Infrastructure de protection des données utilisant des stratégies de protection des applications
À mesure que de plus en plus d’organisations implémentent des stratégies d’appareils mobiles pour accéder aux données professionnelles ou scolaires, la protection contre les fuites de données devient primordiale. La solution de gestion des applications mobiles de Intune pour la protection contre les fuites de données est app Protection Policies (APP). LES APPLICATIONS sont des règles qui garantissent que les données d’un organization restent sécurisées ou contenues dans une application managée, que l’appareil soit inscrit ou non. Pour plus d’informations, consultez Protection d'applications vue d’ensemble des stratégies.
Lors de la configuration des stratégies de protection des applications, le nombre de paramètres et d’options différents permet aux organisations d’adapter la protection à leurs besoins spécifiques. En raison de cette flexibilité, il n’est peut-être pas évident de déterminer quelle permutation des paramètres de stratégie est nécessaire pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser les efforts de renforcement des points de terminaison client, Microsoft a introduit une nouvelle taxonomie pour les configurations de sécurité dans Windows 10, et Intune tire parti d’une taxonomie similaire pour son infrastructure de protection des données d’application pour la gestion des applications mobiles.
L’infrastructure de configuration de protection des données des applications est organisée en trois scénarios de configuration distincts :
Protection de base des données d’entreprise de niveau 1 : Microsoft recommande cette configuration comme configuration minimale de protection des données pour un appareil d’entreprise.
Protection améliorée des données d’entreprise de niveau 2 : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent à des données professionnelles ou scolaires. Certains des contrôles peuvent avoir un impact sur l’expérience utilisateur.
Protection élevée des données d’entreprise de niveau 3 : Microsoft recommande cette configuration pour les appareils exécutés par un organization avec une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (les utilisateurs qui gèrent des données hautement sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour le organization). Un organization susceptible d’être ciblé par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration.
Méthodologie de déploiement d’APP Data Protection Framework
Comme pour tout déploiement de nouveaux logiciels, fonctionnalités ou paramètres, Microsoft recommande d’investir dans une méthodologie en anneau pour tester la validation avant de déployer l’infrastructure de protection des données DES APPLICATIONS. La définition d’anneaux de déploiement est généralement un événement unique (ou du moins peu fréquent), mais le service informatique doit revoir ces groupes pour s’assurer que le séquencement est toujours correct.
Microsoft recommande l’approche en anneau de déploiement suivante pour l’infrastructure de protection des données des applications :
| Anneau de déploiement | Tenant | Équipes d’évaluation | Sortie | Chronologie |
|---|---|---|---|---|
| Assurance qualité | Locataire de préproduction | Propriétaires de fonctionnalités mobiles, sécurité, évaluation des risques, confidentialité, expérience utilisateur | Validation de scénario fonctionnel, documentation préliminaire | 0-30 jours |
| Aperçu | Locataire de production | Propriétaires de fonctionnalités mobiles, expérience utilisateur | Validation de scénario de l’utilisateur final, documentation utilisateur | 7-14 jours après la phase Assurance qualité |
| Production | Locataire de production | Propriétaires de fonctionnalités mobiles, support technique informatique | S/O | De 7 jours à plusieurs semaines après la phase Preview |
Comme l’indique le tableau ci-dessus, toutes les modifications apportées aux stratégies de protection des applications doivent d’abord être effectuées dans un environnement de préproduction pour comprendre les implications des paramètres de stratégie. Une fois les tests terminés, les modifications peuvent être déplacées en production et appliquées à un sous-ensemble d’utilisateurs de production, généralement le service informatique et d’autres groupes applicables. Enfin, le déploiement peut être effectué dans le reste de la communauté des utilisateurs mobiles. Le déploiement en production peut prendre plus de temps en fonction de l’ampleur de l’impact concernant la modification. S’il n’y a pas d’impact sur l’utilisateur, la modification doit être déployée rapidement, tandis que, si la modification entraîne un impact sur l’utilisateur, le déploiement peut être plus lent en raison de la nécessité de communiquer les modifications à la population d’utilisateurs.
