Paramètres de stratégie de protection des applications Android dans Microsoft Intune.

  • Article

Cet article décrit les paramètres de stratégie de protection des applications pour les appareils Android. Les paramètres de stratégie décrits peuvent être configurés pour une stratégie de protection des applications dans le volet Paramètres du portail. Il existe trois catégories de paramètres de stratégie : les paramètres de protection des données, les exigences d’accès et le lancement conditionnel. Dans cet article, le terme applications gérées par des stratégies fait référence aux applications qui sont configurées avec des stratégies de protection des applications.

Importante

Le Portail d'entreprise Intune est requis sur l’appareil pour recevoir des stratégies de protection des applications pour les appareils Android.

La solution Intune Managed Browser a été retirée. Utilisez Microsoft Edge pour votre expérience de navigation Intune protégée.

Protection des données

Transfert de données

Setting Comment utiliser Valeur par défaut
Sauvegarder des données d’organisation dans des services de sauvegarde Android Sélectionnez Bloquer pour empêcher cette application de sauvegarder des données professionnelles ou scolaires dans le service de sauvegarde Android.

Sélectionnez Autoriser pour autoriser cette application à sauvegarder des données professionnelles ou scolaires.		 Allow
Envoyer des données d’organisation à d’autres applications Spécifiez quelles applications peuvent recevoir des données de cette application :
  • Applications gérées par la stratégie : autoriser le transfert uniquement vers d’autres applications gérées par la stratégie.
  • Toutes les applications : autoriser le transfert vers n’importe quelle application.
  • Aucun : n’autorisez pas le transfert de données vers une application, y compris d’autres applications gérées par une stratégie.

Il existe quelques applications et services exonérés vers lesquels Intune peut autoriser le transfert de données par défaut. En outre, vous pouvez créer vos propres exemptions si vous devez autoriser le transfert de données vers une application qui ne prend pas en charge Intune APP. Pour plus d’informations, consultez Exemptions de transfert de données.

Cette stratégie peut également s’appliquer aux liens d’application Android. Les liens Web généraux sont gérés par le paramètre de stratégie Ouvrir des liens d'application dans le navigateur géré par Intune.

Remarque

Intune ne prend actuellement pas en charge la fonctionnalité Applications instantanées Android. Intune bloquera toute connexion de données vers ou depuis l’application. Pour plus d’informations, consultez Applications instantanées Android dans la documentation android developer.

Si Envoyer des données d’organisation à d’autres applications est configuré sur Toutes les applications, les données texte peuvent toujours être transférées via le partage du système d’exploitation dans le Presse-papiers.

 Toutes les applications
    Sélectionner les applications à exclure
 Cette option est disponible lorsque vous sélectionnez les applications gérées par la stratégie pour l'option précédente.
    Enregistrer des copies des données d’organisation
 Choisissez Bloquer pour interdire l’utilisation de l’option Enregistrer sous dans cette application. Choisissez Autoriser pour autoriser l’utilisation de l’option Enregistrer sous. Quand il est défini sur Bloquer, vous pouvez configurer le paramètre Autoriser l’utilisateur à enregistrer des copies dans une sélection de services.

Remarque :
  • Ce paramètre est pris en charge pour Microsoft Excel, OneNote, PowerPoint, Word et Edge. Il peut également être pris en charge par des applications tierces et métier.
  • Ce paramètre n’est configurable que lorsque le paramètre Envoyer des données d’organisation à d’autres applications est défini sur Applications gérées par la stratégie.
  • Ce paramètre sera « Autoriser » quand le paramètre Envoyer les données d’organisation à d’autres applications est défini sur Toutes les applications.
  • Ce paramètre sera « Bloquer » sans emplacements de service autorisés quand le paramètre Envoyer les données d’organisation à d’autres applications est défini sur Aucune.
Allow
      Autoriser l’utilisateur à enregistrer des copies dans une sélection de services
 Les utilisateurs peuvent enregistrer dans les services sélectionnés (OneDrive Entreprise, SharePoint, Bibliothèque de photos, Box et Stockage local). Tous les autres services seront bloqués. 0 sélectionné
    Transférer des données de télécommunications vers
 En règle générale, lorsqu’un utilisateur sélectionne un numéro de téléphone dans une application, une application de numéroteur s’ouvre avec le numéro de téléphone prérempli et prêt à appeler. Pour ce paramètre, choisissez comment gérer ce type de transfert de contenu lorsqu’il est initié à partir d’une application gérée par une stratégie :
  • Aucun, ne pas transférer ces données entre les applications : ne transférez pas les données de communication lorsqu’un numéro de téléphone est détecté.
  • Une application de numérotation spécifique : Autorisez une application de numérotation spécifique à initier un contact lorsqu'un numéro de téléphone est détecté.
  • N’importe quelle application de numérotation gérée par une stratégie : autorisez toute application de numéroteur géré par une stratégie à lancer un contact lorsqu’un numéro de téléphone est détecté.
  • N'importe quelle application de numérotation: Permet d'utiliser n'importe quelle application de numérotation pour initier un contact lorsqu'un numéro de téléphone est détecté.
 Toute application de numérotation
      ID du package d’application de numéroteur
 Lorsqu’une application de numéroteur spécifique a été sélectionnée, vous devez fournir l’ID du package d’application. Blank
      Nom de l’application du numéroteur
 Lorsqu’une application de numéroteur spécifique a été sélectionnée, vous devez fournir le nom de l’application de numéroteur. Blank
    Transférer des données de messagerie vers
 En règle générale, lorsqu’un utilisateur sélectionne un numéro de téléphone dans une application, une application de numéroteur s’ouvre avec le numéro de téléphone prérempli et prêt à appeler. Pour ce paramètre, choisissez comment gérer ce type de transfert de contenu lorsqu’il est lancé à partir d’une application gérée par une stratégie. Pour ce paramètre, choisissez comment gérer ce type de transfert de contenu lorsqu’il est initié à partir d’une application gérée par une stratégie :
  • Aucun, ne pas transférer ces données entre les applications : ne transférez pas les données de communication lorsqu’un numéro de téléphone est détecté.
  • Une application de messagerie spécifique : autoriser l’utilisation d’une application de messagerie spécifique pour initier un contact lorsqu’un numéro de téléphone est détecté.
  • Toute application de messagerie gérée par une stratégie : autoriser l’utilisation d’une application de messagerie gérée par une stratégie pour initier un contact lorsqu’un numéro de téléphone est détecté.
  • Toute application de messagerie : autoriser l’utilisation d’une application de messagerie pour initier un contact lorsqu’un numéro de téléphone est détecté.
 N’importe quelle application de messagerie
      ID du package d’application de messagerie
 Lorsqu’une application de messagerie spécifique a été sélectionnée, vous devez fournir l’ID du package d’application. Blank
      Nom de l’application de messagerie
 Lorsqu’une application de messagerie spécifique a été sélectionnée, vous devez fournir le nom de l’application de messagerie. Blank
Recevoir des données d’autres applications Spécifiez quelles applications peuvent transférer des données à cette application :
  • Applications gérées par la stratégie : autoriser le transfert uniquement à partir d’autres applications gérées par la stratégie.
  • Toutes les applications : autoriser le transfert de données à partir de n’importe quelle application.
  • Aucun : n’autorisez pas le transfert de données à partir d’une application, y compris d’autres applications gérées par une stratégie.

