Paramètres de stratégie de protection d’application iOS
Cet article décrit les paramètres de la stratégie de protection des applications pour les appareils iOS/iPadOS. Vous pouvez configurer les paramètres décrits pour une stratégie de protection d’application dans le volet Paramètres du portail lorsque vous créez une nouvelle stratégie.
Il existe trois catégories de paramètres de stratégie : la relocalisation des données, les conditions d'accès et le lancement conditionnel. Dans cet article, le terme applications gérées par une stratégie fait référence aux applications configurées avec des stratégies de protection des applications.
Importante
La solution Intune Managed Browser a été retirée. Utilisez Microsoft Edge pour votre expérience de navigation Intune protégée.
Protection des données
Transfert de données
| Setting | Comment utiliser | Valeur par défaut |
|---|---|---|
| Sauvegarder les données d’organisation sur les sauvegardes iTunes et iCloud | Sélectionnez Bloquer pour empêcher cette application de sauvegarder les données professionnelles ou scolaires sur iTunes et iCloud. Sélectionnez Autoriser pour permettre à cette application de sauvegarder les données professionnelles ou scolaires sur iTunes et iCloud. | Allow |
| Envoyer les données d’organisation à d’autres applications | Spécifiez quelles applications peuvent recevoir des données de cette application :
La recherche Spotlight (permet de rechercher des données dans les applications) et les raccourcis Siri sont bloqués, sauf si la valeur est Toutes les applications. Cette stratégie peut également s'appliquer aux liens universels iOS/iPadOS. Les liens Web généraux sont gérés par le paramètre de stratégie Ouvrir des liens d'application dans le navigateur géré par Intune. Il existe quelques applications et services exonérés vers lesquels Intune peut autoriser le transfert de données par défaut. En outre, vous pouvez créer vos propres exemptions si vous devez autoriser le transfert de données vers une application qui ne prend pas en charge Intune APP. Voir les exemptions de transfert de données pour plus d'informations. |
Toutes les applications |
|
Cette option est disponible lorsque vous sélectionnez les applications gérées par la stratégie pour l'option précédente. | |
|
Indiquez quels liens universels iOS/iPadOS doivent s'ouvrir dans l'application non gérée spécifiée au lieu du navigateur protégé indiqué par le paramètre Restriction du transfert de contenu Web avec d'autres applications. Vous devez contacter le développeur de l'application pour déterminer le format de lien universel correct pour chaque application. | |
|
Indiquez quels liens universels iOS/iPadOS doivent s'ouvrir dans l'application gérée spécifiée au lieu du navigateur protégé indiqué par le paramètre Restriction du transfert de contenu Web avec d'autres applications. Vous devez contacter le développeur de l'application pour déterminer le format de lien universel correct pour chaque application. | |
|
Choisissez Bloquer pour interdire l’utilisation de l’option Enregistrer sous dans cette application. Choisissez Autoriser pour autoriser l’utilisation de l’option Enregistrer sous. Quand il est défini sur Bloquer, vous pouvez configurer le paramètre Autoriser l’utilisateur à enregistrer des copies dans une sélection de services. Remarque :
|
Allow |
|
Les utilisateurs peuvent enregistrer dans les services sélectionnés (OneDrive Entreprise, SharePoint, Photothèque et stockage local). Tous les autres services sont bloqués. OneDrive for Business : vous pouvez enregistrer des fichiers dans OneDrive for Business et SharePoint Online. SharePoint : vous pouvez enregistrer des fichiers dans SharePoint local. Photothèque : vous pouvez enregistrer des fichiers dans la bibliothèque de photos localement. Stockage local : les applications gérées peuvent enregistrer localement des copies des données d'org. Cela n'inclut PAS l'enregistrement de fichiers dans des emplacements locaux non gérés tels que l'application Fichiers sur l'appareil. | 0 sélectionné |
|
En règle générale, lorsqu’un utilisateur sélectionne un numéro de téléphone dans une application, une application de numéroteur s’ouvre avec le numéro de téléphone prérempli et prêt à appeler. Pour ce paramètre, choisissez comment traiter ce type de transfert de contenu lorsqu'il est initié par une application gérée par des règles :
Remarque : ce paramètre nécessite Intune SDK 12.7.0 et versions ultérieures. Si vos applications s’appuient sur la fonctionnalité de numéroteur et n’utilisent pas la version correcte du KIT de développement logiciel (SDK) Intune, comme solution de contournement, envisagez d’ajouter « tel ; telprompt » en tant qu’exemption de transfert de données. Une fois que les applications prennent en charge la version correcte du SDK Intune, l’exemption peut être supprimée. |
