fois qu'elle apparaît dans Okta. Si vous générez une nouvelle Clé secrète en cliquant surRéinitialiser la clé secrète Android, veillez à mettre également à jour la configuration de votre logiciel MDM avec la nouvelle clé.

  7. Dans le champ Fournisseur de gestion des appareils mobiles, ajoutez ou modifiez le nom de votre fournisseur MDM. Le contenu de ce champ est affiché aux utilisateurs finaux lorsqu'ils inscrivent leur appareil.
  8. Dans le champ Lien d'inscription, saisissez une adresse Web pour rediriger les utilisateurs finaux dont les appareils ne sont pas inscrits. Par exemple, vous pouvez rediriger ces utilisateurs vers une page contenant des instructions d'inscription ou vers la page d'inscription de votre MDM sélectionné (en supposant que le fournisseur MDM prenne en charge l'inscription sur le Web).
  9. Cliquez sur Enregistrer.

  10. Passez à l'étape 2.

Étape 2. Intégrer Okta à votre fournisseur tiers MDM

Capacités MDM recommandées

Au minimum, votre MDM doit prendre en charge la configuration des applications gérées. Pour de meilleurs résultats, nous vous recommandons d'effectuer une intégration à une instance MDM capable d'effectuer ce qui suit :

  • Configurer Okta Mobile pour qu'il s'installe sur les appareils des utilisateurs finaux de manière silencieuse et automatique lorsqu'ils s'inscrivent dans l'instance MDM que vous avez choisie
  • Configurer Okta Mobile pour qu'il s'installe sur le le profil professionnel des utilisateurs finaux de manière silencieuse et automatique lorsqu'ils s'inscrivent dans l'instance MDM que vous avez choisie.
  • Utiliser la configuration de l'application gérée pour configurer la paire clé-valeur

Assurer la meilleure expérience de l'utilisateur final

Vos utilisateurs finaux bénéficieront d'une meilleure expérience lors de l'accès à vos ressources d'entreprise gérées si leur appareil Android est déjà inscrit auprès de votre fournisseur MDM et si Okta Mobile est déjà installé en mode silencieux sur l'appareil via le magasin d'applications du fournisseur MDM. Si Okta Mobile n'est pas déjà installé dans le profil de travail, les utilisateurs finaux sont invités à l'installer via le magasin d'applications MDM. Si Okta Mobile est installé, mais n'est pas déjà géré par le fournisseur MDM, les utilisateurs finaux sont guidés à travers le processus de gestion des applications avant de pouvoir accéder aux applications sécurisées par un appareil de confiance.

  1. Configurez votre fournisseur MDM pour gérer Okta Mobile et l'installer sur les appareils des utilisateurs finaux si ce n'est pas encore le cas.
  2. Configurez les paires clé-valeur en utilisant la configuration de l'application gérée de votre fournisseur MDM comme décrit dans leur documentation :
    • Clé : domaine
    • Valeur : saisissez l'URL de votre organisation Okta
    • Clé : managementHint
    • Valeur : utilisez la valeur Clé secrète que vous avez enregistrée dans Étape 1.

      Remarque : les paires clé-valeur sont sensibles à la casse.

    Par exemple : si votre MDM exige le format XML, utilisez ce format XML à titre indicatif.

    Copier
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" http://www.apple.com/DTDs/PropertyList-1.0.dtd>
    <plist version="1.0">
    <dict>
    <key>Domain</key>
    <string>https://"Your domain".okta.com</string>
    <key>managementHint</key>
    <string>"secret key goes here"</string>
    </dict>
    </plist>

    Conseils de configuration

    Vous trouverez ci-dessous des conseils pour configurer les paires clé-valeur dans certaines applications MDM. Les configurations MDM pouvant changer sans préavis, Okta vous recommande de toujours consulter la documentation de votre MDM pour obtenir les informations les plus récentes.

    VMware

    Pour savoir comment ajouter, assigner et gérer Okta Mobile avec Workspace ONE UEM, effectuez les procédures décrites dans la documentation Workspace ONE UEM suivante :

    Dans la procédure Affecter des applications…, assurez-vous de configurer ces paramètres comme indiqué :

    • Managed Access (Accès géré) : activer
    • App Delivery Method (Méthode de distribution des applications) : automatique
    • Configuration de l'application
    • Domaine : saisissez l'URL de votre organisation Okta.
    • Nom d'utilisateur : saisissez votre nom d'utilisateur pour votre organisation Okta.
    • Management Hint (indice de gestion) : utilisez la valeur Clé secrète que vous avez enregistrée dans Étape 1. (Remarque : la valeur est sensible à la casse).