Lorsque vous testez les modifications apportées à une APPLICATION, tenez compte du délai de remise. La status de remise d’application pour un utilisateur donné peut être surveillée. Pour plus d’informations, consultez Guide pratique pour surveiller les stratégies de protection des applications.
Les paramètres d’application individuels pour chaque application peuvent être validés sur les appareils à l’aide de Microsoft Edge et de l’URL about :Intunehelp. Pour plus d’informations, consultez Passer en revue les journaux de protection des applications clientes et Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux des applications gérées.
Paramètres de l’infrastructure de protection des données des applications
Les paramètres de stratégie de protection des applications suivants doivent être activés pour les applications applicables et attribués à tous les utilisateurs mobiles. Pour plus d’informations sur chaque paramètre de stratégie, consultez Paramètres de stratégie de protection des applications iOS et Paramètres de stratégie de protection des applications Android.
Microsoft recommande d’examiner et de catégoriser les scénarios d’utilisation, puis de configurer les utilisateurs à l’aide des instructions normatives pour ce niveau. Comme pour n’importe quel framework, les paramètres d’un niveau correspondant peuvent devoir être ajustés en fonction des besoins de l’organization, car la protection des données doit évaluer l’environnement des menaces, l’appétit au risque et l’impact sur la facilité d’utilisation.
Les administrateurs peuvent incorporer les niveaux de configuration ci-dessous dans leur méthodologie de déploiement en anneau à des fins de test et de production en important l’exemple Intune modèles JSON App Protection Policy Configuration Framework avec les scripts PowerShell de Intune.
Remarque
Lorsque vous utilisez GAM pour Windows, consultez Protection d'applications paramètres de stratégie pour Windows.
Stratégies d’accès conditionnel
Pour vous assurer que seules les applications prenant en charge les stratégies de protection des applications accèdent aux données de compte professionnelles ou scolaires, Microsoft Entra stratégies d’accès conditionnel sont requises. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.
Consultez Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles dans Accès conditionnel : Exiger des applications clientes approuvées ou une stratégie de protection des applications pour connaître les étapes d’implémentation des stratégies spécifiques. Enfin, implémentez les étapes décrites dans Bloquer l’authentification héritée pour bloquer les applications iOS et Android compatibles avec l’authentification héritée.
Remarque
Ces stratégies tirent parti des contrôles d’octroi Exiger une application cliente approuvée et Exiger la stratégie de protection des applications.
Applications à inclure dans les stratégies de protection des applications
Pour chaque stratégie de protection des applications, le groupe Core Microsoft Apps est ciblé, qui inclut les applications suivantes :
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
Les stratégies doivent inclure d’autres applications Microsoft basées sur les besoins de l’entreprise, des applications publiques tierces supplémentaires qui ont intégré le KIT de développement logiciel (SDK) Intune utilisé dans le organization, ainsi que des applications métier qui ont intégré le SDK Intune (ou qui ont été encapsulées).
Protection de base des données d’entreprise de niveau 1
Le niveau 1 est la configuration minimale de protection des données pour un appareil mobile d’entreprise. Cette configuration remplace la nécessité de stratégies d’accès aux appareils Exchange Online de base en exigeant un code confidentiel pour accéder aux données professionnelles ou scolaires, en chiffrant les données de compte professionnel ou scolaire et en fournissant la possibilité de réinitialiser de manière sélective les données scolaires ou professionnelles. Toutefois, contrairement aux stratégies d’accès aux appareils Exchange Online, les paramètres de stratégie de protection des applications ci-dessous s’appliquent à toutes les applications sélectionnées dans la stratégie, garantissant ainsi que l’accès aux données est protégé au-delà des scénarios de messagerie mobile.
Les stratégies du niveau 1 appliquent un niveau d’accès aux données raisonnable tout en réduisant l’impact sur les utilisateurs et miroir les paramètres de protection des données et d’accès par défaut lors de la création d’une stratégie de protection des applications dans Microsoft Intune.
