Stratégies de sécurité courantes pour les organisations Microsoft 365
Les organisations doivent se soucier d’un bon nombre de choses lors du déploiement de Microsoft 365. Les stratégies d’accès conditionnel, de protection des applications et de conformité des appareils référencées dans cet article sont basées sur les recommandations de Microsoft et les trois principes fondamentaux de la Confiance Zéro :
- Vérifier explicitement
- Utiliser le privilège minimum
- Supposer une violation
Les organisations peuvent adopter ces stratégies telles quelles ou les personnaliser pour répondre à leurs besoins. Si possible, testez vos stratégies dans un environnement de non-production avant de les déployer pour vos utilisateurs en production. Les tests sont essentiels pour identifier et communiquer tous les effets possibles à vos utilisateurs.
Nous regroupons ces stratégies en trois niveaux de protection en fonction de votre avancée dans votre parcours de déploiement :
- Point de départ : contrôles de base qui introduisent une authentification multifacteur, des changements de mots de passe sécurisés et des stratégies de protection des applications.
- Entreprise : contrôles avancés qui introduisent une conformité des appareils.
- Sécurité spécialisée : stratégies nécessitant une authentification multifacteur systématique pour des jeux de données ou des utilisateurs spécifiques.
Le diagramme suivant montre à quel niveau de protection s’applique chaque stratégie et si les stratégies s’appliquent aux PC ou aux téléphones et tablettes, ou aux deux catégories d’appareils.
Vous pouvez télécharger ce diagramme sous la forme d’un fichier PDF.
Conseil
L’utilisation obligatoire de l’authentification multifacteur (MFA) est recommandée avant d’inscrire des appareils dans Intune pour garantir qu’ils sont en possession des utilisateurs attendus. Vous devez inscrire les appareils dans Intune avant de pouvoir appliquer les stratégies de conformité des appareils.
Prérequis
Autorisations
- Les utilisateurs qui gèrent les stratégies d’accès conditionnel doivent pouvoir se connecter au Portail Azure en tant qu’Administrateur de l’accès conditionnel au minimum.
- Les utilisateurs qui gèrent les stratégies de protection des applications et de conformité des appareils doivent pouvoir se connecter à Intune en tant qu’Administrateur Intune au minimum.
- Ces utilisateurs qui ont uniquement besoin de voir les configurations peuvent se voir attribuer les rôles Lecteur de sécurité ou Lecteur général.
Pour plus d’informations sur les rôles et les autorisations, consultez l’article Rôles intégrés Microsoft Entra.
Enregistrement des utilisateurs
Assurez-vous que vos utilisateurs s’inscrivent à l’authentification multifacteur avant d’exiger son utilisation. Si vous avez des licences comprenant Microsoft Entra ID P2, vous pouvez utiliser la stratégie d’inscription MFA dans Protection Microsoft Entra ID pour exiger que les utilisateurs s’inscrivent. Nous fournissons des modèles de communication que vous pouvez télécharger et personnaliser pour promouvoir l’inscription.
Groupes
Tous les groupes Microsoft Entra utilisés dans le cadre de ces recommandations doivent être créés en tant que groupe Microsoft 365, et non en tant que groupe de sécurité. Cette exigence est importante pour le déploiement d’étiquettes de confidentialité lors de la sécurisation des documents dans Microsoft Teams et SharePoint par la suite. Pour plus d’informations, consultez l’article Découvrir les groupes et les droits d’accès dans Microsoft Entra ID
Attribution de stratégies
Les stratégies d’accès conditionnel peuvent être affectées aux utilisateurs, aux groupes et aux rôles d’administrateur. Les stratégies de protection des applications et de conformité des appareils Intune peuvent être affectées à des groupes uniquement. Avant de configurer vos stratégies, vous devez identifier qui doit être inclus et exclu. En règle générale, les stratégies de niveau de protection Point de départ s’appliquent à tous les membres de l’organisation.