    Microsoft Intune

    Pour savoir comment gérer Okta Mobile avec Microsoft Intune, effectuez les procédures décrites dans le document Microsoft Intune Ajouter des stratégies de configuration des applications pour les appareils Android Enterprise gérés.

    • Device enrollment type (Type d'inscription de l'appareil) : appareils gérés
    • Application associée : Okta Mobile
    • Format des paramètres de configuration  : utiliser le concepteur de configuration
    • Domain (string) (Domaine [chaîne de caractères]) : saisir l'URL de votre organisation Okta
    • Nom d'utilisateur (chaîne de caractères) : saisir votre nom d'utilisateur pour votre organisation Okta
    • Management Hint (string) (indice de gestion [chaîne de caractères]) : utilisez la valeur Clé secrète que vous avez enregistrée dans Étape 1. (Remarque : la valeur est sensible à la casse).

    MobileIron

    Pour savoir comment gérer Okta Mobile avec MobileIron, exécutez les procédures fournies dans le document MobileIron Configuration de l'application.

    Dans l'écran App Configurations (Configuration des applications), configurez les paramètres suivants :

    • Installer sur l'appareil
    • Configurations gérées pour Android

      Domaine : saisissez l'URL de votre organisation Okta.

      Nom d'utilisateur : saisissez votre nom d'utilisateur pour votre organisation Okta.

      Management Hint (indice de gestion) : utilisez la valeur Clé secrète que vous avez enregistrée dans Étape 1. (Remarque : la valeur est sensible à la casse).

  3. Passez à l'étape 3.

Étape 3. Configurer les règles de stratégie d'authentification à l'application dans Okta

À propos des règles de stratégie d'authentification à l'application

Par défaut, toutes les options Client de la boîte de dialogue Règle d'authentification de l'application sont présélectionnées. Pour configurer un accès plus granulaire à l'application, créez des règles qui reflètent les informations suivantes :

  • L'identité des utilisateurs ou les groupes auxquels ils appartiennent
  • S'ils sont sur le réseau ou hors réseau, ou dans une zone réseau définie
  • Le type de client exécuté sur leur appareil (applications Office 365 uniquement).
  • La plateforme de leur appareil mobile ou de bureau
  • Si leurs appareils sont approuvés ou non

Adopter une approche de liste d'autorisation pour les règles de la stratégie d'authentification

  1. Créez une ou plusieurs règles Autoriser pour prendre en charge les scénarios qui permettront d'accéder à l'application, puis attribuez à ces règles la priorité la plus élevée.
  2. Créez une règle attrape-tout Refuser qui s'appliquera aux utilisateurs qui ne correspondent pas aux scénarios permissifs que vous avez créés dans Étape 1. Attribuez à cette règle la priorité la plus faible, juste au-dessus de la règle par défaut. Dans l'approche de la liste d'autorisation décrite ici, la règle par défaut n'est jamais atteinte car elle est effectivement annulée par la règle attrape-tout Refuser.

Pour obtenir des informations de sécurité importantes sur la création de règles de politique d'authentification à l'application, consultez Politiques d'authentification à l'application.

Procédure

Remarque : cet exemple présente les règles Device Trust pour la gestion de l'accès à Office 365. Pour les autres applications, notez que la section Si le client de l'utilisateur est l'un des suivants n'est pas présente.

  1. Dans Admin Console, allez à ApplicationsApplications, puis cliquez sur sur l'application compatible SAML ou WS que vous souhaitez protéger avec Device Trust.
  2. Cliquez sur l'onglet Authentification.
  3. Faites défiler jusqu'à Stratégie d'authentification, puis cliquez sur Ajouter une règle.
  4. Configurez une ou plusieurs règles en utilisant l'exemple suivant comme guide.

Cet exemple illustre la façon dont vous pouvez concevoir une politique d'authentification des applications qui autorise l'accès aux navigateurs Web et aux clients utilisant une authentification moderne, requiert la MFA pour tous les accès et refuse l'accès aux appareils Android non de confiance.

Exemple de règle 1 : Navigateur Web ou authentification moderne ; Android ; De confiance; Autoriser l'accès + MFA

  1. Saisissez un nom descriptif pour la règle.
  2. Sous PERSONNES, indiquez si vous souhaitez appliquer la règle aux individus uniquement ou aux individus et aux groupes. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  3. Sous EMPLACEMENT, indiquez l'emplacement de l'utilisateur auquel la règle s'appliquera. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  4. Sous CLIENT, configurez les paramètres suivants :

    Navigateur Web sélectionné.

    Modern Auth client (Client authentification moderne) sélectionné.

    Le paramètre Exchange ActiveSync client (Client Exchange ActiveSync) n'est pas sélectionné.

