Stratégie d’accès conditionnel courante : Demander des applications clientes approuvées ou une stratégie de protection des applications

Les appareils mobiles sont régulièrement utilisés pour effectuer des tâches aussi bien personnelles que professionnelles. Tout en veillant à ce que le personnel puisse être productif, les organisations veulent également empêcher la perte de données provenant d’applications se trouvant sur des appareils qu’elles ne gèrent peut-être pas entièrement.

Grâce à l’accès conditionnel, les organisations peuvent limiter l’accès aux seules applications clientes approuvées (avec une authentification moderne) auxquelles des stratégies Intune App Protection sont appliquées. Pour les anciennes applications clientes qui ne prennent peut-être pas en charge les stratégies de protection des applications, les administrateurs peuvent restreindre l’accès aux applications clientes approuvées.

Avertissement

Les stratégies de protection des applications sont prises en charge uniquement sur iOS et Android.

Toutes les applications prises en charge ne sont pas des applications approuvées ou ne prennent pas en charge les stratégies de protection des applications. Pour obtenir une liste des applications clientes les plus courantes, consultez Présence obligatoire d’une stratégie de protection des applications. Si votre application ne figure pas dans la liste, contactez le développeur de l’application.

Pour exiger des applications clientes approuvées pour les appareils iOS et Android, ces derniers doivent d’abord s’inscrire auprès d'Azure AD.

Notes

Le contrôle « Demander un des contrôles sélectionnés » sous les contrôles d’octroi est semblable à une clause OR. Il est utilisé dans la stratégie pour permettre aux utilisateurs d’utiliser les applications prenant en charge les contrôles d’octroi Exiger une stratégie de protection des applications ou Demander une application cliente approuvée. L’exigence d’une stratégie de protection des applications est mise en œuvre lorsque l’application prend en charge ce contrôle d’octroi.

Pour plus d’informations sur les avantages liés à l’utilisation de stratégies de protection des applications, consultez l’article Présentation des stratégies de protection des applications.

Créer une stratégie d’accès conditionnel

Les stratégies ci-dessous sont mises en mode rapport seul pour commencer afin que les administrateurs puissent déterminer l’impact qu’elles auront sur les utilisateurs existants. Lorsque les administrateurs sont sûrs que les stratégies s’appliquent comme prévu, ils peuvent les activer ou échelonner le déploiement en ajoutant certains groupes et en en excluant d’autres.

Demander des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel nécessitant une application cliente approuvée ou une stratégie de protection des applications lors de l’utilisation d’un appareil iOS/iPadOS ou Android. Cette stratégie empêche également l’utilisation de clients Exchange ActiveSync clients à l’aide de l’authentification de base sur les appareils mobiles. Cette stratégie fonctionne en tandem avec une stratégie de protection des applications créée dans Microsoft Intune.

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou à l’aide des modèles d’accès conditionnel (préversion).

  1. Connectez-vous au portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour empêcher le verrouillage. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
  6. Sous Applications ou actions cloud, sélectionnez Toutes les applications cloud.
  7. Sous Conditions>Plateformes d’appareils, définissez Configurer sur Oui.
    1. Sous Inclure, sélectionnez Plateformes d’appareils.
    2. Choisissez Android et iOS.
    3. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Demander une application cliente approuvée et Demander une stratégie de protection des applications.
    2. Pour des contrôles multiples, sélectionnez Demander un des contrôles sélectionnés.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que vous avez confirmé vos paramètres à l’aide du mode Rapport seul, un administrateur peut modifier la position du bouton bascule Activer la stratégie de Rapport seul sur Activé.

Bloquer Exchange ActiveSync sur tous les appareils

Cette stratégie bloque tous les clients Exchange ActiveSync utilisant l’authentification de base pour se connecter à Exchange Online.

  1. Connectez-vous au portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
  2. Accédez à Azure Active DirectorySécuritéAccès conditionnel.
  3. Sélectionnez Nouvelle stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour empêcher le verrouillage. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
    3. Sélectionnez Terminé.
  6. Sous Applications ou actions cloud, sélectionnez Sélectionner les applications.
    1. Sélectionnez Office 365 Exchange Online.
    2. Sélectionnez Sélectionner.
  7. Sous Conditions>Applications clientes, définissez Configurer sur Oui.
    1. Décochez toutes les options, à l’exception de Clients Exchange ActiveSync.
    2. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Exiger une stratégie de protection des applications
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que vous avez confirmé vos paramètres à l’aide du mode rapport uniquement, un administrateur peut modifier la position du bouton bascule Activer la stratégie de Rapport seul sur Activé.

Étapes suivantes

Vue d’ensemble des stratégies de protection des applications

Stratégies d’accès conditionnel courantes

Migrer une application cliente approuvée vers une stratégie de protection d’application dans l’accès conditionnel