Toute application de numérotation |
|
Quand vous sélectionnez une application de numéroteur, vous devez fournir le schéma d’URL permettant de la lancer sur les appareils iOS. Pour plus d'informations, consultez la documentation d'Apple sur les liens téléphoniques. | Blank |
|
En règle générale, lorsqu’un utilisateur sélectionne un lien de messagerie hypertexte dans une application, une application de messagerie s’ouvre avec le numéro de téléphone prérempli et prêt à être envoyé. Pour ce paramètre, choisissez comment gérer ce type de transfert de contenu lorsqu’il est lancé à partir d’une application gérée par une stratégie. Des étapes supplémentaires peuvent être nécessaires pour que ce paramètre prenne effet. Tout d’abord, vérifiez que les sms ont été supprimés de la liste Sélectionner les applications à exempter. Vérifiez ensuite que l’application utilise une version plus récente de Intune SDK (version > 19.0.0). Pour ce paramètre, choisissez comment traiter ce type de transfert de contenu lorsqu'il est initié par une application gérée par des règles :
Remarque : Ce paramètre nécessite Intune SDK 19.0.0 et versions ultérieures. |
N’importe quelle application de messagerie |
|
Lorsqu’une application de messagerie spécifique a été sélectionnée, vous devez fournir le schéma d’URL de l’application de messagerie utilisé pour lancer l’application de messagerie sur les appareils iOS. Pour plus d'informations, consultez la documentation d'Apple sur les liens téléphoniques. | Blank |
| Recevoir des données d’autres applications | Spécifiez quelles applications peuvent transférer des données à cette application :
|
Toutes les applications |
|
Sélectionnez Bloquer pour désactiver l’utilisation de l’option Ouvrir ou d’autres options pour partager les données entre les comptes de cette application. Sélectionnez Autoriser si vous voulez autoriser l’utilisation de l’option Ouvrir. Lorsque la valeur est Bloquer , vous pouvez configurer l’option Autoriser l’utilisateur à ouvrir des données à partir des services sélectionnés pour spécifier les services autorisés pour les emplacements de données de l’organisation. Remarque :
|
Allow |
|
Sélectionnez les services de stockage d’applications à partir desquels les utilisateurs peuvent ouvrir des données. Tous les autres services sont bloqués. Le fait de ne sélectionner aucun service empêchera les utilisateurs d’ouvrir les données d’emplacements externes. Note: Ce contrôle est conçu pour fonctionner sur des données qui se trouvent en dehors du conteneur d’entreprise. Services pris en charge :
|
Tous sélectionnés |
| Restreindre les opérations de coupe, de copie et de collage entre d'autres applications | Indiquez quand les actions couper, copier et coller peuvent être utilisées avec cette application. Sélectionnez parmi :
|
N’importe quelle application |
|
Spécifiez le nombre de caractères qui peuvent être coupés ou copiés des données et des comptes Org. Cela permet de partager le nombre spécifié de caractères avec toutes les applications, sans considération du paramètre de Restreindre les opérations couper, copier et coller avec d’autres applications. Valeur par défaut = 0 Note: L'application doit être équipée du kit SDK Intune version 9.0.14 ou ultérieure. |
0 |
| Claviers tiers | Choisissez Bloquer pour empêcher l’utilisation de claviers tiers dans les applications gérées. Lorsque ce paramètre est activé, l'utilisateur reçoit un message unique indiquant que l'utilisation de claviers tiers est bloquée. Ce message apparaît la première fois qu'un utilisateur interagit avec des données organisationnelles qui nécessitent l'utilisation d'un clavier. Seul le clavier iOS/iPadOS standard est disponible lors de l’utilisation d’applications gérées, et toutes les autres options de clavier sont désactivées. Ce paramètre affectera à la fois l'organisation et les comptes personnels des applications multi-identités. Ce paramètre n’affecte pas l’utilisation de claviers tiers dans les applications non managées. Remarque : cette fonctionnalité nécessite que l'application utilise le kit SDK Intune version 12.0.16 ou ultérieure. Les applications avec des versions du KIT de développement logiciel (SDK) allant de 8.0.14 à et incluant la version 12.0.15 ne disposent pas de cette fonctionnalité pour les applications multi-identités. Pour plus d’informations, consultez Problème connu : Les claviers tiers ne sont pas bloqués dans iOS/iPadOS pour les comptes personnels. |
Allow |
Remarque
Une stratégie de protection des applications est requise avec IntuneMAMUPN pour les appareils gérés. Cela s’applique également à tous les paramètres qui nécessitent des appareils inscrits.