Il existe certaines applications et services exemptés à partir desquels Intune peuvent autoriser le transfert de données. Pour obtenir la liste complète des applications et services, consultez Exemptions de transfert de données.

 Toutes les applications
    Ouvrir les données dans les documents d’organisation
 Sélectionnez Bloquer pour désactiver l’utilisation de l’option Ouvrir ou d’autres options pour partager les données entre les comptes de cette application. Sélectionnez Autoriser si vous voulez autoriser l’utilisation de l’option Ouvrir.

Quand la valeur Bloquer est sélectionnée, vous pouvez configurer le paramètre Autoriser les utilisateurs à ouvrir des données à partir des services sélectionnés pour spécifier les services autorisés pour les emplacements de données d’organisation.

Remarque :
  • Ce paramètre peut être configuré uniquement quand le paramètre Recevoir des données d’autres applications est défini sur Applications gérées par la stratégie.
  • Ce paramètre est « Autoriser » lorsque le paramètre Recevoir des données d’autres applications est défini sur Toutes les applications.
  • Ce paramètre est « Bloquer » sans emplacement de service autorisé quand le paramètre Recevoir des données d’autres applications est défini sur Aucune.
  • Les applications suivantes prennent en charge ce paramètre :
    • OneDrive 6.14.1 ou version ultérieure.
    • Outlook pour Android 4.2039.2 ou version ultérieure.
    • Teams pour Android 1416/1.0.0.2021173701 ou version ultérieure.

Allow
      Permettre aux utilisateurs d'ouvrir les données des services sélectionnés
 Sélectionnez les services de stockage d’applications à partir desquels les utilisateurs peuvent ouvrir des données. Tous les autres services sont bloqués. La sélection d’aucun service empêche les utilisateurs d’ouvrir des données.

Services pris en charge :
  • OneDrive Entreprise
  • SharePoint Online
  • Appareil photo
  • Photothèque
Note: L’appareil photo n’inclut pas l’accès aux photos ou à la galerie de photos. Lorsque vous sélectionnez Bibliothèque de photos (inclut l’outil Sélecteur de photos d’Android) dans le paramètre Autoriser les utilisateurs à ouvrir les données des services sélectionnés dans Intune, vous pouvez autoriser les comptes gérés à autoriser les images/vidéos entrantes du stockage local de leur appareil à leurs applications gérées.		 Tous sélectionnés
Restreindre les opérations de coupe, de copie et de collage entre d'autres applications Indiquez quand les actions couper, copier et coller peuvent être utilisées avec cette application. Choisissez parmi les autorisations suivantes :
  • Bloqué : n’autorisez pas les actions couper, copier et coller entre cette application et toute autre application.
  • Applications gérées par des stratégies : permet de couper, copier et coller des actions entre cette application et d'autres applications gérées par des stratégies.
  • Applications gérées par la stratégie avec Coller dans : autoriser les actions couper et copier entre cette application et les autres applications gérées par la stratégie. Autoriser le collage dans cette application de données à partir de n'importe quelle application.
  • N’importe quelle application : Aucune restriction pour couper, copier et coller depuis et vers cette application.
 N’importe quelle application
    Limite du nombre de caractères à couper/copier pour toutes les applications
 Spécifiez le nombre de caractères qui peuvent être coupés ou copiés à partir des données et des comptes de l’organisation. Cela permet de partager le nombre de caractères spécifié lorsqu’il serait autrement bloqué par le paramètre « Restreindre couper, copier et coller avec d’autres applications ».

Valeur par défaut = 0

Remarque : nécessite Portail d'entreprise Intune version 5.0.4364.0 ou ultérieure.

 0
Capture d’écran et Assistant Google Sélectionnez Bloquer pour bloquer la capture d’écran et bloquer l’accès de l’Assistant Google aux données de l’organisation sur l’appareil lors de l’utilisation de cette application. Le choix de Bloquer flout également l’image d’aperçu du commutateur d’application lors de l’utilisation de cette application avec un compte professionnel ou scolaire.

Remarque : l’Assistant Google peut être accessible aux utilisateurs pour les scénarios qui n’accèdent pas aux données de l’organisation.