Voici un exemple d’affectation de groupe et d’exclusions pour exiger MFA une fois que vos utilisateurs ont effectué l’inscription utilisateur.
| Stratégie d’accès conditionnel Microsoft Entra | Inclure | Exclure | |
|---|---|---|---|
| Point de départ | Exiger une authentification multifacteur pour les connexions à risque moyen ou élevé | Tous les utilisateurs |
|
| Entreprise | Exiger une authentification multifacteur pour les connexions à risque faible, moyen ou élevé | Groupe du personnel de direction |
|
| Sécurité spécialisée | Exiger systématiquement une authentification multifacteur | Groupe Projet Top Secret Buckeye |
|
Veillez à appliquer des niveaux de protection plus élevés aux groupes et aux utilisateurs. L’objectif de la sécurité n’est pas d’ajouter des frictions inutiles à l’expérience utilisateur. Par exemple, les membres du groupe Projet Top Secret Buckeye sont tenus d’utiliser MFA chaque fois qu’ils se connectent, même s’ils ne travaillent pas sur le contenu de sécurité spécialisée de leur projet. Des frictions de sécurité excessives peuvent lasser.
Vous pouvez envisager d’activer des méthodes d’authentification sans mot de passe, comme les clés de sécurité Windows Hello Entreprise ou FIDO2 pour réduire certaines frictions créées par certains contrôles de sécurité.
Comptes d’accès d’urgence
Toutes les organisations doivent avoir au moins un compte d’accès d’urgence dont l’utilisation est surveillée et qui est exclu des stratégies. Ces comptes sont utilisés uniquement si tous les autres comptes d’administrateur et méthodes d’authentification sont bloqués ou indisponibles. Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
Exclusions
Une pratique recommandée consiste à créer un groupe Microsoft Entra pour les exclusions de l’accès conditionnel. Ce groupe vous donne un moyen de fournir un accès à l’utilisateur pendant que vous résolvez les problèmes d’accès.
Avertissement
Ce groupe est recommandé comme solution temporaire uniquement. Surveillez et auditez en continu ce groupe pour repérer toute modification et assurez-vous que le groupe d’exclusions est utilisé uniquement comme prévu.
Pour ajouter ce groupe d’exclusions à toutes les stratégies existantes :
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Protection>Accès conditionnel.
- Sélectionnez une stratégie existante.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Exclure, sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation et le groupe d’exclusions de l’accès conditionnel.
Déploiement
Nous vous recommandons d’implémenter les stratégies de point de départ dans l’ordre indiqué dans ce tableau. Toutefois, les stratégies MFA pour les niveaux de protection Entreprise et Sécurité spécialisée peuvent être implémentés à tout moment.
Point de départ
| Stratégie | Plus d’informations | Gestion des licences |
|---|---|---|
| Exiger MFA lorsque le risque de connexion est moyen ou élevé | Utiliser les données à risque de la Protection Microsoft Entra ID pour exiger une MFA uniquement lorsqu’un risque est détecté | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire Sécurité E5 |
| Bloquer les clients qui ne prennent pas en charge l'authentification moderne | Les clients qui n’utilisent pas d’authentification moderne peuvent contourner les stratégies d’accès conditionnel. Il est donc important de les bloquer. | Microsoft 365 E3 ou E5 |
| Les utilisateurs à haut risque doivent changer de mot de passe | Oblige les utilisateurs à changer leur mot de passe lorsqu’ils se connectent si une activité à haut risque est détectée sur leur compte. | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire Sécurité E5 |
| Appliquer les stratégies de protection des applications pour la protection des données | Une stratégie de protection des applications Intune par plateforme (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 ou E5 |
| Exiger des applications approuvées et des stratégies de protection des applications | Applique des stratégies de protection des applications mobiles pour les téléphones et les tablettes avec iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Enterprise
| Stratégie | Plus d’informations | Gestion des licences |
|---|---|---|
| Exiger l’authentification multifacteur lorsque le risque de connexion est bas, moyen ou élevé | Utiliser les données à risque de la Protection Microsoft Entra ID pour exiger une MFA uniquement lorsqu’un risque est détecté | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire Sécurité E5 |
| Définir les stratégies de conformité des appareils | Définissez la configuration minimale requise. Une stratégie pour chaque plateforme. | Microsoft 365 E3 ou E5 |
| Exiger des PC et des appareils mobiles conformes | Applique la configuration requise pour les appareils accédant à votre organisation | Microsoft 365 E3 ou E5 |
Sécurité spécialisée
| Stratégie | Plus d’informations | Gestion des licences |
|---|---|---|
| Exigez toujours l'authentification multifacteur | Les utilisateurs doivent procéder à une MFA chaque fois qu’ils se connectent aux services de votre organisation | Microsoft 365 E3 ou E5 |
Stratégies de protection des applications
Les stratégies de protection des applications définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. De nombreux choix sont disponibles et cela peut être déroutant pour certains. Les bases de référence suivantes sont les configurations recommandées par Microsoft qui peuvent être adaptées à vos besoins. Nous fournissons trois modèles à suivre, mais nous pensons que la plupart des organisations choisiront les niveaux 2 et 3.