Chiffrement
| Setting | Comment utiliser | Valeur par défaut |
|---|---|---|
| Chiffrer les données de l 'Org | Choisissez Exiger pour activer le cryptage des données professionnelles ou scolaires dans cette application. Intune applique le chiffrement iOS/iPadOS au niveau de l’appareil pour protéger les données d’application lorsque l’appareil est verrouillé. De plus, les applications peuvent chiffrer les données des applications à l’aide du chiffrement du kit SDK d’applications Intune. Intune APP SDK utilise des méthodes de cryptographie iOS/iPadOS pour appliquer un cryptage AES 256 bits aux données des applications. Quand vous activez ce paramètre, l’utilisateur peut être invité à définir et à utiliser un code PIN d’appareil pour accéder à son appareil. S'il n'y a pas de code PIN pour l'appareil et que le cryptage est requis, l'utilisateur est invité à définir un code PIN avec le message « Votre organisation vous a demandé d'activer d'abord un code PIN pour l'appareil pour accéder à cette application». Accédez à la documentation apple officielle pour en savoir plus sur leurs classes de protection des données, dans le cadre de la sécurité de leur plateforme Apple. |
Require (Rendre obligatoire) |
Les fonctionnalités
| Setting | Comment utiliser | Valeur par défaut |
|---|---|---|
| Synchronisation des données des applications gérées par stratégie avec des applications natives ou des compléments | Choisissez Bloquer pour empêcher les applications gérées par une stratégie d’enregistrer des données dans les applications natives de l’appareil (contacts, calendrier et widgets) et pour empêcher l’utilisation de compléments dans les applications gérées par la stratégie. S’il n’est pas pris en charge par l’application, l’enregistrement des données dans les applications natives et l’utilisation de compléments sont autorisés. Si vous choisissez Autoriser, l’application gérée par la stratégie peut enregistrer des données dans les applications natives ou utiliser des compléments, si ces fonctionnalités sont prises en charge et activées dans l’application gérée par la stratégie. Les applications peuvent fournir des contrôles supplémentaires pour personnaliser le comportement de synchronisation des données sur des applications natives spécifiques ou ne pas respecter ce contrôle. Remarque : Lorsque vous effectuez une réinitialisation sélective pour supprimer des données professionnelles ou scolaires de l’application, les données synchronisées directement de l’application gérée par la stratégie vers l’application native sont supprimées. Les données synchronisées de l’application native vers une autre source externe ne seront pas réinitialisées. Remarque : Les applications suivantes prennent en charge cette fonctionnalité :
|
Allow |
| Impression des données de l'Org | Sélectionnez Bloquer pour empêcher l’application d’imprimer des données professionnelles ou scolaires. Si vous conservez ce paramètre Autoriser (valeur par défaut), les utilisateurs peuvent exporter et imprimer toutes les données de l’organisation. | Allow |
| Limiter le transfert de contenu web avec d'autres applications | Spécifiez comment le contenu web (liens http/https) est ouvert à partir d’applications gérées par la stratégie. Choisissez parmi les autorisations suivantes :
Si un navigateur géré par une stratégie est requis mais pas installé, vos utilisateurs finaux sont invités à installer Microsoft Edge. Si un navigateur géré par une stratégie est nécessaire, les liens universels iOS/iPadOS sont gérés par le paramètre de stratégie Envoyer des données d’organisation à d’autres applications .
