Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser une combinaison de Microsoft Intune et d’Accès conditionnel Microsoft Entra pour exiger que les appareils des utilisateurs répondent à vos exigences de sécurité spécifiques avant de pouvoir se connecter à Azure Virtual Desktop, Windows 365 et Microsoft Dev Box. Cette approche vous permet d’appliquer les exigences de sécurité pour l’application Windows dans les scénarios suivants :
| Plateforme d’appareils | gestion des périphériques dans Intune. |
|---|---|
| iOS/iPadOS | Géré ou non géré |
| Android¹ | Géré ou non géré |
| Navigateur web (uniquement Microsoft Edge sur Windows) | Non géré uniquement |
- N’inclut pas la prise en charge du système d’exploitation Chrome.
Pour plus d’informations sur l’utilisation de stratégies de protection des applications avec des appareils gérés et non gérés, consultez Stratégies de protection des applications cibles basées sur l’état de gestion des appareils.
Certains des paramètres de stratégie que vous pouvez appliquer incluent l’exigence d’un code confidentiel, une version de système d’exploitation spécifique, le blocage des claviers tiers et la restriction des opérations couper, copier et coller entre d’autres applications sur les appareils clients locaux. Pour obtenir la liste complète des paramètres disponibles, consultez Lancement conditionnel dans les paramètres de stratégie de protection des applications iOS et Lancement conditionnel dans les paramètres de stratégie de protection des applications Android.
Une fois que vous avez défini les exigences de sécurité, vous pouvez également gérer si sur les appareils iOS/iPadOS et Android leurs ressources locales telles que les caméras, les microphones, le stockage et le Presse-papiers sont redirigés vers une session à distance. Exiger la conformité de la sécurité des appareils locaux est un prérequis pour gérer les paramètres de redirection d’appareils locaux. Pour en savoir plus sur la gestion des paramètres de redirection d’appareils locaux, consultez Gérer les paramètres de redirection d’appareils locaux avec Microsoft Intune.
À un niveau élevé, il existe deux domaines à configurer :
Stratégie de protection des applications Intune : utilisée pour spécifier les exigences de sécurité que l’application et l’appareil client local doivent respecter. Vous pouvez utiliser des filtres pour cibler les utilisateurs en fonction de critères spécifiques.
Stratégie d’accès conditionnel : utilisée pour contrôler l’accès à Azure Virtual Desktop et Windows 365 uniquement si les critères définis dans les stratégies de protection des applications sont remplis.
Conditions préalables
Avant de pouvoir exiger la conformité de la sécurité de l’appareil client local à l’aide d’Intune et de l’accès conditionnel, vous avez besoin des éléments suivants :
Un pool d’hôtes existant avec des hôtes de session, ou des PC cloud.
Au moins un groupe de sécurité Microsoft Entra ID contenant des utilisateurs auxquels appliquer les stratégies.
Pour les appareils gérés uniquement, vous devez ajouter chacune des applications suivantes que vous souhaitez utiliser à Intune :
- Pour l’application Windows sur iOS/iPadOS, consultez Ajouter des applications du Windows Store à Microsoft Intune.
- Pour Microsoft Edge sur Windows, consultez Ajouter Microsoft Edge pour Windows 10/11 à Microsoft Intune.
Un appareil client local exécutant l’une des versions suivantes de l’application Windows ou l’utilisation de l’application Windows dans Microsoft Edge :
Windows App :
- iOS/iPadOS : 11.1.1 ou version ultérieure.
- Android 1.0.0.161 ou version ultérieure.
Microsoft Edge sur Windows : 134.0.3124.51 ou version ultérieure.
Sur l’appareil client local, vous avez besoin de la dernière version de :
- iOS/iPadOS : application Microsoft Authenticator
- Android : application Portail d’entreprise installée sur le même profil que Windows App pour les appareils personnels. Les deux applications doivent se trouver dans un profil personnel ou dans un profil professionnel, pas une dans chaque profil.
Il existe d’autres prérequis Intune pour la configuration des stratégies de protection des applications et des stratégies d’accès conditionnel. Pour plus d’informations, consultez :
Créer un filtre
En créant un filtre, vous pouvez appliquer des paramètres de stratégie uniquement lorsque les critères définis dans le filtre sont mis en correspondance, ce qui vous permet de limiter l’étendue d’affectation d’une stratégie. Avec l’application Windows, vous pouvez utiliser les filtres suivants :
iOS/iPadOS
- Créez un filtre d’applications managées pour les appareils non gérés et gérés.
- Créez un filtre d’appareils gérés pour les appareils gérés.
