Créer des stratégies d’accès conditionnel

  • 4 minutes

Utilisez des conditions et des contrôles pour créer des stratégies d’accès conditionnel.

Conditions

Une condition est une règle que Intune vérifie lors de l’exécution de l’accès conditionnel. Par exemple, une condition peut être « lorsqu’un appareil répond aux exigences de mot de passe ». Les conditions peuvent être basées sur :

  • La plateforme d’appareils qui accède aux données.
  • l’emplacement à partir duquel les données sont accessibles
  • les applications clientes utilisées pour accéder aux données

Contrôles

Les contrôles sont les actions autorisées ou interdites lorsqu’une condition est remplie. Par exemple, avec la condition précédente, un contrôle peut être « autoriser l’accès ». Les contrôles sont les suivants :

  • blocage de l’accès
  • octroi de l’accès si une ou plusieurs conditions sont remplies

Configurer l’accès conditionnel

Vous pouvez configurer l’accès conditionnel à partir de la console Intune dans le Centre d’administration Microsoft Intune. En ouvrant la page Stratégies >d’accès conditionnel. Lors de la création de la stratégie, vous l’attribuez à des utilisateurs ou des groupes et vous pouvez spécifier tous les services cloud affectés par la stratégie.

Vous pouvez aussi configurer l’accès conditionnel pour Exchange ActiveSync dans la section Administration des locataires du Centre d’administration Microsoft Intune.

Capture d’écran montrant les étapes de création d’une stratégie d’accès conditionnel.

Accès conditionnel et Exchange ActiveSync

Exchange ActiveSync (EAS) est un protocole de synchronisation Exchange optimisé pour fonctionner avec des réseaux à latence élevée et à faible bande passante. Le protocole, basé sur HTTP et XML, permet aux téléphones mobiles d’accéder aux informations d’une organisation sur un serveur exécutant Microsoft Exchange. EAS permet non seulement aux utilisateurs de téléphones mobiles d’accéder à leurs e-mails, à leur calendrier, à leurs contacts et à leurs tâches, mais il leur permet également de continuer d’accéder à ces informations lorsqu’ils travaillent hors connexion. Par défaut, Exchange ActiveSync est activé. Tous les utilisateurs disposant d’une boîte aux lettres Exchange peuvent synchroniser leur appareil mobile avec le serveur Microsoft Exchange.

Note

Exchange ActiveSync ne prend pas en charge les boîtes aux lettres partagées ni l’accès délégué.

Les services de chiffrement standard ajoutent la sécurité aux communications mobiles avec le serveur. Vous pouvez configurer Exchange ActiveSync pour utiliser le chiffrement SSL (Secure Sockets Layer) pour les communications entre le serveur Exchange et l’appareil mobile.

L’un des scénarios les plus courants pour l’accès conditionnel est la gestion de l’accès au serveur Exchange ou à Exchange Online. L’accès conditionnel peut servir à autoriser ou bloquer l’accès à Exchange en local en fonction des stratégies de conformité d’appareil et de l’état d’inscription. Quand vous utilisez un accès conditionnel avec une stratégie de conformité d'appareil, seuls les appareils conformes peuvent accéder à Exchange en local.

Vous pouvez configurer des paramètres avancés dans l’accès conditionnel pour un contrôle plus précis, par exemple pour :

  • Autoriser ou bloquer certaines plateformes.
  • Bloquer immédiatement les appareils qui ne sont pas gérés par Intune.

La conformité de tout appareil utilisé pour accéder à une instance d’Exchange locale est vérifiée lorsque les stratégies d’accès conditionnel et de conformité d’appareil sont appliquées. Quand des périphériques ne remplissent pas les conditions définies, l'utilisateur final est guidé tout au long du processus d'inscription de cet appareil via le serveur Microsoft Entra Device Registration (DRS) pour résoudre le problème qui l’empêche d'être conforme.

Le connecteur Intune Exchange extrait tous les enregistrements Exchange ActiveSync qui existent sur le serveur Exchange afin qu’Intune puisse prendre ces enregistrements EAS et les mapper aux enregistrements d’appareil Intune. Ces enregistrements sont des dispositifs enregistrés et reconnus par Intune. Ce processus autorise ou bloque l’accès à la messagerie.

Si l’enregistrement EAS est nouveau et qu’Intune ne le sait pas, Intune émet une commande qui bloque l’accès aux e-mails. Le diagramme suivant montre plus de détails sur le fonctionnement de ce processus.

Diagramme montrant comment fonctionne le processus EAS.