Inscription d’appareils dans Intune
Microsoft Edge géré par une stratégie
Remarque: Le SDK Intune ne peut pas déterminer si une application cible est un navigateur. Sur les appareils iOS/iPadOS, aucune autre application de navigateur gérée n'est autorisée. |
Non configuré |
|
Entrez le protocole d’un seul navigateur non géré. Le contenu Web (liens http/https) des applications gérées par des stratégies s'ouvrira dans toute application prenant en charge ce protocole. Le contenu web ne sera pas géré dans le navigateur cible. Cette fonctionnalité doit être utilisée uniquement si vous souhaitez partager du contenu protégé avec un navigateur spécifique qui n’est pas activé à l’aide de Intune stratégies de protection des applications. Vous devez contacter le fournisseur de votre navigateur pour déterminer le protocole pris en charge par votre navigateur. Remarque: N'incluez que le préfixe du protocole. Si votre navigateur exige des liens de la forme mybrowser://www.microsoft.com , entrezmybrowser.Les liens seront traduits comme suit :
|
Blank |
| Notifications de données de l’organisation | Spécifiez comment les données d’organisation sont partagées par le biais des notifications du système d’exploitation pour les comptes d’organisation. Ce paramètre de stratégie aura un impact sur l'appareil local et tous les appareils connectés tels que les wearables et les enceintes intelligentes. Les applications peuvent fournir des contrôles supplémentaires pour personnaliser le comportement en matière de notifications ou choisir de ne pas honorer toutes les valeurs. Sélectionnez parmi :
Remarque :
|
Allow |
Remarque
Aucun des paramètres de protection des données ne contrôle la fonction d'ouverture gérée par Apple sur les appareils iOS/iPadOS. Pour gérer la fonctionnalité « Ouvrir dans » d’Apple, consultez Gérer les transferts de données entre applications iOS/iPadOS avec Microsoft Intune.
Exemptions pour le transfert de données
La stratégie de protection des applications Intune peut autoriser le transfert de données à destination et à partir d’applications et de services de plateforme exemptés dans certains scénarios. Cette liste est susceptible d'être modifiée et reflète les services et les applications considérés comme utiles pour une productivité sécurisée.
Des applications tierces non gérées peuvent être ajoutées à la liste des exemptions qui peut autoriser des exceptions de transfert de données. Pour plus d’informations et des exemples, consultez Guide pratique pour créer des exceptions à la stratégie de transfert de données Intune App Protection (APP). L’application non gérée exemptée doit être appelée selon le protocole d’URL iOS. Par exemple, quand l’exemption de transfert de données est ajoutée pour une application non gérée, elle empêche les utilisateurs d’effectuer des opérations couper, copier et coller, si elles sont restreintes par la stratégie. Ce type d’exemption empêcherait également les utilisateurs d’utiliser l’action Ouvrir dans au sein d’une application managée pour partager ou enregistrer des données dans une application exemptée, car elle n’est pas basée sur le protocole d’URL iOS. Pour plus d’informations sur Ouvrir dans, consultez Utiliser la protection des applications avec les applications iOS.
| Nom(s) de l'application/du service | Description |
|---|---|
skype |
Skype |
app-settings |
Paramètres de l’appareil |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
Calendrier natif |
Importante
Les stratégies de protection des applications créées avant le 15 juin 2020 incluent le schéma d’URL tel et telprompt dans le cadre des exemptions de transfert de données par défaut. Ces schémas d’URL permettent aux applications gérées de lancer le numéroteur. Le paramètre de stratégie de protection des applications Transférer les données de télécommunications vers a remplacé cette fonctionnalité. Les administrateurs doivent supprimer tel;telprompt ; des exemptions de transfert de données et s'appuyer sur le paramètre de stratégie de protection des applications, à condition que les applications gérées qui lancent la fonctionnalité de numérotation comprennent le SDK Intune 12.7.0 ou une version ultérieure.