Android :
- Créez un filtre d’applications managées pour les appareils non gérés et gérés.
Windows : Les filtres ne s’appliquent pas à Microsoft Edge sur Windows.
Utilisez des filtres pour limiter l’étendue d’affectation d’une stratégie. La création d’un filtre est facultative ; si vous ne configurez pas de filtre, les mêmes paramètres de conformité de sécurité des appareils et de redirection d’appareil s’appliquent à un utilisateur, qu’ils se trouvent sur un appareil géré ou non géré. Ce que vous spécifiez dans un filtre dépend de vos exigences.
Pour en savoir plus sur les filtres et comment les créer, consultez Utilisez des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune et Propriétés des filtres d'application gérée.
Créer une stratégie de protection des applications
Les stratégies de protection des applications vous permettent de contrôler la façon dont les applications et les appareils accèdent aux données et les partagent. Vous devez créer une stratégie de protection des applications distincte pour iOS/iPadOS, Android et Microsoft Edge sur Windows. Ne configurez pas iOS/iPadOS et Android dans la même stratégie de protection des applications que vous ne pouvez pas configurer le ciblage de stratégie en fonction des appareils gérés et non gérés.
Sélectionnez l’onglet approprié.
Pour créer et appliquer une stratégie de protection des applications, suivez les étapes décrites dans Comment créer et affecter des stratégies de protection des applications et utiliser les paramètres suivants :
Créez une stratégie de protection des applications pour iOS/iPadOS.
Sous l’onglet Applications , sélectionnez Sélectionner des applications publiques, recherchez et sélectionnez Application Windows, puis sélectionnez Sélectionner.
Sous l’onglet Protection des données , seuls les paramètres suivants sont pertinents pour l’application Windows. Les autres paramètres ne s’appliquent pas lorsque l’application Windows interagit avec l’hôte de session et non avec les données de l’application. Sur les appareils mobiles, les claviers non approuvés sont une source de journalisation et de vol de séquences de touches.
Vous pouvez configurer les paramètres suivants :
Paramètre Valeur/Description Transfert de données Envoyer des données d’organisation à d’autres applications Définissez la valeur None pour activer la protection de capture d’écran. Pour plus d’informations sur la protection de capture d’écran dans Azure Virtual Desktop, consultez Activer la protection de capture d’écran dans Azure Virtual Desktop. Restreindre les opérations Couper, Copier et Coller avec d’autres applications Définissez la valeur Bloquée pour désactiver la redirection du Presse-papiers entre l’application Windows et l’appareil local. Utiliser avec désactivation de la redirection du Presse-papiers dans une stratégie de configuration dans l’application. Claviers tiers Défini sur Bloqué pour bloquer les claviers tiers. Sous l’onglet Lancement conditionnel , nous vous recommandons d’ajouter les conditions suivantes :
État Type de condition Valeur Action Version minimale de l'application Condition de l’application En fonction de vos besoins. Entrez un numéro de version pour l’application Windows sur iOS/iPadOS Bloquer l’accès Version minimale de l’OS Condition d’appareil En fonction de vos besoins. Bloquer l’accès Service MTD principal Condition d’appareil En fonction de vos besoins.
Votre connecteur MTD doit être configuré. Pour Microsoft Defender pour point de terminaison, configurez Microsoft Defender pour point de terminaison dans Intune.Bloquer l’accès Niveau de menace maximal autorisé pour l’appareil Condition d’appareil Sécurisé Bloquer l’accès Pour plus d’informations sur les paramètres disponibles, consultez Lancement conditionnel dans les paramètres de stratégie de protection des applications iOS.
Sous l’onglet Affectations, affectez la stratégie à votre groupe de sécurité contenant les utilisateurs auxquels vous souhaitez appliquer la stratégie. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet. Pour chaque groupe, si vous le souhaitez, vous pouvez sélectionner un filtre plus spécifique dans le ciblage de la stratégie de configuration d’application.
Créer une stratégie d’accès conditionnel
Une stratégie d’accès conditionnel vous permet de contrôler l’accès à Azure Virtual Desktop, Windows 365 et Microsoft Dev Box en fonction des critères spécifiques de l’utilisateur qui se connecte et de l’appareil qu’il utilise. Nous vous recommandons de créer plusieurs stratégies d’accès conditionnel pour obtenir des scénarios granulaires en fonction de vos besoins. Voici quelques exemples de stratégies.