Le niveau 2 correspond à ce que nous considérons comme le niveau de sécurité point de départ ou entreprise, tandis que le niveau 3 correspond à la sécurité spécialisée.
Protection de base des données de l’entreprise Niveau 1 – Microsoft recommande cette configuration comme configuration minimale de protection des données pour un appareil d’entreprise.
Protection avancée des données de l’entreprise Niveau 2 – Microsoft recommande cette configuration pour les appareils sur lesquels les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires. Certains contrôles peuvent affecter l’expérience utilisateur.
Protection élevée des données de l’entreprise Niveau 3 – Microsoft recommande cette configuration pour les appareils exécutés par une organisation avec une équipe de sécurité plus grande ou plus sophistiquée, ou pour des utilisateurs ou groupes spécifiques qui présentent un risque exceptionnellement élevé (utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée provoque une perte matérielle considérable pour l’organisation). Les organisations susceptibles d’être ciblées par des adversaires bien financés et sophistiqués ont tout intérêt à aspirer à cette configuration.
Créer des stratégies de protection des applications
Créez une stratégie de protection des applications pour chaque plateforme (iOS et Android) dans Microsoft Intune avec les paramètres de l’infrastructure de protection des données en procédant comme suit :
- Créez manuellement les stratégies en suivant les étapes décrites dans Guide pratique pour créer et déployer des stratégies de protection des applications avec Microsoft Intune.
- Importez l’exemple de modèle JSON Intune App Protection Policy Configuration Framework avec les scripts PowerShell d’Intune.
Stratégies de conformité des appareils
Les stratégies de conformité des appareils Intune définissent les exigences que les appareils doivent respecter pour être considérés comme conformes.
Vous devez créer une stratégie pour chaque plateforme de PC, téléphone ou tablette. Cet article traite des recommandations pour les plateformes suivantes :
Créer des stratégies de conformité des appareils
Pour créer des stratégies de conformité des appareils, connectez-vous au centre d’administration Microsoft Intune, puis accédez à Appareils>Stratégies de conformité>Stratégies. Sélectionnez Créer une stratégie.
Pour obtenir des instructions pas à pas sur la création de stratégies de conformité dans Intune, consultez Créer une stratégie de conformité dans Microsoft Intune.
Inscription et paramètres de conformité pour iOS/iPadOS
iOS/iPadOS prend en charge plusieurs scénarios d’inscription, dont deux sont couverts dans ce cadre :
- Inscription pour les appareils appartenant à des personnes – Ces appareils sont personnels et dédiés à un usage à la fois professionnel et personnel.
- Inscription automatisée pour les appareils appartenant à l’entreprise – Ces appareils sont la propriété de l’entreprise, associés à un seul utilisateur et exclusivement réservés à un usage professionnel.
Utilisation des principes soulignés dans Configurations des identités et de l’accès aux appareils Confiance Zéro :
- Les niveaux de protection point de départ et entreprise correspondent de très près aux paramètres de sécurité avancée de niveau 2.
- Le niveau de protection sécurité spécialisée correspond de très près aux paramètres de sécurité élevée de niveau 3.