 Bloquer
Claviers approuvés Sélectionnez Exiger , puis spécifiez une liste de claviers approuvés pour cette stratégie.

Les utilisateurs qui n’utilisent pas de clavier approuvé reçoivent une invite pour télécharger et installer un clavier approuvé avant de pouvoir utiliser l’application protégée. Ce paramètre nécessite que l’application dispose du sdk Intune pour Android version 6.2.0 ou ultérieure.

 Non requis
    Sélectionner les claviers à approuver
 Cette option est disponible lorsque vous sélectionnez Exiger pour l’option précédente. Choisissez Sélectionner pour gérer la liste des claviers et des méthodes d’entrée qui peuvent être utilisés avec les applications protégées par cette stratégie. Vous pouvez ajouter des claviers supplémentaires à la liste et supprimer l’une des options par défaut. Vous devez disposer d’au moins un clavier approuvé pour enregistrer le paramètre. Au fil du temps, Microsoft peut ajouter des claviers supplémentaires à la liste pour les nouvelles stratégies de protection des applications, ce qui oblige les administrateurs à examiner et à mettre à jour les stratégies existantes en fonction des besoins.

Pour ajouter un clavier, spécifiez :

  • Nom : nom convivial qui identifie le clavier et qui est visible par l’utilisateur.
  • ID de package : ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est https://play.google.com/store/details?id=com.contoskeyboard.android.prod, l’ID de package est com.contosokeyboard.android.prod. Cet ID de package est présenté à l’utilisateur sous la forme d’un lien simple pour télécharger le clavier à partir de Google Play.

Note: Un utilisateur affecté à plusieurs stratégies de protection des applications sera autorisé à utiliser uniquement les claviers approuvés communs à toutes les stratégies.

Chiffrement

Setting Comment utiliser Valeur par défaut
Chiffrer les données d’organisation Choisissez Exiger pour activer le chiffrement des données professionnelles ou scolaires dans cette application. Intune utilise un schéma de chiffrement AES wolfSSL 256 bits, ainsi que le système Android Keystore pour chiffrer en toute sécurité les données d’application. Les données sont chiffrées de manière synchrone pendant les tâches d’E/S de fichier. Le contenu sur le stockage de l’appareil est toujours chiffré. Les nouveaux fichiers seront chiffrés avec des clés 256 bits. Les fichiers chiffrés 128 bits existants font l’objet d’une tentative de migration vers des clés 256 bits, mais le processus n’est pas garanti. Les fichiers chiffrés avec des clés 128 bits restent lisibles.

La méthode de chiffrement est validée FIPS 140-2 ; Pour plus d’informations, consultez wolfCrypt FIPS 140-2 et FIPS 140-3.		 Require (Rendre obligatoire)
    Chiffrer les données d’organisation sur les appareils inscrits
 Sélectionnez Exiger pour appliquer le chiffrement des données d’organisation avec Intune chiffrement de la couche application sur tous les appareils. Sélectionnez Non obligatoire pour ne pas appliquer le chiffrement des données d’organisation avec Intune chiffrement de la couche application sur les appareils inscrits. Require (Rendre obligatoire)

Les fonctionnalités

Setting Comment utiliser Valeur par défaut
Synchronisation des données des applications gérées par stratégie avec des applications natives ou des compléments Choisissez Bloquer pour empêcher les applications gérées par une stratégie d’enregistrer des données dans les applications natives de l’appareil (contacts, calendrier et widgets) et pour empêcher l’utilisation de compléments dans les applications gérées par la stratégie. S’il n’est pas pris en charge par l’application, l’enregistrement des données dans les applications natives et l’utilisation de compléments sont autorisés.

Si vous choisissez Autoriser, l’application gérée par la stratégie peut enregistrer des données dans les applications natives ou utiliser des compléments, si ces fonctionnalités sont prises en charge et activées dans l’application gérée par la stratégie.

Les applications peuvent fournir des contrôles supplémentaires pour personnaliser le comportement de synchronisation des données sur des applications natives spécifiques ou ne pas respecter ce contrôle.

Remarque : Lorsque vous effectuez une réinitialisation sélective pour supprimer des données professionnelles ou scolaires de l’application, les données synchronisées directement de l’application gérée par la stratégie vers l’application native sont supprimées. Les données synchronisées de l’application native vers une autre source externe ne seront pas réinitialisées.

Remarque : Les applications suivantes prennent en charge cette fonctionnalité :		 Allow
Impression des données de l'Org Choisissez Bloquer pour empêcher l’application d’imprimer des données professionnelles ou scolaires. Si vous conservez ce paramètre Autoriser (valeur par défaut), les utilisateurs peuvent exporter et imprimer toutes les données de l’organisation. Allow
Limiter le transfert de contenu web avec d'autres applications Spécifiez comment le contenu web (liens http/https) est ouvert à partir d’applications gérées par la stratégie. Choisissez parmi les autorisations suivantes :
  • N’importe quelle application : Autorisez les liens web dans toutes les applications.
  • Intune Managed Browser: permet au contenu web de s'ouvrir uniquement dans l' Intune Managed Browser. Ce navigateur est un navigateur géré par des stratégies.
  • Microsoft Edge: Autorisez le contenu Web à s'ouvrir uniquement dans Microsoft Edge. Ce navigateur est un navigateur géré par des stratégies.
  • Navigateur non géré : permet au contenu web de s'ouvrir uniquement dans le navigateur non géré défini par le paramètre de protocole de navigateur non géré. Le contenu web ne sera pas géré dans le navigateur cible.
    Remarque : nécessite Portail d'entreprise Intune version 5.0.4415.0 ou ultérieure.