Importante
Dans Intune SDK 14.5.0 ou ultérieur, l'inclusion des schémas d'URL sms et mailto dans les exemptions de transfert de données permettra également le partage des données Org vers les contrôleurs de vue MFMessageCompose (pour les sms) et MFMailCompose (pour les mailto) dans les applications gérées par stratégie.
Liens universels
Les liens universels permettent à l'utilisateur de lancer directement une application associée au lien au lieu d'un navigateur protégé spécifié par le paramètre Restriction du transfert de contenu web avec d'autres applications. Vous devez contacter le développeur de l'application pour déterminer le format de lien universel correct pour chaque application.
Les liens de clip d’application par défaut sont également gérés par la stratégie de liaison universelle.
Liens universels exemptés
En ajoutant des liens universels aux applications non gérées, vous pouvez lancer l'application spécifiée. Pour ajouter l'application, vous devez ajouter le lien à la liste d'exemption.
Attention
Les applications cibles de ces liens universels ne sont pas gérées et l'ajout d'une exemption peut entraîner des fuites de sécurité des données.
Les exemptions par défaut de l'application Universal Link sont les suivantes :
| Lien universel de l'application | Description |
|---|---|
http://maps.apple.com;
https://maps.apple.com
|
Cartes Application |
http://facetime.apple.com;
https://facetime.apple.com
|
Application FaceTime |
Si vous ne souhaitez pas autoriser les exemptions de lien universel par défaut, vous pouvez les supprimer. Vous pouvez également ajouter des liens universels pour les applications tierces ou LOB. Les liens universels exemptés autorisent les caractères génériques tels que http://*.sharepoint-df.com/* .
Liens universels gérés
En ajoutant des liens universels aux applications gérées, vous pouvez lancer l'application spécifiée en toute sécurité. Pour ajouter l’application, vous devez ajouter le lien universel de l’application à la liste gérée. Si l’application cible prend en charge Intune stratégie De protection des applications, la sélection du lien tente de lancer l’application. Si l’application ne peut pas s’ouvrir, le lien est ouvert dans le navigateur protégé. Si l’application cible n’intègre pas le Kit de développement logiciel (SDK) Intune, la sélection du lien lance le navigateur protégé.
Les liens universels gérés par défaut sont les suivants :
| Lien universel d’application gérée | Description |
|---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
Zoom |
Si vous ne souhaitez pas autoriser les liens universels gérés par défaut, vous pouvez les supprimer. Vous pouvez également ajouter des liens universels pour les applications tierces ou LOB.
Condition d’accès
| Setting | Comment utiliser | Valeur par défaut |
|---|---|---|
| Accès par code PIN | Sélectionnez Exiger pour imposer l’utilisation d’un code PIN avec cette application. L'utilisateur est invité à configurer ce code PIN la première fois qu'il utilise l'application dans un contexte professionnel ou scolaire. Le code PIN est appliqué lorsque l'on travaille en ligne ou hors ligne. Vous pouvez configurer la puissance du code confidentiel à l’aide des paramètres disponibles dans la section Accès par code PIN. Note: Les utilisateurs finaux autorisés à accéder à l’application peuvent réinitialiser le code confidentiel de l’application. Ce paramètre peut ne pas être visible dans certains cas sur les appareils iOS. Les appareils iOS ont une limite maximale de quatre raccourcis disponibles. Pour afficher le raccourci de réinitialisation du code confidentiel de l’application, l’utilisateur final peut avoir besoin d’accéder au raccourci à partir d’une autre application gérée. |
Require (Rendre obligatoire) |
|
Imposez l'utilisation de codes PIN numériques ou de codes de passe avant d'accéder à une application à laquelle des stratégies de protection des applications sont appliquées. Les exigences numériques ne concernent que des chiffres, tandis qu'un code de passe peut être défini avec au moins une lettre alphabétique ou au moins un caractère spécial. Remarque :Pour configurer le type de code secret, l’application doit avoir Intune SDK version 7.1.12 ou ultérieure. Le type numérique n’a aucune restriction de version Intune SDK. Les caractères spéciaux autorisés incluent les caractères spéciaux et les symboles du clavier iOS/iPadOS en langue anglaise. |
Numérique |
|
Sélectionnez Autoriser pour permettre aux utilisateurs d’utiliser des séquences de code PIN simples comme 1234, 1111, abcd ou aaaa. Sélectionnez Bloquer pour les empêcher d'utiliser des séquences simples. Les séquences simples sont vérifiées dans des fenêtres coulissantes de 3 caractères. Si l’option Bloquer est configurée, 1235 ou 1112 ne serait pas acceptée comme code confidentiel défini par l’utilisateur final, mais 1122 serait autorisé. Remarque: Si le code PIN de type Passcode est configuré et que l'option autorisée pour le code PIN simple est définie sur Oui, l'utilisateur doit avoir au moins une lettre ou au moins un caractère spécial dans son code PIN. Si le code PIN de type Passcode est configuré et que l'option autorisée pour le code PIN simple est définie sur Non, l'utilisateur doit avoir au moins un chiffre, une lettre et au moins un caractère spécial dans son code PIN |
Allow |
|
Spécifiez le nombre minimum de chiffres dans une séquence PIN. | 4 |
|
Sélectionnez Autoriser pour autoriser l’utilisateur à se servir de Touch ID plutôt qu’un code PIN pour accéder à l’application. | Allow |
|
Pour utiliser ce paramètre, sélectionnez Exiger, puis configurez un délai d'inactivité. | Require (Rendre obligatoire) |
|
spécifiez une durée en minutes au terme de laquelle un code secret ou un code PIN numérique (configuré) remplace l’utilisation d’une empreinte digitale ou du visage comme méthode d’accès. Ce délai doit être supérieur à la valeur spécifiée dans le paragraphe «Revérifier les conditions d'accès après (minutes d'inactivité)». | 30 |
|
Sélectionnez Autoriser pour autoriser l’utilisateur à utiliser la technologie de reconnaissance faciale pour authentifier les utilisateurs sur les appareils iOS/iPadOS. Si elle est autorisée, Face ID doit être utilisée pour accéder à l'application sur un appareil compatible avec Face ID. | Allow |
|
Sélectionnez Oui pour demander aux utilisateurs de changer le code PIN de l'application après une période déterminée, en jours. Quand la valeur définie est Oui, vous devez alors configurer le nombre de jours au-delà duquel la réinitialisation est exigée. |
Non |
|
Configurez le nombre de jours avant que la réinitialisation du code PIN soit nécessaire. | 90 |
|
Sélectionnez Désactiver pour désactiver le code PIN de l'application lorsqu'un verrouillage de l'appareil est détecté sur un appareil inscrit avec le portail de l'entreprise configuré. Remarque :Nécessite que l’application ait Intune SDK version 7.0.1 ou ultérieure. Le paramètre IntuneMAMUPN doit être configuré pour que les applications détectent l’état d’inscription. Sur les appareils iOS/iPadOS, vous pouvez laisser l'utilisateur prouver son identité en utilisant Touch ID ou de Face ID au lieu d’un code PIN. Intune utilise l'API LocalAuthentication pour authentifier les utilisateurs à l'aide de Touch ID et Face ID. Pour en savoir plus sur Touch ID et Face ID, consultez le Guide de sécurité iOS. Lorsque l'utilisateur tente d'utiliser cette application avec son compte professionnel ou scolaire, il est invité à fournir son identité par empreinte digitale ou par visage au lieu de saisir un code PIN. Lorsque ce paramètre est activé, l'image d'aperçu de l'App-switcher sera floue lors de l'utilisation d'un compte professionnel ou scolaire. En cas de modification de la base de données biométrique de l’appareil, Intune invite l’utilisateur à entrer un code confidentiel lorsque la valeur de délai d’inactivité suivante est atteinte. Les changements apportés aux données biométriques incluent l’ajout et la suppression d’une empreinte digitale ou d’un visage pour l’authentification. Si l’utilisateur Intune n’a pas de code confidentiel défini, il est amené à configurer un code confidentiel Intune. |
Enable |
| Informations d’identification du compte professionnel ou scolaire pour l’accès | Sélectionnez Exiger pour contraindre l’utilisateur à se connecter avec son compte professionnel ou scolaire au lieu d’entrer un code PIN pour accéder à l’application. Si vous définissez cette option sur Oui et que les invites de code PIN ou de données biométriques sont activées, les invites d’informations d’identification d’entreprise et les invites de code PIN ou de données biométriques s’affichent. | Non requis |
| Revérifier les exigences d’accès après (minutes d’inactivité) | Configurez le nombre de minutes d’inactivité qui doivent s’écouler avant que l’application contraigne l’utilisateur à spécifier à nouveau les conditions d’accès. Par exemple, un administrateur active le code confidentiel et bloque les appareils rootés dans la stratégie, un utilisateur ouvre une application gérée par Intune, doit entrer un code confidentiel et doit utiliser l’application sur un appareil non racine. Lors de l’utilisation de ce paramètre, l’utilisateur n’a pas besoin d’entrer un code confidentiel ou de subir une autre case activée de détection racine sur une application gérée par Intune pendant une période égale à la valeur configurée. Remarque :Sur iOS/iPadOS, le code confidentiel est partagé entre toutes les applications gérées par Intune du même éditeur. Le minuteur de code confidentiel d’un code confidentiel spécifique est réinitialisé une fois que l’application quitte le premier plan sur l’appareil. L’utilisateur n’a pas besoin d’entrer un code confidentiel sur une application gérée par Intune qui partage son code confidentiel pendant la durée du délai d’expiration défini dans ce paramètre. Ce format de paramètre de stratégie prend en charge un nombre entier positif. |
30 |
Remarque
Pour plus d’informations sur la façon dont plusieurs paramètres de protection d’application Intune configurés dans la section Accès pour le même ensemble d’applications et d’utilisateurs fonctionnent sur iOS/iPadOS, consultez Forum aux questions sur la gestion des applications mobiles Intune et Réinitialisation sélective des données à l’aide d’actions d’accès de stratégie de protection des applications dans Intune.
Lancement conditionnel
Configurez les paramètres de lancement conditionnel afin de définir les exigences de sécurité de la connexion pour votre stratégie de protection d’accès.
Par défaut, plusieurs paramètres sont fournis avec des valeurs et des actions préconfigurées. Vous pouvez supprimer certains d’entre eux, tels que la Version minimale de l’OS. Vous pouvez également sélectionner des paramètres supplémentaires dans la liste déroulante Sélectionner un.
| Setting | Comment utiliser |
|---|---|
| Version maximale du système d'exploitation | Spécifiez une version maximale du système d’exploitation iOS/iPadOS pour utiliser cette application. Les actions comprennent :
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente. Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision. Remarque :nécessite que l’application ait Intune sdk version 14.4.0 ou ultérieure. |
| Version min. de l’OS | Spécifiez une version minimale du système d’exploitation iOS/iPadOS pour utiliser cette application. Les actions comprennent :
Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision. Remarque :Nécessite que l’application ait Intune SDK version 7.0.1 ou ultérieure. |
| Tentatives de code PIN maximum | Indiquez le nombre d'essais que l'utilisateur doit effectuer pour réussir à saisir son code PIN avant que l'action configurée ne soit exécutée. Si l'utilisateur ne parvient pas à saisir son code PIN après le nombre maximal de tentatives de saisie, il doit réinitialiser son code PIN après s'être connecté avec succès à son compte et avoir effectué une authentification multifactorielle (AMF) si nécessaire. Ce format de définition de stratégie prend en charge un nombre entier positif. Les actions comprennent :
|
| Période de grâce hors connexion | Nombre de minutes pendant lesquelles les applications gérées par une stratégie peuvent s’exécuter en mode hors connexion. Indiquez le délai (en minutes) avant que les conditions d'accès à l'application ne soient vérifiées à nouveau. Les actions comprennent :
|
| Appareils jailbreakés/rootés | Il n’existe pas de valeur à définir pour ce paramètre. Les actions comprennent :
|
| Compte désactivé | Il n'y a pas de valeur à définir pour ce paramètre. Les actions comprennent :
|
| Version minimale de l'application | Spécifiez une valeur pour la valeur minimale de la version de l’application. Les actions comprennent :
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente. Ce paramètre de stratégie prend en charge les formats de version d’ensemble d’applications iOS correspondants (major.minor ou major.minor.patch). Remarque :Nécessite que l’application ait Intune SDK version 7.0.1 ou ultérieure. En outre, vous pouvez configurer l'endroit où vos utilisateurs finaux peuvent obtenir une version mise à jour d'une application de ligne d'affaires (LOB). Les utilisateurs finaux le verront dans la boîte de dialogue de lancement conditionnel de la version minimale de l'application, qui les invitera à mettre à jour la version minimale de l'application LOB. Sur iOS/iPadOS, cette fonctionnalité nécessite que l’application soit intégrée (ou encapsulée à l’aide de l’outil d’habillage) avec le KIT de développement logiciel (SDK) Intune pour iOS v. 10.0.7 ou version ultérieure. Pour configurer l'endroit où un utilisateur final doit mettre à jour une application LOB, l'application a besoin d'une stratégie de configuration des applications gérées qui lui est envoyée avec la clé, com.microsoft.intune.myappstore . La valeur envoyée définira le magasin à partir duquel l'utilisateur final téléchargera l'application. Si l’application est déployée via le Portail d’entreprise, la valeur doit être CompanyPortal. Pour tout autre magasin, vous devez saisir une URL complète. |
| Version min. du SDK | Spécifiez une valeur minimale pour la version du kit de développement logiciel (SDK) Intune. Les actions comprennent :
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente. |
| Modèle(s) d’appareil | Spécifiez une liste d'identifiants de modèles séparés par des points-virgules. Ces valeurs ne respectent pas la casse. Les actions comprennent :
|
| Niveau de menace maximal autorisé pour l’appareil | Les stratégies de protection d’applications peuvent tirer parti du connecteur Intune-MTD. Spécifiez un niveau de menace maximal acceptable pour utiliser cette application. Les menaces sont déterminées par l’application de fournisseur Mobile Threat Defense (MTD) que vous avez choisie sur l’appareil de l’utilisateur final. Spécifiez Sécurisé, Faible, Moyen ou Élevé. L’option Sécurisé ne requiert aucune menace sur l’appareil et constitue la valeur configurable la plus restrictive, tandis que l’option Élevé requiert une connexion active d’Intune à MTD. Les actions comprennent :
Pour plus d'informations sur l'utilisation de ce paramètre, voir Activer MTD pour les appareils non inscrits. |
| Service MTD principal | Si vous avez configuré plusieurs connecteurs Intune-MTD, spécifiez l’application fournisseur MTD principale qui doit être utilisée sur l’appareil de l’utilisateur final.
Les valeurs sont les suivantes :
Vous devez configurer le paramètre « Niveau maximal de menace d’appareil autorisé » pour utiliser ce paramètre. Il n’existe aucune action pour ce paramètre. |
| Temps de non-travail | Il n’existe pas de valeur à définir pour ce paramètre. Les actions comprennent :
Les applications suivantes prennent en charge cette fonctionnalité :
|
Si vous souhaitez en savoir plus
- En savoir plus sur les informations et les fonctionnalités de LinkedIn dans vos applications Microsoft.
- Découvrez plus d’informations sur la disponibilité des connexions au compte LinkedIn dans la page Feuille de route Microsoft 365.
- Apprenez à configurer les connexions du compte LinkedIn.
- Pour plus d’informations sur les données qui sont partagées entre les comptes LinkedIn et les comptes professionnels ou scolaires Microsoft des utilisateurs, consultez Les applications et les services Microsoft en partenariat avec LinkedIn.