    Mobile

    Le paramètre iOS n'est pas sélectionné.

    Le paramètre Android est sélectionné.

    Le paramètre Autre mobile n'est pas sélectionné.

    Bureau

    Le paramètre Windows n'est pas sélectionné.

    Le paramètre macOS n'est pas sélectionné.

    Le paramètre Autre bureau n'est pas sélectionné.

  5. Sous DEVICE TRUST, configurez les éléments suivants :

    Vous ne pouvez sélectionner les options De confiance et Non de confiance de la section Device Trust que si toutes les options suivantes de la section Client ne sont pas sélectionnées :

    • Exchange ActiveSync ou client d'authentification héritée
    • Autre appareil mobile (par exemple, BlackBerry)
    • Autre bureau (par exemple, Linux)

    Le paramètre N'importe lequel n'est pas sélectionné.

    Le paramètre Approuvé est sélectionné.

    Le paramètre Non approuvé n'est pas sélectionné.

  6. Configurer Accès :

    Le paramètre Autorisé est sélectionné.

    Le paramètre Demander le facteur est sélectionné.

  7. Cliquez sur Enregistrer.
  8. Créez la règle 2.

Exemple de règle 2 : Navigateur Web ou authentification moderne ; Toutes les plateformes sauf Android ; N'importe quelle approbation ; Autoriser l'accès + MFA

  1. Saisissez un nom descriptif pour la règle.
  2. Sous PERSONNES, sélectionnez la même option Personnes que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  3. Sous EMPLACEMENT, sélectionnez la même option Emplacement que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  4. Sous CLIENT, configurez les paramètres suivants :

    Navigateur Web sélectionné.

    Modern Auth client (Client authentification moderne) sélectionné.

    Le paramètre Exchange ActiveSync client (Client Exchange ActiveSync) n'est pas sélectionné.

    Mobile

    Le paramètre iOS est sélectionné.

    Le paramètre Android n'est pas sélectionné.

    Le paramètre Autre mobile est sélectionné.

    Bureau

    Le paramètre Windows est sélectionné

    Le paramètre macOS est sélectionné

    Le paramètre Autre bureau est sélectionné

  5. Sous DEVICE TRUST, configurez les éléments suivants :

    Vous ne pouvez sélectionner les options De confiance et Non de confiance de la section Device Trust que si toutes les options suivantes de la section Client ne sont pas sélectionnées :

    • Exchange ActiveSync ou client d'authentification héritée
    • Autre appareil mobile (par exemple, BlackBerry)
    • Autre bureau (par exemple, Linux)

    Le paramètre N'importe lequel est sélectionné.

    Le paramètre Approuvé n'est pas sélectionné.

    Le paramètre Non de confiance n'est pas sélectionné.

  6. Configurez Accès.

    Le paramètre Autorisé est sélectionné.

    Le paramètre Demander le facteur est sélectionné.

  7. Cliquez sur Enregistrer.
  8. Créez la règle 3.

Exemple de règle 3 : Navigateur Web ou authentification moderne ; Android ; Non de confiance ; Refuser l'accès

  1. Saisissez un nom descriptif pour la règle.
  2. Sous PERSONNES, sélectionnez la même option Personnes que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  3. Sous EMPLACEMENT, sélectionnez la même option Emplacement que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  4. Sous CLIENT, configurez les paramètres suivants :

    Navigateur Web sélectionné.

    Modern Auth client (Client authentification moderne) sélectionné.

    Le paramètre Exchange ActiveSync client (Client Exchange ActiveSync) n'est pas sélectionné.

    Mobile

    Le paramètre iOS n'est pas sélectionné.

    Le paramètre Android est sélectionné.

    Le paramètre Autre mobile n'est pas sélectionné.

    Bureau

    Le paramètre Windows n'est pas sélectionné.

    Le paramètre macOS n'est pas sélectionné.

    Le paramètre Autre bureau n'est pas sélectionné.

  5. Sous DEVICE TRUST, configurez les éléments suivants :

    Vous ne pouvez sélectionner les options De confiance et Non de confiance de la section Device Trust que si toutes les options suivantes de la section Client ne sont pas sélectionnées :

    • Exchange ActiveSync ou client d'authentification héritée
    • Autre appareil mobile (par exemple, BlackBerry)
    • Autre bureau (par exemple, Linux)

    Le paramètre N'importe lequel n'est pas sélectionné.

    Le paramètre Approuvé n'est pas sélectionné.

    Le paramètre Non de confiance est sélectionné.

  6. Configurez Accès.

    Le paramètre Refusé est sélectionné.