Protection des données
| Setting | Description du paramètre | Valeur | Plateforme |
|---|---|---|---|
| Transfert de données | Sauvegarder les données de l’organisation sur... | Autoriser | iOS/iPadOS, Android |
| Transfert de données | Envoyer des données d’organisation à d’autres applications | Toutes les applications | iOS/iPadOS, Android |
| Transfert de données | Envoyer des données d’organisation à | Toutes les destinations | Windows |
| Transfert de données | Recevoir des données d’autres applications | Toutes les applications | iOS/iPadOS, Android |
| Transfert de données | Recevoir des données de | Toutes les sources | Windows |
| Transfert de données | Restreindre les opérations couper, copier et coller entre les applications | N’importe quelle application | iOS/iPadOS, Android |
| Transfert de données | Autoriser les opérations couper, copier et coller pour | N’importe quelle destination et toute source | Windows |
| Transfert de données | Claviers tiers | Autoriser | iOS/iPadOS |
| Transfert de données | Claviers approuvés | Non requis | Android |
| Transfert de données | Capture d’écran et Assistant Google | Autoriser | Android |
| Chiffrement | Chiffrer les données d’organisation | Require (Rendre obligatoire) | iOS/iPadOS, Android |
| Chiffrement | Chiffrer les données d’organisation sur les appareils inscrits | Require (Rendre obligatoire) | Android |
| Les fonctionnalités | Synchroniser l’application avec l’application de contacts native | Autoriser | iOS/iPadOS, Android |
| Les fonctionnalités | Impression de données d’organisation | Autoriser | iOS/iPadOS, Android, Windows |
| Les fonctionnalités | Limiter le transfert de contenu web avec d'autres applications | N’importe quelle application | iOS/iPadOS, Android |
| Les fonctionnalités | Notifications de données de l’organisation | Autoriser | iOS/iPadOS, Android |
Condition d’accès
| Setting | Valeur | Plateforme | Notes |
|---|---|---|---|
| Accès par code PIN | Require (Rendre obligatoire) | iOS/iPadOS, Android | |
| Type de code confidentiel | Numérique | iOS/iPadOS, Android | |
| Code confidentiel simple | Autoriser | iOS/iPadOS, Android | |
| Sélectionnez Longueur minimale du code confidentiel | 4 | iOS/iPadOS, Android | |
| Touch ID au lieu du code pin pour l’accès (iOS 8+/iPadOS) | Autoriser | iOS/iPadOS | |
| Remplacer la biométrie par un code confidentiel après expiration | Require (Rendre obligatoire) | iOS/iPadOS, Android | |
| Délai d’expiration (minutes d’activité) | 1440 | iOS/iPadOS, Android | |
| Face ID au lieu du code pin pour l’accès (iOS 11+/iPadOS) | Autoriser | iOS/iPadOS | |
| Biométrie au lieu du code pin pour l’accès | Autoriser | iOS/iPadOS, Android | |
| Réinitialisation du code PIN au bout d’un nombre de jours | Non | iOS/iPadOS, Android | |
| Sélectionner le nombre de valeurs de code confidentiel précédentes à conserver | 0 | Android | |
| PIN de l'application lorsque le PIN de l'appareil est défini | Require (Rendre obligatoire) | iOS/iPadOS, Android | Si l’appareil est inscrit dans Intune, les administrateurs peuvent envisager de définir ce paramètre sur « Non requis » s’ils appliquent un code pin d’appareil fort via une stratégie de conformité de l’appareil. |
| Informations d’identification du compte professionnel ou scolaire pour l’accès | Non requis | iOS/iPadOS, Android | |