Paramètres de conformité pour les appareils inscrits en nom propre
- Sécurité personnelle de base (niveau 1) – Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils personnels sur lesquels les utilisateurs accèdent à des données professionnelles ou scolaires. Cette configuration est effectuée en appliquant des stratégies de mot de passe et des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil telles que les certificats non approuvés.
- Sécurité personnelle avancée (niveau 2) – Microsoft recommande cette configuration pour les appareils sur lesquels les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration applique des contrôles de partage de données. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant aux données professionnelles ou scolaires d’un appareil.
- Sécurité personnelle élevée (niveau 3) – Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou groupes spécifiques qui présentent un risque exceptionnellement élevé (utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée provoque une perte matérielle considérable pour l’organisation). Cette configuration applique des stratégies de mots de passe plus forts, désactive certaines fonctions d’appareil et applique des restrictions de transfert de données supplémentaires.
Paramètres de conformité pour l’inscription automatisée d’appareils
- Sécurité supervisée de base (niveau 1) – Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils supervisés sur lesquels les utilisateurs accèdent à des données professionnelles ou scolaires. Cette configuration est effectuée en appliquant des stratégies de mot de passe et des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil telles que les certificats non approuvés.
- Sécurité supervisée avancée (niveau 2) – Microsoft recommande cette configuration pour les appareils sur lesquels les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration applique des contrôles de partage de données et bloque l’accès aux périphériques USB. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant aux données professionnelles ou scolaires d’un appareil.
- Sécurité supervisée élevée (niveau 3) – Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou groupes spécifiques qui présentent un risque exceptionnellement élevé (utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée provoque une perte matérielle considérable pour l’organisation). Cette configuration applique des stratégies de mots de passe plus forts, désactive certaines fonctions d’appareil, applique des restrictions de transfert de données supplémentaires et exige que les applications soient installées dans le cadre du programme d’achat en volume d’Apple.
Inscription et paramètres de conformité pour Android
Android Enterprise prend en charge plusieurs scénarios d’inscription, dont deux sont couverts dans ce cadre :
- Profil professionnel Android Enterprise – Ce modèle d’inscription est généralement utilisé pour les appareils personnels, pour lesquels le service informatique souhaite fournir une séparation claire entre les données professionnelles et personnelles. Les stratégies contrôlées par le service informatique garantissent que les données professionnelles ne peuvent pas être transférées dans le profil personnel.
- Appareils complètement managés Android Enterprise – Ces appareils sont la propriété de l’entreprise, associés à un seul utilisateur et exclusivement réservés à un usage professionnel.
La structure de la configuration de sécurité Android Enterprise est organisée en plusieurs scénarios de configuration distincts, qui fournissent des instructions pour le profil professionnel et les scénarios complètement managés.
Utilisation des principes soulignés dans Configurations des identités et de l’accès aux appareils Confiance Zéro :
- Les niveaux de protection point de départ et entreprise correspondent de très près aux paramètres de sécurité avancée de niveau 2.
- Le niveau de protection sécurité spécialisée correspond de très près aux paramètres de sécurité élevée de niveau 3.
Paramètres de conformité pour les appareils à profil professionnel Android Enterprise
- En raison des paramètres disponibles sur les appareils à profil professionnel appartenant à l’utilisateur, il n’existe aucune offre de sécurité de base (niveau 1). Les paramètres disponibles ne justifient pas une différence entre le niveau 1 et le niveau 2.
- Sécurité avancée du profil professionnel (niveau 2) – Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils personnels sur lesquels les utilisateurs accèdent à des données professionnelles ou scolaires. Cette configuration introduit des critères de mot de passe, sépare les données professionnelles et personnelles, et valide l’attestation des appareils Android.
- Sécurité élevée du profil professionnel (niveau 3) – Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou groupes spécifiques qui présentent un risque exceptionnellement élevé (utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée provoque une perte matérielle considérable pour l’organisation). Cette configuration introduit une défense contre les menaces sur les appareils mobiles ou Microsoft Defender for Endpoint, définit la version minimale d’Android, applique des stratégies de mots de passe plus forts et renforce la séparation entre les données professionnelles et personnelles.