    • Navigateurs gérés par une stratégie
    Sur Android, vos utilisateurs finaux peuvent choisir parmi d’autres applications gérées par une stratégie qui prennent en charge les liens http/https si ni Intune Managed Browser ni Microsoft Edge n’est installé.

    Si un navigateur géré par des règles est requis mais n'est pas installé, vos utilisateurs finaux seront invités à installer le Microsoft Edge.

    Si un navigateur géré par une stratégie est requis, les liens d’application Android sont gérés par le paramètre de stratégie Autoriser l’application à transférer des données vers d’autres applications .

    Inscription d’appareils dans Intune
    Si vous utilisez Intune pour gérer vos appareils, consultez Gérer l’accès à Internet à l’aide de stratégies managed browser avec Microsoft Intune.

    Microsoft Edge géré par une stratégie
    Le navigateur Microsoft Edge pour les appareils mobiles (iOS/iPadOS et Android) prend en charge les stratégies de protection des applications Intune. Les utilisateurs qui se connectent avec leur compte de Microsoft Entra d’entreprise dans l’application de navigateur Microsoft Edge sont protégés par Intune. Le navigateur Microsoft Edge intègre le Kit de développement logiciel (SDK) d’application et prend en charge toutes ses stratégies de protection des données, à l’exception de la prévention :

    • Enregistrer sous : le navigateur Microsoft Edge n’autorise pas un utilisateur à ajouter des connexions directes dans l’application à des fournisseurs de stockage cloud (tels que OneDrive).
    • Synchronisation des contacts : le navigateur Microsoft Edge n’est pas enregistré dans les listes de contacts natives.
    Remarque :Le KIT de développement logiciel (SDK) d’application ne peut pas déterminer si une application cible est un navigateur. Sur les appareils Android, d’autres applications de navigateur géré qui prennent en charge l’intention http/https sont autorisées.
 Non configuré
    ID de navigateur non géré
 Entrez l’ID d’application d’un seul navigateur. Le contenu web (liens http/https) des applications gérées par la stratégie s’ouvre dans le navigateur spécifié. Le contenu web ne sera pas géré dans le navigateur cible. Blank
    Nom du navigateur non géré
 Entrez le nom de l’application pour le navigateur associé à l’ID de navigateur non managé. Ce nom s’affiche aux utilisateurs si le navigateur spécifié n’est pas installé. Blank
Notifications de données de l’organisation Spécifiez la quantité de données d’organisation partagées via les notifications du système d’exploitation pour les comptes d’organisation. Ce paramètre de stratégie aura un impact sur l'appareil local et tous les appareils connectés tels que les wearables et les enceintes intelligentes. Les applications peuvent fournir des contrôles supplémentaires pour personnaliser le comportement en matière de notifications ou choisir de ne pas honorer toutes les valeurs. Sélectionnez parmi :
  • Bloquer : ne partagez pas de notifications.
    • S'il n'est pas pris en charge par l'application, les notifications seront autorisées.
  • Bloquer les données d’organisation : ne partagez pas de données d’organisation dans les notifications. Par exemple, « Vous avez un nouveau courrier » ; « Vous avez une réunion ».
    • S'il n'est pas pris en charge par l'application, les notifications seront bloquées.
  • Autoriser : partage des données d’organisation dans les notifications

Remarque : Ce paramètre nécessite la prise en charge de l’application :

  • Outlook pour Android 4.0.95 ou version ultérieure
  • Teams pour Android 1416/1.0.0.2020092202 ou version ultérieure.
 Allow

Exemptions pour le transfert de données

Il existe des applications et des services de plateforme exemptés qui Intune stratégies de protection des applications autorisent le transfert de données vers et depuis. Par exemple, toutes les applications gérées par Intune sur Android doivent être en mesure de transférer des données vers et depuis la synthèse vocale Google, afin que le texte de l’écran de votre appareil mobile puisse être lu à voix haute. Cette liste est susceptible d'être modifiée et reflète les services et les applications considérés comme utiles pour une productivité sécurisée.

Exemptions complètes

Ces applications et services sont entièrement autorisés pour le transfert de données vers et depuis des applications gérées par Intune.

Nom de l’application/du service Description
com.android.phone Application de téléphone native
com.android.vending Google Play Store
com.google.android.webview WebView, qui est nécessaire pour de nombreuses applications, y compris Outlook.
com.android.webview Webview, qui est nécessaire pour de nombreuses applications, y compris Outlook.
com.google.android.tts Synthèse vocale Google
com.android.providers.settings Paramètres système Android
com.android.settings Paramètres système Android
com.azure.authenticator Application Azure Authenticator, qui est nécessaire pour une authentification réussie dans de nombreux scénarios.
com.microsoft.windowsintune.companyportal Portail d’entreprise Intune

Exemptions conditionnelles

Ces applications et services sont uniquement autorisés pour le transfert de données vers et depuis des applications gérées par Intune sous certaines conditions.

Nom de l’application/du service Description Condition d’exemption
com.android.chrome Le navigateur Google Chrome Chrome est utilisé pour certains composants WebView sur Android 7.0+ et n’est jamais masqué. Toutefois, le flux de données vers et depuis l’application est toujours limité.
com.skype.raider Skype L’application Skype est autorisée uniquement pour certaines actions qui entraînent un appel téléphonique.
com.android.providers.media Fournisseur de contenu multimédia Android Fournisseur de contenu multimédia autorisé uniquement pour l’action de sélection de sonnerie.
com.google.android.gms ; com.google.android.gsf Packages Google Play Services Ces packages sont autorisés pour les actions Google Cloud Messaging, telles que les notifications Push.
com.google.android.apps.maps Google Maps Les adresses sont autorisées pour la navigation.
com.android.documentsui Sélecteur de documents Android Autorisé lors de l’ouverture ou de la création d’un fichier.
com.google.android.documentsui Sélecteur de documents Android (Android 10+) Autorisé lors de l’ouverture ou de la création d’un fichier.