| Revérifier les exigences d’accès après (minutes d’inactivité) | 30 | iOS/iPadOS, Android |
Lancement conditionnel
| Setting | Description du paramètre | Valeur /Action | Plateforme | Notes |
|---|---|---|---|---|
| Conditions de l’application | Tentatives de code PIN maximum | 5 / Réinitialiser le code confidentiel | iOS/iPadOS, Android | |
| Conditions de l’application | Période de grâce hors connexion | 1440 / Bloquer l’accès (minutes) | iOS/iPadOS, Android, Windows | |
| Conditions de l’application | Période de grâce hors connexion | 90 / Réinitialiser les données (jours) | iOS/iPadOS, Android, Windows | |
| Conditions de l’appareil | Appareils jailbreakés/rootés | N/A / Bloquer l’accès | iOS/iPadOS, Android | |
| Conditions de l’appareil | Attestation d’appareil SafetyNet | Intégrité de base et appareils certifiés / Bloquer l’accès | Android | Ce paramètre configure l’intégrité des appareils google play case activée sur les appareils des utilisateurs finaux. L’intégrité de base valide l’intégrité de l’appareil. Les appareils rootés, les émulateurs, les appareils virtuels et les appareils présentant des signes d’altération échouent aux tests d’intégrité de base. L’intégrité de base et les appareils certifiés valident la compatibilité de l’appareil avec les services de Google. Seuls les appareils non modifiés qui ont été certifiés par Google peuvent satisfaire à ce contrôle. |
| Conditions de l’appareil | Exiger l’analyse des menaces sur les applications | N/A / Bloquer l’accès | Android | Ce paramètre garantit que l’analyse Vérifier les applications de Google est activée pour les appareils des utilisateurs finaux. Si cette option est configurée, l’accès de l’utilisateur final est bloqué jusqu’à ce qu’il active l’analyse de l’application google sur son appareil Android. |
| Conditions de l’appareil | Niveau de menace maximal autorisé pour l’appareil | Accès faible/bloquer | Windows | |
| Conditions de l’appareil | Exiger le verrouillage de l’appareil | Faible/Avertissement | Android | Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales. |
Remarque
Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.
Protection améliorée des données d’entreprise de niveau 2
Le niveau 2 est la configuration de protection des données recommandée en tant que norme pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ces appareils sont aujourd’hui une cible naturelle au sein des entreprises. Ces recommandations ne supposent pas un grand nombre de professionnels de la sécurité hautement qualifiés et doivent donc être accessibles à la plupart des organisations d’entreprise. Cette configuration s’étend sur la configuration au niveau 1 en limitant les scénarios de transfert de données et en exigeant une version minimale du système d’exploitation.
Les paramètres de stratégie appliqués au niveau 2 incluent tous les paramètres de stratégie recommandés pour le niveau 1. Toutefois, le niveau 2 répertorie uniquement les paramètres qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 1. Bien que ces paramètres puissent avoir un impact légèrement plus élevé sur les utilisateurs ou les applications, ils appliquent un niveau de protection des données plus proportionnel aux risques auxquels sont confrontés les utilisateurs ayant accès aux informations sensibles sur les appareils mobiles.