Importante
Examinez attentivement la gamme de services cloud, d’appareils et de versions de l’application Windows que vous souhaitez que vos utilisateurs puissent utiliser. Ces exemples de stratégies d’accès conditionnel ne couvrent pas tous les scénarios et vous devez être prudent de ne pas bloquer par inadvertance l’accès. Vous devez créer des stratégies et ajuster les paramètres en fonction de vos besoins.
Pour créer et appliquer une stratégie d’accès conditionnel, suivez les étapes décrites dans Configurer des stratégies d’accès conditionnel basées sur l’application avec Intune et utilisez les informations et les paramètres dans les exemples suivants.
Exemple 1 : Autoriser l’accès uniquement lorsqu’une stratégie de protection des applications est appliquée avec l’application Windows
Cet exemple autorise l’accès uniquement lorsqu’une stratégie de protection des applications est appliquée avec l’application Windows :
Pour les affectations, sous Utilisateurs ou identités de charge de travail, sélectionnez 0 utilisateurs ou identités de charge de travail sélectionnés, puis incluez le groupe de sécurité contenant les utilisateurs auxquels appliquer la stratégie. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet.
Pour les ressources cibles, sélectionnez Appliquer la stratégie aux ressources, puis, pour Inclure, sélectionnez Sélectionner des ressources. Recherchez et sélectionnez les ressources suivantes. Vous ne disposez de ces ressources que si vous avez enregistré le service correspondant dans votre locataire.
Nom de la ressource ID de l'application Remarques Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Il peut être appelé Windows Virtual Desktop à la place. Vérifiez avec l’ID d’application. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 S’applique également à Microsoft Dev Box. Connexion au cloud Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponible une fois que l’un des autres services est inscrit. Pour les conditions :
- Sélectionnez Plateformes d’appareils, pour Configurer, sélectionnez Oui, puis, sous Inclure, sélectionnez Sélectionner des plateformes d’appareils et vérifiez iOS et Android.
- Sélectionnez Applications clientes, pour Configureroui, puis cochez navigateur et applications mobiles et clients de bureau.
Pour les contrôles d’accès, sous Accorder l’accès, sélectionnez 0 contrôles sélectionnés, puis cochez la case pour protection des applications et sélectionnez le bouton radio pour Exiger tous les contrôles sélectionnés.
Pour Activer la stratégie, définissez-la sur Activé.
Exemple 2 : Exiger une stratégie de protection des applications pour les appareils Windows
Cet exemple limite les appareils Windows personnels non gérés à utiliser Microsoft Edge pour accéder à une session à distance à l’aide de l’application Windows dans un navigateur web uniquement. Pour plus d’informations sur ce scénario, consultez Exiger une stratégie de protection des applications pour les appareils Windows.
Pour les affectations, sous Utilisateurs ou identités de charge de travail, sélectionnez 0 utilisateurs ou identités de charge de travail sélectionnés, puis incluez le groupe de sécurité contenant les utilisateurs auxquels appliquer la stratégie. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet.
Pour les ressources cibles, sélectionnez Appliquer la stratégie aux ressources, puis, pour Inclure, sélectionnez Sélectionner des ressources. Recherchez et sélectionnez les ressources suivantes. Vous ne disposez de ces ressources que si vous avez enregistré le service correspondant dans votre locataire.
Nom de la ressource ID de l'application Remarques Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Il peut être appelé Windows Virtual Desktop à la place. Vérifiez avec l’ID d’application. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 S’applique également à Microsoft Dev Box. Connexion au cloud Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Disponible une fois que l’un des autres services est inscrit. Pour les conditions :
- Sélectionnez Plateformes d’appareils, pour Configurer, sélectionnez Oui, puis, sous Inclure, sélectionnez Sélectionner les plateformes d’appareils et vérifiez Windows.
- Sélectionnez Applications clientes, pour Configureroui, puis cochez Navigateur.
Pour les contrôles d’accès, sélectionnez Accorder l’accès, puis cochez la case Exiger une stratégie de protection des applications et sélectionnez le bouton radio pour Exiger l'un des contrôles sélectionnés.
Pour Activer la stratégie, définissez-la sur Activé.
Vérifier la configuration
Maintenant que vous configurez Intune et l’accès conditionnel pour exiger la conformité de la sécurité des appareils sur les appareils personnels, vous pouvez vérifier votre configuration en vous connectant à une session à distance. Ce que vous devez tester dépend de la configuration des stratégies à appliquer aux appareils inscrits ou non inscrits, aux plateformes et aux paramètres de protection des données que vous avez définis. Vérifiez que vous ne pouvez effectuer que les actions que vous souhaitez et que celles-ci correspondent à vos attentes.