Pour plus d’informations, consultez Exceptions de stratégie de transfert de données pour les applications.

Condition d’accès

Setting Comment utiliser
Accès par code PIN Sélectionnez Exiger pour imposer l’utilisation d’un code PIN avec cette application. L'utilisateur est invité à configurer ce code PIN la première fois qu'il utilise l'application dans un contexte professionnel ou scolaire.

Valeur par défaut = Exiger

Vous pouvez configurer la puissance du code confidentiel à l’aide des paramètres disponibles dans la section Accès par code PIN.

Note: Les utilisateurs finaux autorisés à accéder à l’application peuvent réinitialiser le code confidentiel de l’application. Ce paramètre peut ne pas être visible dans certains cas sur les appareils Android. Les appareils Android ont une limite maximale de quatre raccourcis disponibles. Lorsque la valeur maximale a été atteinte, l’utilisateur final doit supprimer tous les raccourcis personnalisés (ou accéder au raccourci à partir d’une autre vue d’application gérée) pour afficher le raccourci de réinitialisation du code confidentiel de l’application. L’utilisateur final peut également épingler le raccourci à sa page d’accueil.

    Type de code confidentiel
 Imposez l'utilisation de codes PIN numériques ou de codes de passe avant d'accéder à une application à laquelle des stratégies de protection des applications sont appliquées. Les exigences numériques ne concernent que des chiffres, tandis qu'un code de passe peut être défini avec au moins une lettre alphabétique ou au moins un caractère spécial.

Valeur par défaut = Numérique

Note: Les caractères spéciaux autorisés incluent les caractères spéciaux et les symboles du clavier Android en langue anglaise.
    Code confidentiel simple
 Sélectionnez Autoriser pour permettre aux utilisateurs d’utiliser des séquences de code confidentiel simples comme 1234, 1111, abcd ou aaaa. Sélectionnez Blocs pour les empêcher d’utiliser des séquences simples. Les séquences simples sont vérifiées dans des fenêtres coulissantes de 3 caractères. Si l’option Bloquer est configurée, 1235 ou 1112 ne serait pas acceptée comme code confidentiel défini par l’utilisateur final, mais 1122 serait autorisé.

Valeur par défaut = Autoriser

Note: Si le code CONFIDENTIEL du type de code secret est configuré et que le code PIN simple est défini sur Autoriser, l’utilisateur a besoin d’au moins une lettre ou d’au moins un caractère spécial dans son code confidentiel. Si le code confidentiel du type de code secret est configuré et que le code CONFIDENTIEL simple est défini sur Bloquer, l’utilisateur a besoin d’au moins un chiffre et d’une lettre et d’au moins un caractère spécial dans son code confidentiel.
    Sélectionner la longueur minimale du code confidentiel
 Spécifiez le nombre minimum de chiffres dans une séquence PIN.

Valeur par défaut = 4
    Biométrie au lieu du code pin pour l’accès
 Sélectionnez Autoriser pour permettre à l’utilisateur d’utiliser la biométrie pour authentifier les utilisateurs sur des appareils Android. Si elle est autorisée, la biométrie est utilisée pour accéder à l’application sur les appareils Android 10 ou version ultérieure.
    Remplacer la biométrie par un code CONFIDENTIEL après expiration
 Pour utiliser ce paramètre, sélectionnez Exiger, puis configurez un délai d'inactivité.

Valeur par défaut = Exiger
      Délai d’expiration (minutes d’inactivité)
 Spécifiez une durée en minutes après laquelle un code secret ou un code pin numérique (tel que configuré) remplacera l’utilisation d’un code biométrique. Ce délai doit être supérieur à la valeur spécifiée dans le paragraphe «Revérifier les conditions d'accès après (minutes d'inactivité)».

Valeur par défaut = 30
    Biométrie de classe 3 (Android 9.0+)
 Sélectionnez Exiger pour demander à l’utilisateur de se connecter avec la biométrie de classe 3. Pour plus d’informations sur la biométrie de classe 3, consultez Biométrie dans la documentation de Google.
    Remplacer la biométrie par un code confidentiel après les mises à jour biométriques
 Sélectionnez Exiger pour remplacer l’utilisation de la biométrie par un code confidentiel lorsqu’une modification de la biométrie est détectée.

REMARQUE :
Ce paramètre prend effet uniquement une fois qu’une biométrie a été utilisée pour accéder à l’application. Selon le fabricant de l’appareil Android, certaines formes de biométrie peuvent ne pas être prises en charge pour les opérations de chiffrement. Actuellement, les opérations de chiffrement sont prises en charge pour toutes les données biométriques (par exemple, empreinte digitale, iris ou visage) sur l’appareil qui répondent ou dépassent les exigences de la biométrie de classe 3, telles que définies dans la documentation Android. Consultez la BIOMETRIC_STRONG constante de l’interface BiometricManager.Authenticators et la authenticate méthode de la classe BiometricPrompt . Vous devrez peut-être contacter le fabricant de votre appareil pour comprendre les limitations spécifiques à l’appareil.
    Réinitialisation du code PIN au bout d’un nombre de jours
 Sélectionnez Oui pour demander aux utilisateurs de changer le code PIN de l'application après une période déterminée, en jours.

Quand la valeur définie est Oui, vous devez alors configurer le nombre de jours au-delà duquel la réinitialisation est exigée.

Valeur par défaut = Non
      Nombre de jours
 Configurez le nombre de jours avant que la réinitialisation du code PIN soit nécessaire.