Protection des données
| Setting | Description du paramètre | Valeur | Plateforme | Notes |
|---|---|---|---|---|
| Transfert de données | Sauvegarder les données de l’organisation sur... | Bloquer | iOS/iPadOS, Android | |
| Transfert de données | Envoyer des données d’organisation à d’autres applications | Applications gérées par la stratégie | iOS/iPadOS, Android | Avec iOS/iPadOS, les administrateurs peuvent configurer cette valeur pour qu’elle soit « Applications gérées par une stratégie », « Applications gérées par une stratégie avec partage de système d’exploitation » ou « Applications gérées par une stratégie avec filtrage Open-In/Share ». Les applications gérées par une stratégie avec partage de système d’exploitation sont disponibles lorsque l’appareil est également inscrit avec Intune. Ce paramètre permet le transfert de données vers d’autres applications gérées par une stratégie et les transferts de fichiers vers d’autres applications gérées par Intune. Les applications gérées par une stratégie avec le filtrage Open-In/Share filtrent les boîtes de dialogue Ouvrir/Partager du système d’exploitation pour afficher uniquement les applications gérées par la stratégie. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS. |
| Transfert de données | Envoyer des données ou à | Aucune destination | Windows | |
| Transfert de données | Recevoir des données de | Aucune source | Windows | |
| Transfert de données | Sélectionner les applications à exclure | Par défaut / skype ; app-settings ; calshow ; itms ; itmss ; itms-apps ; itms-appss ; itms-services ; | iOS/iPadOS | |
| Transfert de données | Enregistrer des copies des données d’organisation | Bloquer | iOS/iPadOS, Android | |
| Transfert de données | Autoriser les utilisateurs à enregistrer des copies dans les services sélectionnés | OneDrive Entreprise, SharePoint Online, Photothèque | iOS/iPadOS, Android | |
| Transfert de données | Transférer les données de télécommunications vers | Toute application de numérotation | iOS/iPadOS, Android | |
| Transfert de données | Restreindre les opérations couper, copier et coller entre les applications | Applications gérées par une stratégie avec collage | iOS/iPadOS, Android | |
| Transfert de données | Autoriser les opérations couper, copier et coller pour | Aucune destination ou source | Windows | |
| Transfert de données | Capture d’écran et Assistant Google | Bloquer | Android | |
| Les fonctionnalités | Limiter le transfert de contenu web avec d'autres applications | Microsoft Edge | iOS/iPadOS, Android | |
| Les fonctionnalités | Notifications de données de l’organisation | Bloquer les données d’organisation | iOS/iPadOS, Android | Pour obtenir la liste des applications qui prennent en charge ce paramètre, consultez Paramètres de stratégie de protection des applications iOS et Paramètres de stratégie de protection des applications Android. |
Lancement conditionnel
| Setting | Description du paramètre | Valeur /Action | Plateforme | Notes |
|---|---|---|---|---|
| Conditions de l’application | Compte désactivé | N/A / Bloquer l’accès | iOS/iPadOS, Android, Windows | |
| Conditions de l’appareil | Version min. de l’OS | Format : Major.Minor.Build Exemple : 14.8 / Bloquer l’accès |
iOS/iPadOS | Microsoft recommande de configurer la version principale iOS minimale pour qu’elle corresponde aux versions iOS prises en charge pour les applications Microsoft. Les applications Microsoft prennent en charge une approche N-1 où N est la version actuelle de la version principale d’iOS. Pour les valeurs de version mineure et de build, Microsoft recommande de s’assurer que les appareils sont à jour avec les mises à jour de sécurité respectives. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple |
| Conditions de l’appareil | Version min. de l’OS | Format : Major.Minor Exemple : 9.0 / Bloquer l’accès |
Android | Microsoft recommande de configurer la version principale Android minimale pour qu’elle corresponde aux versions Android prises en charge pour les applications Microsoft. Les OEM et les appareils qui adhèrent aux spécifications recommandées pour Android Enterprise doivent prendre en charge la version d’expédition actuelle + mise à niveau d’une lettre. Android recommande actuellement Android 9.0 et versions ultérieures pour les travailleurs du savoir. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android |
| Conditions de l’appareil | Version min. de l’OS | Format : Build Exemple : 10.0.22621.2506 / Bloquer l’accès |
