Problèmes d'appareil connus et solutions de contournement

Ce problème se produit lorsqu'une org possède plusieurs configurations de gestion d'appareils pour la même plateforme et que chaque configuration s'intègre à une solution différente. Par exemple, si l'une de vos configurations de gestion des appareils Windows s'intègre à Microsoft Intune et une autre à Workspace ONE.

Lorsqu'un utilisateur sur un appareil non géré tente d'accéder à une app associée à l'une des configurations et que la politique de connexion à l'app exige un appareil géré, Okta affiche un message indiquant qu'une configuration supplémentaire est nécessaire. Le message comprend le nom de la solution et un lien vers son site d'enrôlement.

Lorsque plusieurs configurations de gestion des appareils existent pour la même plateforme, le message de remédiation tire les informations de la configuration la plus ancienne que vous avez créée. Par conséquent, le message peut faire référence à la mauvaise solution de gestion des appareils et inclure un lien qui pointe vers le mauvais site d'enrôlement.

Lorsqu'un utilisateur provenant d'Active Directory (AD) se prépare à configurer Okta Verify à partir de la page Paramètres du Okta End-User Dashboard, le code QR d'enrôlement s'affiche. Si l'utilisateur est désactivé dans AD avant de scanner le code QR, il peut quand même le scanner et s'inscrire à Okta Verify. Les codes QR générés avant la désactivation d'un utilisateur dans AD restent valides jusqu'à leur expiration.

Même si l'utilisateur parvient à s'inscrire à Okta Verify, il ne pourra pas accéder aux apps protégées par Okta.

Pour résoudre cette problématique, supprimez les enrôlements indésirables à Okta Verify à partir de la Admin Console.

Si vous utilisez Okta FastPass pour vous connecter à un environnement multi-organisations et qu'Okta FastPass n'est pas configuré pour toutes les organisations, l'invite d'enrôlement à Okta FastPass peut ne pas apparaître.

Pour éviter ce problème, assurez-vous qu'Okta FastPass est configuré pour toutes les orgs.

Pour résoudre ce problème, supprimez l'enrôlement de l'utilisateur d'Okta.

Okta n'est pas en mesure de sonder le contexte de l'appareil de sorte que les utilisateurs se voient refuser l'accès lorsqu'ils s'authentifient avec un nom d'utilisateur et un mot de passe. Ce problème se produit si vous utilisez un compte de service et que vos règles de politiques d'authentification sont les suivantes :

• Règle 1 : un compte non lié à un service, se connectant avec un appareil qui est soit enregistré et non géré, soit enregistré et géré avec un facteur d'authentification quelconque.

• Règle 2 : tout compte de service, se connectant à partir de n'importe quel appareil, peut accéder à l'app avec deux facteurs.

• Règle 3 : refus fourre-tout.

Utilisez les étapes suivantes pour contourner ce problème :

1. Activez Okta FastPass.

2. À l'étape 5, cochez la case Afficher le bouton « Connexion avec Okta FastPass ».

3. Demandez aux utilisateurs de cliquer sur Connexion avec Okta FastPass lorsqu'ils se connectent aux apps.

Si un utilisateur n'a pas de compte Okta Verify, l'enrôlement est automatiquement déclenchée lorsqu'il saisit l'URL de son entreprise (par exemple, http://example.org.com) dans un navigateur.

Cependant, si l'utilisateur saisit l'URL de son portail d'administration (par exemple, http://example-admin.org.com), il est redirigé vers l'URL de son org, mais l'enrôlement n'est pas automatiquement déclenchée.

Pour éviter ce problème, utilisez l'URL de org au lieu de l'URL du portail administrateur .

La connexion avec Okta FastPass n'est pas prise en charge dans l'affichage Web sur les apps Android natives.

Si l'app Okta Verify ne s'exécute pas en arrière-plan, Okta ne peut pas sonder le contexte de l'appareil et l'utilisateur peut se voir refuser l'accès, en fonction de la politique d'authentification à l'app.

Partagez ces solutions de contournement avec vos utilisateurs :

• Lancez l'app Android Okta Verify avant de vous connecter à l'app.

• Activez les notifications pour Okta Verify dans l'app de paramètres de l'appareil.

• Assurez-vous que Utilisation de la batterie de l'app pour Okta Verify n'est pas défini sur Restreint dans l''app des paramètres de l'appareil.

• Ajoutez Okta Verify à la liste des apps qui ne se désactivent jamais ou ne se mettent en veille en arrière-plan. Si vous ne pouvez pas ajouter Okta Verify à la liste Ne jamais utiliser d'apps en veille, ou si vous l'avez déjà fait et que le problème persiste, désactivez le paramètre parent Mettre les apps inutilisées en veille.

• Assurez-vous que Okta Verify est installé uniquement dans le profil professionnel. Si les utilisateurs installent également l'app dans le profil personnel, la vérification de l'appareil échoue et l'appareil n'apparaît pas comme géré.

Sur Android 12, il n'est pas possible d'activer la biométrie si Okta Verify est installé sur votre profil professionnel.

Pour résoudre cette problématique, ignorez l'étape d'activation de la biométrie si vous le pouvez.

Les contraintes de facteur résistantes au hameçonnage ne fonctionnent pas sur les appareils non gérés si iCloud Private Relay est activé. Si les appareils iOS non gérés sont spécifiés dans la politique de connexion à app et que vous souhaitez exiger des facteurs de contrainte résistants à l'hameçonnage, les utilisateurs doivent désactiver iCloud Private Relay avant de s'authentifier.

Partagez ces solutions de contournement avec vos utilisateurs :

• Désactivez iCloud Private Relay avant de vous authentifier. Réactivez-le une fois l'authentification terminée.

• Consultez l'article de la base de connaissances pour obtenir d'autres solutions de contournement.

Lorsqu'ils tentent d'activer leur compte dans Okta Verify pour iOS, les nouveaux utilisateurs sans mot de passe configuré reçoivent un message d'erreur Authenticator operation is not allowed . Cela empêche la finalisation du processus d'enrôlement.

Pour contourner ce problème, l'utilisateur (ou un administrateur) peut définir un facteur de mot de passe avant d'inscrire l'appareil dans Okta Verify. L'utilisateur peut également s'inscrire à Okta Verify en utilisant un appareil autre queiOS, puis ajouter le compte à son appareil iOS .

L'authentification unique (SSO) Okta Verify échoue lorsque les utilisateurs tentent d'accéder à une app native Google Drive File Stream protégée par une politique autorisant l'accès sans mot de passe.

Pour résoudre cette problématique, cliquez sur le lien Connexion avec votre navigateur plutôt pour accéder à l'app.

C'est un problème connu pour macOS Big Sur et les versions antérieures. Apple a corrigé le problème pour macOS Monterey.

Pour résoudre cette problématique, l'utilisateur doit redémarrer Okta Verify.

Les messages sur le cycle de vie des appareils ne sont pas disponibles sur les appareils macOS qui utilisent un profil d'extension SSO.

Cela concerne uniquement les utilisateurs de Safari avec macOS Big Sur et les versions antérieures.