Valeur par défaut = 90
    Sélectionner le nombre de valeurs de code confidentiel précédentes à conserver
 Ce paramètre spécifie le nombre de codes confidentiels précédents que Intune conserverez. Les nouveaux codes confidentiels doivent être différents de ceux que Intune gère.

Valeur par défaut = 0
    PIN de l'application lorsque le PIN de l'appareil est défini
 Sélectionnez Non obligatoire pour désactiver le code confidentiel de l’application lorsqu’un verrou d’appareil est détecté sur un appareil inscrit avec Portail d'entreprise configuré.

Valeur par défaut = Exiger.
Informations d’identification du compte professionnel ou scolaire pour l’accès Choisissez Exiger pour demander à l’utilisateur de se connecter avec son compte professionnel ou scolaire au lieu d’entrer un code confidentiel pour l’accès à l’application. Lorsque la valeur est Exiger et que les invites de code confidentiel ou biométrique sont activées, les informations d’identification de l’entreprise et les invites de code confidentiel ou biométrique s’affichent.

Valeur par défaut = Non obligatoire
Revérifier les exigences d’accès après (minutes d’inactivité) Configurez le paramètre suivant :
  • Délai d’expiration : il s’agit du nombre de minutes avant que les exigences d’accès (définies précédemment dans la stratégie) soient revérifier. Par exemple, un administrateur active l'option PIN et bloque les appareils enracinés dans la politique, un utilisateur ouvre une application gérée par Intune, doit saisir un PIN et doit utiliser l'application sur un appareil non enraciné. Lors de l’utilisation de ce paramètre, l’utilisateur n’a pas besoin d’entrer un code confidentiel ou de subir une autre case activée de détection racine sur une application gérée par Intune pendant une période égale à la valeur configurée.

    Ce format de définition de stratégie prend en charge un nombre entier positif.

    Valeur par défaut = 30 minutes

    Note: Sur Android, le code confidentiel est partagé avec toutes les applications gérées par Intune. Le minuteur du code confidentiel est réinitialisé une fois que l’application quitte le premier plan sur l’appareil. L’utilisateur n’a pas besoin d’entrer un code confidentiel sur une application gérée par Intune qui partage son code confidentiel pendant la durée du délai d’expiration défini dans ce paramètre.

Remarque

Pour en savoir plus sur la façon dont plusieurs paramètres de protection des applications Intune configurés dans la section Accès au même ensemble d’applications et d’utilisateurs fonctionnent sur Android, consultez Intune forum aux questions mam et Réinitialiser de manière sélective les données à l’aide d’actions d’accès de stratégie de protection des applications dans Intune.

Lancement conditionnel

Configurez les paramètres de lancement conditionnel pour définir les exigences de sécurité de connexion pour votre stratégie de protection des applications.

Par défaut, plusieurs paramètres sont fournis avec des valeurs et des actions préconfigurées. Vous pouvez supprimer certains paramètres, comme la version minimale du système d’exploitation. Vous pouvez également sélectionner des paramètres supplémentaires dans la liste déroulante Sélectionner un.

Conditions de l’application

Setting Comment utiliser
Tentatives de code PIN maximum Indiquez le nombre d'essais que l'utilisateur doit effectuer pour réussir à saisir son code PIN avant que l'action configurée ne soit exécutée. Si l’utilisateur ne parvient pas à entrer son code confidentiel après le nombre maximal de tentatives de code confidentiel, l’utilisateur doit réinitialiser son code confidentiel après s’être connecté à son compte et avoir effectué une demande d’authentification multifacteur (MFA) si nécessaire. Ce format de définition de stratégie prend en charge un nombre entier positif.

Les actions comprennent :

  • Réinitialiser le code PIN : l’utilisateur doit réinitialiser son code PIN.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Valeur par défaut = 5
Période de grâce hors connexion Nombre de minutes pendant lesquelles les applications gérées peuvent s’exécuter hors connexion. Indiquez le délai (en minutes) avant que les conditions d'accès à l'application ne soient vérifiées à nouveau.

Les actions comprennent :

  • Bloquer l’accès (minutes) : nombre de minutes pendant lesquelles les applications gérées peuvent s’exécuter hors connexion. Indiquez le délai (en minutes) avant que les conditions d'accès à l'application ne soient vérifiées à nouveau. Une fois cette période expirée, l’application nécessite l’authentification de l’utilisateur pour Microsoft Entra ID afin que l’application puisse continuer à s’exécuter.

    Ce format de définition de stratégie prend en charge un nombre entier positif.

    Valeur par défaut = 1 440 minutes (24 heures)

    Note: La configuration du minuteur de période de grâce hors connexion pour bloquer l’accès à une valeur inférieure à la valeur par défaut peut entraîner des interruptions utilisateur plus fréquentes à mesure que la stratégie est actualisée. Le choix d’une valeur inférieure à 30 minutes n’est pas recommandé, car il peut entraîner des interruptions utilisateur à chaque lancement ou reprise de l’application.
  • Effacer les données (jours)– Après ce nombre de jours (défini par l'administrateur) de fonctionnement hors ligne, l'application demandera à l'utilisateur de se connecter au réseau et de se réauthentifier. Si l'utilisateur s'authentifie avec succès, il peut continuer à accéder à ses données et l'intervalle hors ligne sera réinitialisé. Si l’utilisateur ne parvient pas à s’authentifier, l’application effectue une réinitialisation sélective du compte et des données de l’utilisateur. Pour plus d’informations, consultez Comment réinitialiser uniquement les données d’entreprise à partir d’applications gérées par Intune. Ce format de définition de stratégie prend en charge un nombre entier positif.

    Valeur par défaut = 90 jours
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.
Version minimale de l'application Spécifiez une valeur pour la valeur minimale de la version de l’application.