Paramètres de conformité pour les appareils complètement managés Android Enterprise
- Sécurité complètement managée de base (niveau 1) – Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils Enterprise. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires. Cette configuration introduit des critères de mot de passe, définit la version minimale d’Android et applique certaines restrictions sur les appareils.
- Sécurité complètement managée avancée (niveau 2) – Microsoft recommande cette configuration pour les appareils sur lesquels les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration applique des stratégies de mots de passe plus forts et désactive les fonctionnalités d’utilisateur/de compte.
- Sécurité complètement managée élevée (niveau 3) – Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque exceptionnellement élevé. Ces utilisateurs peuvent gérer des données hautement sensibles où une divulgation non autorisée peut entraîner une perte matérielle considérable pour l’organisation. Cette configuration hausse la version minimale d’Android, introduit une défense contre les menaces sur les appareils mobiles ou Microsoft Defender for Endpoint et applique des restrictions supplémentaires sur les appareils.
Paramètres de conformité recommandés pour Windows 10 et ultérieur
Les paramètres suivants sont configurés à l’Étape 2 : Paramètres de conformité du processus de création des stratégies de conformité pour les appareils Windows 10 et ultérieur. Ces paramètres s’alignent sur les principes soulignés dans Configurations des identités et de l’accès aux appareils Confiance Zéro.
Pour Intégrité de l’appareil > Règles d’évaluation du service Attestation d’intégrité de l’appareil Windows, consultez ce tableau.
| Propriété | Valeur |
|---|---|
| Exiger BitLocker | Obligatoire |
| Exiger l’activation du démarrage sécurisé sur l’appareil | Obligatoire |
| Exiger l’intégrité du code | Obligatoire |
Pour Propriétés de l’appareil, spécifiez les valeurs appropriées pour les versions du système d’exploitation en fonction de vos stratégies informatiques et de sécurité.
Pour Conformité Configuration Manager, si vous êtes dans un environnement cogéré avec Configuration Manager, sélectionnez Exiger ; sinon, sélectionnez Non configuré.
Pour Sécurité système, consultez ce tableau.
| Propriété | Valeur |
|---|---|
| Exiger un mot de passe pour déverrouiller des périphériques mobiles | Obligatoire |
| Mots de passe simples | Bloquer |
| Type de mot de passe | Type par défaut de l’appareil |
| Longueur minimale du mot de passe | 6 |
| Nombre maximal de minutes d’inactivité avant de demander un mot de passe | 15 minutes |
| Expiration du mot de passe (jours) | 41 |
| Nombre de mots de passe précédents à ne pas réutiliser | 5 |
| Exiger un mot de passe lorsque l’appareil revient d’un état inactif (Mobile et Holographique) | Obligatoire |
| Exiger le chiffrement du stockage de données sur l’appareil | Obligatoire |
| Pare-feu | Obligatoire |
| Antivirus | Obligatoire |
| Anti-logiciel espion | Obligatoire |
| Logiciel anti-programme malveillant Microsoft Defender | Obligatoire |
| Version minimale du logiciel anti-programme malveillant Microsoft Defender | Microsoft recommande de ne pas remonter à plus de cinq versions à partir de la version la plus récente. |
| Signature à jour du logiciel anti-programme malveillant Microsoft Defender | Obligatoire |
| Protection en temps réel | Obligatoire |
Pour Microsoft Defender for Endpoint
| Propriété | Valeur |
|---|---|
| Exiger que l’appareil soit inférieur ou égal au score de risque machine | Moyenne |
Stratégies d’accès conditionnel
Une fois que vos stratégies de protection des applications et de conformité des appareils sont créées dans Intune, vous pouvez activer leur mise en œuvre avec des stratégies d’accès conditionnel.
Exiger MFA sur la base des connexions à risque
Suivez les instructions de l’article Stratégie d’accès conditionnel commune : Authentification multifacteur basée sur les connexions à risque pour créer une stratégie visant à exiger une authentification multifacteur basée sur les connexions à risque.
