Microsoft Hybrid Azure AD Join Conditional Access conditions does not work with Chrome (Version 96.0.4664.45)




 

The purpose of the manipulation is to restrict access to the Microsoft Teams application from Windows 10 11 workstations via Azure AD conditional access. To achieve this, a Conditional Access Policy for the Microsoft Teams application and for a user group has been set up. This policy was set to report only and grants access to the application if the workstation is registered as an Azure AD Join Hybrid Workstation or if the application receives an application policy. The client should be able to use Chrome , or Edge or the Windows Teams DesktopWhen we look at the connection logs for an HADJ workstation, we can see that this condition is not respected and that if we activate this Policy some users will not have access to the application.

Le but de la manipulation est de restreindre l’accès à l’application Microsoft Teams depuis les postes de travail Windows 10 11 via l’accès conditionnel Azure AD. Pour ce faire, une politique d’accès conditionnel pour l’application Microsoft Teams et pour un groupe d’utilisateurs a été mise en place. Cette politique a été définie sur le rapport uniquement et accorde l’accès à l’application si le poste de travail est enregistré comme un poste de travail hybride Azure AD Join ou si l’application reçoit une politique d’application. Le client doit pouvoir utiliser Chrome , ou Edge ou le bureau Windows Teams. Lorsque nous regardons les journaux de connexion pour un poste de travail HADJ, nous pouvons voir que cette condition n’est pas respectée et que si nous activons cette politique, certains utilisateurs n’auront pas accès à l’application.

 



The Workstation is registered as an HADJ workstation


The workstation in question on which we did the test is indeed in HADJ but it is the use of the Chrome browser that does not seem to bring up the device ID. On the same time, We have verified that the user is not using Chrome in private browsing and is not using the Web client.

Le poste en question sur lequel nous avons fait le test est bien en HADJ mais c’est l’utilisation du navigateur Chrome qui ne semble pas faire apparaître l’ID du dispositif. En parallèle, nous avons vérifié que l’utilisateur n’utilise pas Chrome en navigation privée et n’utilise pas le client Web.


When the strategy is applied the client could not connect with Chrome Web browser and receive this error : This application contains sensitive information and is only accessible from:Client devices or applications that meet the requirements of the Monaco Government Management Compliance Strategy. As long as you use Chrome, you must install this extension. You must be using Windows 10 version 1703 and later. Otherwise, you can use Microsoft Edge or Internet Explorer to access this application.If you don’t plan to do so immediately, you may be able to browse other Monaco Government sites. If not, log out to protect your account. Log out and log in with another account.
But if you install this extension on chrome it works

Lorsque la stratégie est appliquée, le client n’a pas pu se connecter avec le navigateur Web Chrome et reçoit cette erreur

Cette application contient des informations sensibles et n’est accessible qu’à partir de :Appareils ou applications clients qui répondent aux exigences de la stratégie de conformité de la gestion des administrations monégasques. Tant que vous utilisez Chrome, vous devez installer cette extension. Vous devez utiliser Windows 10 version 1703 et ultérieure. Sinon, vous pouvez utiliser Microsoft Edge ou Internet Explorer pour accéder à cette application.Si vous ne prévoyez pas de le faire immédiatement, vous pourrez peut-être naviguer sur d’autres sites du Gouvernement de Monaco. Dans le cas contraire, déconnectez-vous pour protéger votre compte. Se déconnecter et se connecter avec un autre compte

Mais si vous installez cette extension sur chrome cela fonctionne

Avec l’add on sous Chrome / with the add on

Sans l’add on WithOut the addon

Laurent TERUIN | 06 Dec 2021

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s