Les actions comprennent :

  • Avertissement – L'utilisateur reçoit une notification si la version de l'application sur l'appareil ne répond pas aux exigences. Cette notification peut être rejetée.
  • Bloquer l'accès – L'accès de l'utilisateur est bloqué si la version de l'application sur l'appareil ne répond pas aux exigences.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Comme les applications ont souvent des schémas de version distincts, créez une stratégie avec une version d'application minimale ciblant une application (par exemple, la stratégie de version d'Outlook).

Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.

Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision.

En outre, vous pouvez configurer l'endroit vos utilisateurs finaux peuvent obtenir une version mise à jour d'une application de ligne d'affaires (LOB). Les utilisateurs finaux le verront dans la boîte de dialogue de lancement conditionnel de la version minimale de l'application, qui les invitera à mettre à jour la version minimale de l'application LOB. Sur Android, cette fonctionnalité utilise le Portail d'entreprise. Pour configurer l'endroit où un utilisateur final doit mettre à jour une application LOB, l'application a besoin d'une stratégie de configuration des applications gérées qui lui est envoyée avec la clé,com.microsoft.intune.myappstore . La valeur envoyée définira le magasin à partir duquel l'utilisateur final téléchargera l'application. Si l’application est déployée via le Portail d’entreprise, la valeur doit être CompanyPortal. Pour tout autre magasin, vous devez saisir une URL complète.
Compte désactivé Il n'y a pas de valeur à définir pour ce paramètre.

Les actions comprennent :

  • Bloquer l’accès : l’accès de l’utilisateur est bloqué, car son compte a été désactivé.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.

Conditions de l’appareil

Setting Comment utiliser
Appareils jailbreakés/rootés Spécifiez s’il faut bloquer l’accès à l’appareil ou réinitialiser les données de l’appareil pour les appareils jailbreakés/rootés. Les actions comprennent :
  • Bloquer l'accès – Empêcher cette application de fonctionner sur les appareils jailbreakés ou enracinés. L’utilisateur continue d’être en mesure d’utiliser cette application pour des tâches personnelles, mais devra utiliser un autre appareil pour accéder aux données professionnelles ou scolaires dans cette application.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Version min. de l’OS Spécifiez un système d’exploitation Android minimal requis pour utiliser cette application. Les versions du système d’exploitation situées sous la version minimale de système d’exploitation spécifiée déclenchent les actions. Les actions comprennent :
  • Avertir : l’utilisateur verra une notification si la version d’Android sur l’appareil ne répond pas aux exigences. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version d’Android sur l’appareil ne répond pas à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision.
Version maximale du système d'exploitation Spécifiez un système d’exploitation Android maximal requis pour utiliser cette application. Les versions de système d’exploitation inférieures à la version maximale du système d’exploitation spécifiée déclenchent les actions. Les actions comprennent :
  • Avertir : l’utilisateur verra une notification si la version d’Android sur l’appareil ne répond pas aux exigences. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version d’Android sur l’appareil ne répond pas à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision.
Version minimale du correctif Exiger que les appareils disposent d’un correctif de sécurité Android minimal publié par Google.
  • Avertir : l’utilisateur verra une notification si la version d’Android sur l’appareil ne répond pas aux exigences. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version d’Android sur l’appareil ne répond pas à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Ce paramètre de stratégie prend en charge le format de date AAAA-MM-JJ.
Fabricant(s) d’appareil Spécifiez une liste de fabricants séparés par des points-virgules. Ces valeurs ne sont pas sensibles à la casse. Les actions comprennent :
  • Autoriser spécifié (Bloquer non spécifié) : seuls les appareils qui correspondent au fabricant spécifié peuvent utiliser l’application. Tous les autres appareils sont bloqués.
  • Autorisé spécifié (Effacer non spécifié) – Le compte d'utilisateur associé à l'application est effacé de l'appareil.
Pour plus d'informations sur l'utilisation de ce paramètre, voir Actions de lancement conditionnel.
Verdict d’intégrité de la lecture Protection d'applications stratégies prennent en charge certaines API d’intégrité Google Play. Ce paramètre, en particulier, configure l’case activée d’intégrité de Google sur les appareils des utilisateurs finaux pour valider l’intégrité de ces appareils. Spécifiez l’intégrité de base ou l’intégrité de base et l’intégrité de l’appareil.

L’intégrité de base vous indique l’intégrité générale de l’appareil. Les appareils enracinés, les émulateurs, les appareils virtuels et les appareils présentant des signes d'altération manquent l'intégrité de base. L’intégrité de base & appareils certifiés vous indique la compatibilité de l’appareil avec les services google. Seuls les appareils non modifiés qui ont été certifiés par Google peuvent passer ce contrôle.

Si vous sélectionnez Lire le verdict d’intégrité comme requis pour le lancement conditionnel, vous pouvez spécifier qu’une case activée d’intégrité forte est utilisée comme type d’évaluation. La présence d’une case activée d’intégrité forte comme type d’évaluation indique une plus grande intégrité d’un appareil. Les appareils qui ne prennent pas en charge les vérifications d’intégrité fortes sont bloqués par la stratégie GAM s’ils sont ciblés avec ce paramètre. La forte case activée d’intégrité fournit une détection de racine plus robuste en réponse à des types plus récents d’outils et de méthodes de rootage qui ne peuvent pas toujours être détectés de manière fiable par une solution logicielle uniquement. Dans APP, l’attestation matérielle est activée en définissant le type d’évaluation du verdict de l’intégrité de lecture sur Vérifier l’intégrité forte une fois le verdict d’intégrité de la lecture configuré et le type d’évaluation SafetyNet requissur l’intégrité forte case activée une fois l’intégrité de l’appareil case activée configurée. L’attestation basée sur le matériel s’appuie sur un composant matériel fourni avec les appareils installés avec Android 8.1 et versions ultérieures. Les appareils qui ont été mis à niveau à partir d’une version antérieure d’Android vers Android 8.1 ont peu de chances de disposer des composants basés sur le matériel nécessaires à l’attestation basée sur le matériel. Bien que ce paramètre soit largement pris en charge à partir des appareils livrés avec Android 8.1, Microsoft recommande vivement de tester les appareils individuellement avant d’activer largement ce paramètre de stratégie.