Windows | Microsoft recommande de configurer la build Windows minimale pour qu’elle corresponde aux versions de Windows prises en charge pour les applications Microsoft. Actuellement, Microsoft recommande ce qui suit :
|
| Conditions de l’appareil | Version minimale du correctif | Format : AAAA-MM-JJ Exemple : 2020-01-01 / Bloquer l’accès |
Android | Les appareils Android peuvent recevoir des correctifs de sécurité mensuels, mais la version dépend des OEM et/ou des opérateurs. Les organisations doivent s’assurer que les appareils Android déployés reçoivent des mises à jour de sécurité avant d’implémenter ce paramètre. Consultez les bulletins de sécurité Android pour connaître les dernières versions des correctifs. |
| Conditions de l’appareil | Type d’évaluation SafetyNet requis | Clé sauvegardée sur matériel | Android | L’attestation basée sur le matériel améliore la case activée du service d’intégrité play de Google existant en appliquant un nouveau type d’évaluation appelé Hardware Backed, fournissant une détection racine plus robuste en réponse à des types plus récents d’outils et de méthodes de rootage qui ne peuvent pas toujours être détectés de manière fiable par une solution logicielle uniquement. Comme son nom l’indique, l’attestation basée sur le matériel utilise un composant matériel, fourni avec les appareils installés avec Android 8.1 et versions ultérieures. Les appareils qui ont été mis à niveau à partir d’une version antérieure d’Android vers Android 8.1 ont peu de chances de disposer des composants basés sur le matériel nécessaires à l’attestation basée sur le matériel. Bien que ce paramètre soit largement pris en charge à partir des appareils livrés avec Android 8.1, Microsoft recommande vivement de tester les appareils individuellement avant d’activer largement ce paramètre de stratégie. |
| Conditions de l’appareil | Exiger le verrouillage de l’appareil | Accès intermédiaire/bloqué | Android | Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales. |
| Conditions de l’appareil | Attestation d’appareil Samsung Knox | Bloquer l’accès | Android | Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Bloquer l’accès pour garantir que l’accès au compte d’utilisateur est bloqué si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain. Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune. |
| Conditions de l’application | Période de grâce hors connexion | 21 / Réinitialiser les données (jours) | Windows |
Remarque
Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.
Protection élevée des données d’entreprise de niveau 3
Le niveau 3 est la configuration de protection des données recommandée en tant que norme pour les organisations disposant d’organisations de sécurité de grande taille et sophistiquées, ou pour des utilisateurs et des groupes spécifiques qui seront ciblés de manière unique par des adversaires. Ces organisations sont généralement ciblées par des adversaires bien financés et sophistiqués, et à ce titre méritent les contraintes et les contrôles supplémentaires décrits. Cette configuration s’étend sur la configuration au niveau 2 en limitant les scénarios de transfert de données supplémentaires, en augmentant la complexité de la configuration du code confidentiel et en ajoutant la détection des menaces mobiles.
Les paramètres de stratégie appliqués au niveau 3 incluent tous les paramètres de stratégie recommandés pour le niveau 2, mais ne répertorient que les paramètres ci-dessous qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 2. Ces paramètres de stratégie peuvent avoir un impact potentiellement significatif sur les utilisateurs ou les applications, en appliquant un niveau de sécurité proportionnel aux risques auxquels sont confrontées les organisations ciblées.
Protection des données
| Setting | Description du paramètre | Valeur | Plateforme | Notes |
|---|---|---|---|---|
| Transfert de données | Transférer les données de télécommunications vers | N’importe quelle application de numérotation gérée par une stratégie | Android | Les administrateurs peuvent également configurer ce paramètre pour utiliser une application de numéroteur qui ne prend pas en charge les stratégies de protection des applications en sélectionnant Une application de numéroteur spécifique et en fournissant les valeurs ID du package d’application du numéroteur et Nom de l’application du numéroteur . |
| Transfert de données | Transférer les données de télécommunications vers | Une application de numéroteur spécifique | iOS/iPadOS | |