  7. Cliquez sur Enregistrer.

Exemple de règle 4 : Nimporte quel type de client ; Toutes les plateformes ; N'importe quelle approbation ; Refuser l'accès

  1. Saisissez un nom descriptif pour la règle.
  2. Sous PERSONNES, sélectionnez la même option Personnes que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  3. Sous EMPLACEMENT, sélectionnez la même option Emplacement que celle que vous avez sélectionnée dans Règle 1. L'option doit être la même pour toutes les règles que vous créez pour cet exemple.
  4. Sous CLIENT, configurez les paramètres suivants :

    Navigateur Web sélectionné.

    Modern Auth client (Client authentification moderne) sélectionné.

    Le paramètre Exchange ActiveSync client (Client Exchange ActiveSync) est sélectionné.

    Mobile

    iOS sélectionné.

    Le paramètre Android est sélectionné.

    Le paramètre Autre mobile est sélectionné.

    Bureau

    Le paramètre Windows est sélectionné.

    Le paramètre macOS est sélectionné.

    Le paramètre Autre bureau est sélectionné.

  5. Sous DEVICE TRUST, configurez les éléments suivants :

    Vous ne pouvez sélectionner les options De confiance et Non de confiance de la section Device Trust que si toutes les options suivantes de la section Client ne sont pas sélectionnées :

    • Exchange ActiveSync ou client d'authentification héritée
    • Autre appareil mobile (par exemple, BlackBerry)
    • Autre bureau (par exemple, Linux)

    Le paramètre N'importe lequel est sélectionné.

    Le paramètre Approuvé n'est pas sélectionné.

    Le paramètre Non de confiance n'est pas sélectionné.

  6. Configurez Accès.

    Le paramètre Refusé est sélectionné.

  7. Cliquez sur Enregistrer.

Règle 5 : Règle d'authentification de session par défaut : N'importe quel client ; Toutes les plateformes ; N'importe quelle approbation ; Autoriser l'accès

La règle d'authentification par défaut est déjà créée et ne peut pas être modifiée. Dans cet exemple, la règle Par défaut n'est jamais atteinte car elle est effectivement annulée par la règle 4.

Problèmes connus

  • Si Intune est votre fournisseur MDM, O365 n'est pas pris en charge lorsque vous utilisez cette solution Device Trust - si Microsoft Intune est votre fournisseur MDM et qu'il est fédéré à Okta, l'application de Non de confiance --> Refus de la politique d'authentification de l'application à une application O365 fédérée à Okta empêchera les utilisateurs finaux possédant des appareils Android non gérés d'inscrire leur appareil dans Intune. Cela se produit parce que votre politique d'authentification à l'application O365 est également appliquée à Intune. Okta étudie actuellement ce problème. En attendant, Okta vous recommande d'utiliser Microsoft Intune MAM pour gérer l'accès aux applications O365 et cette solution Okta Device Trust pour gérer l'accès à d'autres applications sensibles.
  • Android 10 (Q) et versions ultérieures ne sont pas prises en charge par cette solution - les modifications apportées par Google empêchent les appareils sous Android 10 et versions ultérieures de communiquer leur niveau de confiance (De confiance/pas de confiance) aux ISV tels qu'Okta. Par conséquent, les demandes d'authentification provenant d'applications natives ou de Chrome sur des appareils fonctionnant sous Android 10 ou versions ultérieures apparaissent comme Non de confiance. Dans ce scénario, Okta invite les utilisateurs à accéder aux ressources protégées via Okta Mobile pour s'assurer que le niveau de sécurité de l'appareil est évalué correctement.
  • Une invite supplémentaire peut s'afficher pour les utilisateurs d'iPad non inscrits à cette solution Device Trust les utilisateurs finaux utilisant Safari pour accéder à des applications sécurisées par l'approbation de l'appareil depuis un iPad non inscrit sont invités à appuyer sur un lien Appuyez ici pour vous connecter. En appuyant sur le lien, l'utilisateur est guidé dans le flux d'inscription de l'appareil. L'invite ne s'affiche pas si l'utilisateur accède à une application native via le tableau de bord Okta Mobile.
  • Des problèmes d'expérience utilisateur peuvent survenir lors de l'authentification à Outlook - les utilisateurs d'appareils Android dans les orgs ayant une politique de connexion Device Trust configurée pour Outlook peuvent constater le blocage d'Outlook ou rencontrer d'autres problèmes d'expérience utilisateur lors de l'authentification à Outlook. Le problème est lié à une modification récente que Microsoft a apportée à l'application Outlook et qui affecte sa gestion du Okta Sign-in Widget pendant le flux fédéré. Dans tous ces cas, la solution pour les utilisateurs est de forcer la fermeture d'Outlook et de réessayer. Okta a signalé ce problème à Microsoft.