Lors de la configuration de votre stratégie, utilisez les niveaux de risque suivants.
| Niveau de protection | Valeurs de niveau de risque nécessaires | Action |
|---|---|---|
| Point de départ | Élevé, moyen | Cocher les deux. |
| Enterprise | Élevé, moyen, faible | Cocher les trois. |
Bloquer les clients qui ne prennent pas en charge l’authentification multifacteur
Suivez les instructions de l’article Stratégie d’accès conditionnel courante : Blocage de l’authentification héritée pour bloquer l’authentification héritée.
Les utilisateurs à haut risque doivent changer de mot de passe
Suivez les instructions de l’article Stratégie d’accès conditionnel courante : Changement du mot de passe basé sur les utilisateurs à risque pour exiger que les utilisateurs avec des informations d’identification compromises changent leur mot de passe.
Utilisez cette stratégie avec la protection par mot de passe Microsoft Entra, qui détecte et bloque les mots de passe faibles connus et leurs variantes, en plus des termes propres à votre organisation. L’utilisation de la protection par mot de passe Microsoft Entra garantit que les mots de passe changés sont plus forts.
Exiger des applications approuvées et des stratégies de protection des applications
Vous devez créer une stratégie d’accès conditionnel pour appliquer les stratégies de protection des applications créées dans Intune. La mise en œuvre de stratégies de protection des applications nécessite une stratégie d’accès conditionnel et une stratégie de protection des applications correspondante.
Pour créer une stratégie d’accès conditionnel qui nécessite des applications approuvées et une protection des applications, suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles. Cette stratégie autorise uniquement les comptes dans les applications mobiles protégées par les stratégies de protection des applications à accéder aux points de terminaison Microsoft 365.
Le blocage de l’authentification héritée pour d’autres applications clientes sur des appareils iOS et Android garantit que ces clients ne peuvent pas contourner les stratégies d’accès conditionnel. Si vous suivez les instructions de cet article, vous avez déjà configuré Bloquer les clients qui ne prennent pas en charge l’authentification moderne.
Exigez des PC et des appareils mobiles conformes
Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour exiger que les appareils qui accèdent aux ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organisation.
Attention
Assurez-vous que votre appareil est conforme avant d’activer cette stratégie. Sinon, vous pourriez être bloqué et ne pas être en mesure de changer cette stratégie tant que votre compte d’utilisateur n’a pas été ajouté au groupe d’exclusions de l’accès conditionnel.
- Connectez-vous au portail Azure.
- Accédez à Microsoft Entra ID>Sécurité>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
- Sous Applications ou actions cloud>Inclure, sélectionnez Toutes les applications cloud.
- Si vous devez exclure des applications spécifiques de votre stratégie, vous pouvez les choisir dans l'onglet Exclure sous Sélectionner les applications cloud exclues, puis choisir Sélectionner.
- Sous Contrôles d’accès>Octroyer.
- Sélectionnez Exiger que l'appareil soit marqué comme conforme.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et réglez Activer la stratégie sur Activé.
- Sélectionnez Créer pour créer votre stratégie.
Remarque
Vous pouvez inscrire vos nouveaux appareils sur Intune même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les applications cloud dans votre stratégie. Le contrôle Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription Intune ni l’accès à l’application de portail d’entreprise web Microsoft Intune.
Activation d’abonnement
Les organisations, qui utilisent la fonctionnalité Activation d’abonnement pour permettre aux utilisateurs de passer d’une version de Windows à une autre, peuvent vouloir exclure les API Universal Store Service et l’application web AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de leur stratégie de conformité des appareils.
Exigez toujours l'authentification multifacteur
Suivez les instructions de l’article Stratégie d’accès conditionnel courante : Exiger MFA pour tous les utilisateurs pour exiger que vos utilisateurs avec le niveau Sécurité spécialisée procèdent systématiquement à une authentification multifacteur.
Avertissement
Lors de la configuration de votre stratégie, sélectionnez le groupe qui nécessite une sécurité spécialisée et utilisez cela au lieu de sélectionner Tous les utilisateurs.
Étapes suivantes
Découvrir les recommandations de stratégie pour les utilisateurs invités et externes