Créer une stratégie d’accès conditionnel basée sur l’appareil

Microsoft Intune stratégies de conformité des appareils peuvent évaluer les status des appareils gérés pour s’assurer qu’ils répondent à vos besoins avant de leur accorder l’accès aux applications et services de votre organization. Les status résultats de vos stratégies de conformité d’appareil peuvent être utilisés par Microsoft Entra stratégies d’accès conditionnel pour appliquer des normes de sécurité et de conformité. Cette combinaison est appelée accès conditionnel basé sur l’appareil.

Conseil

En plus des stratégies d’accès conditionnel basées sur l’appareil, vous pouvez utiliser l’accès conditionnel basé sur l’application avec Intune.

L’accès conditionnel est une technologie Microsoft Entra. Le nœud Accès conditionnel auquel vous accédez à partir du centre d’administration Microsoft Intune est le même que celui auquel vous accédez à partir de Microsoft Entra ID. Vous n’avez donc pas besoin de basculer entre eux pour configurer des stratégies.

Configuration requise

Conditions requises pour les licences

Avant de créer une stratégie d’accès conditionnel basée sur l’appareil, vous devez disposer d’une licence Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez tarification Microsoft Entra.

Conditions requises pour les rôles

Votre compte doit avoir l’un des rôles suivants dans Microsoft Entra :

• Administrateur de sécurité
• Administrateur de l’accès conditionnel

Importante

Avant de configurer l’accès conditionnel, vous devez configurer les stratégies de conformité des appareils Intune pour évaluer si les appareils répondent à des exigences spécifiques. Consultez l’article Bien démarrer avec les stratégies de conformité des appareils dans Intune.

Procédure

L’accès conditionnel basé sur l’appareil utilise les signaux de conformité status de Intune pour appliquer des contrôles d’accès dans Microsoft Entra ID. La configuration implique deux phases :

• Phase 1 : Configurer les stratégies de conformité des appareils dans Intune : ces stratégies évaluent si les appareils gérés répondent à vos exigences de sécurité. Intune signale que la conformité status à Microsoft Entra ID.

• Phase 2 - Créer une stratégie d’accès conditionnel dans Microsoft Entra : la stratégie utilise le signal de conformité de Intune. Cet article explique comment configurer la stratégie à partir du centre d’administration Microsoft Intune.

Créer la stratégie d'accès conditionnel

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezAccès> conditionnel sécurité> du point de terminaisonCréer une stratégie.

   Le volet Nouveau s’ouvre, c’est-à-dire le volet de configuration de Microsoft Entra. La stratégie que vous créez est une stratégie Microsoft Entra pour l’accès conditionnel. Pour en savoir plus sur ce volet et les stratégies d’accès conditionnel, consultez Composants de stratégie d’accès conditionnel dans le contenu Microsoft Entra.

3. Sous Affectations, configurez Utilisateurs et groupes pour sélectionner les identités dans le répertoire auquel la stratégie s’applique. Pour plus d’informations, consultez Utilisateurs et groupes dans la documentation Microsoft Entra.

   • Sous l’onglet Inclure , configurez l’utilisateur et les groupes que vous souhaitez inclure.
   • Utilisez l’onglet Exclure s’il existe des utilisateurs, des rôles ou des groupes que vous souhaitez exclure de cette stratégie.

   Conseil

   Testez la stratégie sur un groupe plus petit d’utilisateurs pour vous assurer qu’elle fonctionne comme prévu avant de la déployer sur des groupes plus importants.

4. Ensuite, configurez les ressources cibles, qui se trouve également sous Affectations. Utilisez la liste déroulante pour Sélectionner ce à quoi cette stratégie s’applique pour sélectionner applications cloud.

   • Sous l’onglet Inclure , utilisez les options disponibles pour identifier les applications et services que vous souhaitez protéger avec cette stratégie d’accès conditionnel.

     Si vous choisissez Sélectionner des applications, utilisez l’interface utilisateur disponible pour sélectionner les applications et les services à protéger avec cette stratégie.

     Attention

     Ne vous enfermez pas. Si vous choisissez Toutes les applications cloud, veillez à passer en revue l’avertissement, puis à exclure de cette stratégie votre compte d’utilisateur ou d’autres utilisateurs et groupes pertinents qui doivent conserver l’accès pour utiliser le centre d’administration Microsoft Entra ou Microsoft Intune centre d’administration une fois cette stratégie entrée en vigueur.

   • Utilisez l’onglet Exclure s’il existe des applications ou des services que vous souhaitez exclure de cette stratégie.

   Pour plus d’informations, consultez Applications ou actions cloud dans la documentation Microsoft Entra.

5. Ensuite, configurez Conditions. Sélectionnez les signaux que vous souhaitez utiliser comme conditions pour cette stratégie. Les options suivantes sont disponibles :

   • Risque de l’utilisateur
   • Risque de connexion
   • Plateformes d’appareils
   • Emplacements
   • Applications clientes
   • Filtrer pour les appareils

   Pour plus d’informations sur ces options, consultez Conditions dans la documentation Microsoft Entra.

   Conseil

   Si vous souhaitez protéger à la fois les clients d’authentification moderne et les clients Exchange ActiveSync, créez deux stratégies d’accès conditionnel distinctes, une pour chaque type de client. Bien qu’Exchange ActiveSync prenne en charge l’authentification moderne, la seule condition prise en charge par Exchange ActiveSync est la plateforme. Les autres conditions, notamment l’authentification multifacteur, ne sont pas prises en charge. Pour protéger efficacement l’accès à Exchange Online à partir d’Exchange ActiveSync, créez une stratégie d’accès conditionnel qui spécifie l’application cloud Microsoft 365 Exchange Online et l’application client Exchange ActiveSync, en sélectionnant le paramètre Appliquer la stratégie uniquement aux plateformes prises en charge.

6. Sous Contrôles d’accès, configurez Accorder pour sélectionner une ou plusieurs exigences. Pour en savoir plus sur les options d’octroi, consultez Accorder dans la documentation Microsoft Entra.

   Importante

   Pour que cette stratégie utilise les status de conformité des appareils, pour Accorder l’accès, vous devez sélectionner Exiger que l’appareil soit marqué comme conforme.

   • Bloquer l’accès : refuse l’accès aux applications ou services spécifiés.
   • Accorder l’accès : accorde l’accès, mais vous pouvez exiger une ou plusieurs conditions. Pour utiliser les status de conformité des appareils de Intune, sélectionnez Exiger que l’appareil soit marqué comme conforme.

7. Sous Activer la stratégie, sélectionnez Activé. Par défaut, la stratégie est définie sur Rapport uniquement.

8. Sélectionnez Créer.

Prochaines étapes

• Accès conditionnel basé sur l’application avec Intune
• Résolution des problèmes d’accès conditionnel à Intune