Exiger des applications clientes approuvées ou une stratégie de protection des applications

Les appareils mobiles sont régulièrement utilisés pour effectuer des tâches aussi bien personnelles que professionnelles. Tout en veillant à ce que le personnel puisse être productif, les organisations veulent également empêcher la perte de données provenant d’applications se trouvant sur des appareils qu’elles ne gèrent peut-être pas entièrement.

Avec l’accès conditionnel, les organisations peuvent restreindre l’accès aux applications clientes approuvées (compatibles avec l’authentification moderne) avec des stratégies de protection des applications Intune. Pour les applications clientes plus anciennes qui peuvent ne pas prendre en charge les stratégies de protection des applications, les administrateurs peuvent restreindre l’accès aux applications clientes approuvées.

Avertissement

Les stratégies de protection d’applications sont prises en charge sur iOS et Android, où les applications répondent à des exigences spécifiques. Les stratégies de protection des applications sont prises en charge sur Windows en préversion pour le navigateur Microsoft Edge uniquement. Toutes les applications prises en charge ne sont pas des applications approuvées ou ne prennent pas en charge les stratégies de protection des applications. Pour obtenir la liste de certaines applications clientes courantes, consultez les exigences de stratégie de protection des applications. Si votre application ne figure pas dans la liste, contactez le développeur de l’application. Pour exiger des applications clientes approuvées ou pour appliquer les politiques de protection des applications pour les appareils iOS et Android, ces derniers doivent d’abord s’inscrire auprès de Microsoft Entra ID.

Remarque

Exiger l’un des contrôles sélectionnés sous les contrôles d’octroi est semblable à une clause OR . Cela est utilisé dans la stratégie pour permettre aux utilisateurs d’utiliser des applications qui prennent en charge la stratégie Exiger la protection des applications ou Exiger des applications client approuvées. La politique de protection des applications requise est appliquée lorsque l'application prend en charge ce type de contrôle.

Pour plus d’informations sur les avantages de l’utilisation des stratégies de protection des applications, consultez l’article Vue d’ensemble des stratégies de protection des applications.

Les stratégies suivantes sont placées en mode Rapport uniquement pour démarrer afin que les administrateurs puissent déterminer l’impact qu’ils auront sur les utilisateurs existants. Lorsque les administrateurs sont à l’aise que les stratégies s’appliquent comme ils le souhaitent, ils peuvent basculer vers On ou planifier le déploiement en ajoutant des groupes spécifiques et en excluant d'autres.

Demander des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles

Les étapes suivantes permettent de créer une stratégie d’accès conditionnel nécessitant une application cliente approuvée ou une stratégie de protection des applications lors de l’utilisation d’un appareil iOS/iPadOS ou Android. Cette stratégie empêche également l’utilisation de clients Exchange ActiveSync clients à l’aide de l’authentification de base sur les appareils mobiles. Cette stratégie fonctionne en tandem avec une stratégie de protection des applications créée dans Microsoft Intune.

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes suivantes ou en utilisant les modèles d’accès conditionnel.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
2. Accédez à Entra ID>Accès conditionnel.
3. Sélectionnez Créer une stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour vous empêcher d’être verrouillé. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
6. Sous Ressources cibles>(anciennement applications cloud)>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud ») .
7. Sous Conditions>Plateformes de dispositifs, définissez Configurer sur Oui.
   1. Sous Inclure, sélectionnez les plateformes d’appareil.
   2. Choisissez Android et iOS.
   3. Sélectionnez Terminé.
8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionner Exiger une application cliente approuvée et exiger une stratégie de protection des applications
   2. Pour plusieurs contrôles , sélectionnez Exiger l’un des contrôles sélectionnés
9. Confirmez vos paramètres et réglez Activer la stratégie sur Rapport uniquement.
10. Sélectionnez Créer pour créer pour activer votre stratégie.

Remarque

Lorsqu’une stratégie est créée en mode rapport uniquement pour le contrôle « Exiger une stratégie de protection des applications », votre journal de connexion peut afficher le résultat « Rapport uniquement : Échec » sous l’onglet « Accès conditionnel » lorsque toutes les conditions de stratégie configurées ont été satisfaites. Cela est dû au fait que le contrôle n’a pas été rempli en mode rapport uniquement. Une fois que vous avez activé la stratégie, le contrôle est appliqué à l’application et la connexion ne sera pas bloquée.

Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Conseil

Les organisations doivent également déployer une stratégie qui bloque l’accès à partir de plateformes d’appareils non prises en charge ou inconnues , ainsi que cette stratégie.

Bloquer Exchange ActiveSync sur tous les appareils

Cette stratégie bloque tous les clients Exchange ActiveSync utilisant l’authentification de base pour se connecter à Exchange Online.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’accès conditionnel au moins.
2. Accédez à Entra ID>Accès conditionnel.
3. Sélectionnez Créer une stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour vous empêcher d’être verrouillé. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
   3. Sélectionnez Terminé.
6. Sous Ressources cibles>(anciennement applications cloud)>Inclure, sélectionnez Sélectionner des ressources.
   1. Sélectionnez Office 365 Exchange Online.
   2. Sélectionner.
7. Sous Conditions>Applications client, définissez Configurer surOui.
   1. Désactivez toutes les options à l’exception des clients Exchange ActiveSync.
   2. Sélectionnez Terminé.
8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionner Exiger une stratégie de protection des applications
9. Confirmez vos paramètres et réglez Activer la stratégie sur Rapport uniquement.
10. Sélectionnez Créer pour créer pour activer votre stratégie.

Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.

Contenu associé

• Vue d’ensemble des stratégies de protection des applications
• Stratégies courantes d’accès conditionnel
• Migrer l’application cliente approuvée vers la stratégie de protection des applications dans l’accès conditionnel