| Transfert de données | Schéma d’URL de l’application de numéroteur | replace_with_dialer_app_url_scheme | iOS/iPadOS | Sur iOS/iPadOS, cette valeur doit être remplacée par le schéma d’URL de l’application de numérotation personnalisée utilisée. Si le schéma d’URL n’est pas connu, contactez le développeur de l’application pour plus d’informations. Pour plus d’informations sur les schémas d’URL, consultez Définition d’un schéma d’URL personnalisé pour votre application. |
| Transfert de données | Recevoir des données d’autres applications | Applications gérées par la stratégie | iOS/iPadOS, Android | |
| Transfert de données | Ouvrir les données dans les documents d’organisation | Bloquer | iOS/iPadOS, Android | |
| Transfert de données | Permettre aux utilisateurs d'ouvrir les données des services sélectionnés | OneDrive Entreprise, SharePoint, Appareil photo, photothèque | iOS/iPadOS, Android | Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS. |
| Transfert de données | Claviers tiers | Bloquer | iOS/iPadOS | Sur iOS/iPadOS, cela empêche tous les claviers tiers de fonctionner dans l’application. |
| Transfert de données | Claviers approuvés | Require (Rendre obligatoire) | Android | |
| Transfert de données | Sélectionner les claviers à approuver | ajouter/supprimer des claviers | Android | Avec Android, les claviers doivent être sélectionnés pour être utilisés en fonction de vos appareils Android déployés. |
| Les fonctionnalités | Imprimer des données d’organisation | Bloquer | iOS/iPadOS, Android, Windows |
Condition d’accès
| Setting | Valeur | Plateforme |
|---|---|---|
| Code confidentiel simple | Bloquer | iOS/iPadOS, Android |
| Sélectionnez Longueur minimale du code confidentiel | 6 | iOS/iPadOS, Android |
| Réinitialisation du code PIN au bout d’un nombre de jours | Oui | iOS/iPadOS, Android |
| Nombre de jours | 365 | iOS/iPadOS, Android |
| Biométrie de classe 3 (Android 9.0+) | Require (Rendre obligatoire) | Android |
| Remplacer la biométrie par un code confidentiel après les mises à jour biométriques | Require (Rendre obligatoire) | Android |
Lancement conditionnel
| Setting | Description du paramètre | Valeur /Action | Plateforme | Notes |
|---|---|---|---|---|
| Conditions de l’appareil | Exiger le verrouillage de l’appareil | Accès élevé/bloqué | Android | Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales. |
| Conditions de l’appareil | Niveau de menace maximal autorisé pour l’appareil | Accès sécurisé/bloquer | Windows | |
| Conditions de l’appareil | Appareils jailbreakés/rootés | N/A / Réinitialiser les données | iOS/iPadOS, Android | |
| Conditions de l’appareil | Niveau de menace maximal autorisé | Accès sécurisé/bloquer | iOS/iPadOS, Android | Les appareils non inscrits peuvent être inspectés pour détecter les menaces à l’aide de Mobile Threat Defense. Pour plus d’informations, consultez Mobile Threat Defense pour les appareils non inscrits. Si l’appareil est inscrit, ce paramètre peut être ignoré au profit du déploiement de Mobile Threat Defense pour les appareils inscrits. Pour plus d’informations, consultez Protection contre les menaces mobiles pour les appareils inscrits. |
| Conditions de l’appareil | Version maximale du système d'exploitation | Format : Major.Minor Exemple : 11.0 / Bloquer l’accès |
Android | Microsoft recommande de configurer la version principale maximale d’Android pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android |
| Conditions de l’appareil | Version maximale du système d'exploitation | Format : Major.Minor.Build Exemple : 15.0 / Bloquer l’accès |
iOS/iPadOS | Microsoft recommande de configurer la version principale maximale d’iOS/iPadOS pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple |
| Conditions de l’appareil | Version maximale du système d'exploitation | Format : Major.Minor Exemple : 22631. / Bloquer l’accès |
Windows | Microsoft recommande de configurer la version principale maximale de Windows pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. |
| Conditions de l’appareil | Attestation d’appareil Samsung Knox | Réinitialiser les données | Android | Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Réinitialiser les données pour s’assurer que les données de l’organisation sont supprimées si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain. Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune. |
Prochaines étapes
Les administrateurs peuvent incorporer les niveaux de configuration ci-dessus dans leur méthodologie de déploiement en anneau à des fins de test et de production en important l’exemple Intune modèles JSON App Protection Policy Configuration Framework avec les scripts PowerShell de Intune.
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour