Utiliser l'accès conditionnel avec Microsoft Tunnel dans Intune
Si votre environnement Microsoft Intune utilise Microsoft Entra accès conditionnel, vous pouvez utiliser des stratégies d’accès conditionnel pour contrôler l’accès des appareils à votre passerelle VPN Microsoft Tunnel.
Pour prendre en charge l’intégration de l’accès conditionnel et de Microsoft Tunnel, utilisez Microsoft Graph PowerShell pour permettre à votre locataire de prendre en charge Microsoft Tunnel. Après avoir activé votre locataire pour qu’il prenne en charge Microsoft Tunnel, vous pouvez créer des stratégies d’accès conditionnel qui s’appliquent à l’application Microsoft Tunnel.
Approvisionner votre locataire
Avant de pouvoir configurer des stratégies d’accès conditionnel pour le tunnel, vous devez autoriser votre locataire à prendre en charge Microsoft Tunnel pour l’accès conditionnel. Utilisez le module Microsoft Graph PowerShell et exécutez un script PowerShell pour modifier votre locataire afin d’ajouter Microsoft Tunnel Gateway en tant qu’application cloud. Une fois le tunnel ajouté en tant qu’application cloud, vous pouvez le sélectionner dans le cadre d’une stratégie d’accès conditionnel.
Téléchargez et installez le module PowerShell AzureAD.
Téléchargez le script PowerShell nommé mst-ca-provisioning.ps1 à partir de aka.ms/mst-ca-provisioning.
À l’aide d’informations d’identification qui ont les autorisations de rôle Azure équivalentes à Intune’administrateur, exécutez le script à partir de n’importe quel emplacement dans votre environnement pour approvisionner votre locataire.
Le script modifie votre locataire en créant un principal de service avec les détails suivants :
- ID d'application : 3678c9e9-9681-447a-974d-d19f668fcd88
- Nom : passerelle Microsoft Tunnel
L’ajout de ce principal de service est nécessaire pour vous permettre de sélectionner l’application cloud tunnel lors de la configuration des stratégies d’accès conditionnel. Il est également possible d’utiliser Graph pour ajouter les informations de principal de service à votre locataire.
Une fois le script terminé, vous pouvez appliquer une procédure normale pour créer des stratégies d’accès conditionnel.
Accès conditionnel pour limiter l’accès à Microsoft Tunnel
Si vous utilisez la stratégie d’accès conditionnel de façon à limiter l’accès utilisateur, nous vous recommandons de configurer cette stratégie après avoir provisionné votre locataire pour prendre en charge l’application cloud Microsoft Tunnel Gateway, mais avant d’installer Microsoft Tunnel Gateway.
Connectez-vous à Microsoft Intune centre> d’administration Accèsconditionnel> sécurité >des points de terminaisonCréer une stratégie. Le centre d’administration présente l’interface Microsoft Entra pour créer des stratégies d’accès conditionnel.
Spécifiez un nom pour cette stratégie.
Pour configurer l’accès des utilisateurs et des groupes, sous Affectations, sélectionnez Utilisateurs et groupes.
- Sélectionnez Inclure>Tous les utilisateurs.
- Ensuite, sélectionnez Exclure, configurez les groupes auxquels vous souhaitez accorder l’accès, puis enregistrez la configuration de l’utilisateur et du groupe.
Sous Applications ou actions cloud>Sélectionner les applications, sélectionnez l’application Microsoft Tunnel Gateway.
Sous Contrôles d’accès, sélectionnez Accorder, Bloquer l’accès, puis enregistrez la configuration.
Définissez Activer la stratégie sur Activé.
Sélectionnez Créer.
Pour plus d’informations sur la création de stratégies d’accès conditionnel, consultez Créer une stratégie d’accès conditionnel basée sur l’appareil.