Important: Les appareils qui ne prennent pas en charge ce type d’évaluation sont bloqués ou réinitialisé en fonction de l’action Intégrité de l’appareil case activée. Les organisations qui souhaitent utiliser cette fonctionnalité devront s’assurer que les utilisateurs disposent d’appareils pris en charge. Pour plus d’informations sur les appareils recommandés par Google, consultez Exigences recommandées pour Android Enterprise.

Les actions comprennent :

  • Avertir : l’utilisateur voit une notification si l’appareil ne répond pas aux case activée d’intégrité de l’appareil de Google en fonction de la valeur configurée. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si l’appareil ne répond pas aux case activée d’intégrité de l’appareil de Google en fonction de la valeur configurée.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Pour les questions fréquemment posées sur ce paramètre, consultez Forum aux questions sur la gestion des applications mobiles et la protection des applications.
Exiger l’analyse des menaces sur les applications les stratégies Protection d'applications prennent en charge certaines API de Google Play Protect. Ce paramètre garantit en particulier que l’analyse Vérifier les applications de Google est activée pour les appareils des utilisateurs finaux. Si ce paramètre est configuré, l’utilisateur final se boit bloquer l’accès tant qu’il n’a pas activé l’analyse des applications par Google sur son appareil Android. Les actions comprennent :
  • Avertir : l’utilisateur voit une notification si l’analyse Vérifier les applications de Google sur l’appareil n’est pas activée. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si l’analyse Vérifier les applications de Google sur l’appareil n’est pas activée.
Les résultats de l’analyse Verify Apps de Google sont exposés dans le rapport Applications potentiellement dangereuses de la console.
Type d’évaluation SafetyNet requis L’attestation adossée au matériel améliore le service d’attestation SafetyNet existant case activée. Vous pouvez définir la valeur sur Clé matérielle après avoir défini l’attestation d’appareil SafteyNet.
Exiger le verrouillage de l’appareil Ce paramètre détermine si l’appareil Android dispose d’un code confidentiel d’appareil qui répond à la condition de mot de passe minimal. La stratégie de Protection d'applications peut prendre des mesures si le verrouillage de l’appareil ne répond pas à la condition minimale de mot de passe.

Les valeurs sont les suivantes :

  • Faible complexité
  • Complexité moyenne
  • Complexité élevée

Cette valeur de complexité est destinée à Android 12+. Pour les appareils fonctionnant sur Android 11 et versions antérieures, la définition d’une valeur de complexité faible, moyenne ou élevée est définie par défaut sur le comportement attendu pour La complexité faible. Pour plus d’informations, consultez la documentation des développeurs de Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM et PASSWORD_COMPLEXITY_HIGH.

Les actions comprennent :

  • Avertir : l’utilisateur voit une notification si le verrou de l’appareil ne répond pas à la condition minimale de mot de passe. La notification peut être ignorée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si le verrouillage de l’appareil ne répond pas à la condition de mot de passe minimal.
  • Réinitialiser les données : le compte d’utilisateur associé à l’application est effacé de l’appareil si le verrou de l’appareil ne répond pas à la condition de mot de passe minimal.
Version minimale Portail d'entreprise À l’aide de la version min Portail d'entreprise, vous pouvez spécifier une version minimale définie spécifique de l’Portail d'entreprise qui est appliquée sur un appareil de l’utilisateur final. Ce paramètre de lancement conditionnel vous permet de définir des valeurs sur Bloquer l’accès, Réinitialiser les données et Avertir comme actions possibles lorsque chaque valeur n’est pas remplie. Les formats possibles pour cette valeur suivent le modèle [Majeur].[ Mineur], [Majeur].[ Mineur]. [Build], ou [Major].[ Mineur]. [Build]. [Révision]. Étant donné que certains utilisateurs finaux peuvent ne pas préférer une mise à jour forcée des applications sur place, l’option « avertir » peut être idéale lors de la configuration de ce paramètre. Google Play Store fait un bon travail d’envoyer uniquement les octets delta pour les mises à jour de l’application, mais il peut toujours s’agir d’une grande quantité de données que l’utilisateur peut ne pas vouloir utiliser s’ils se trouvent sur des données au moment de la mise à jour. Forcer une mise à jour et donc télécharger une application mise à jour peut entraîner des frais de données inattendus au moment de la mise à jour. Pour plus d’informations, consultez Paramètres de stratégie Android.
Âge maximal de la version Portail d'entreprise (jours) Vous pouvez définir un nombre maximal de jours comme l’âge de la version Portail d'entreprise (CP) pour les appareils Android. Ce paramètre garantit que les utilisateurs finaux se trouvent dans une certaine plage de versions cp (en jours). La valeur doit être comprise entre 0 et 365 jours. Lorsque le paramètre des appareils n’est pas respecté, l’action de ce paramètre est déclenchée. Les actions incluent Bloquer l’accès, Réinitialiser les données ou Avertir. Pour plus d’informations, consultez Paramètres de stratégie Android. Note: L’âge de la build Portail d'entreprise est déterminé par Google Play sur l’appareil de l’utilisateur final.
Attestation d’appareil Samsung Knox Spécifiez si le case activée d’attestation d’appareil Samsung Knox est requis. Seuls les appareils non modifiés qui ont été vérifiés par Samsung peuvent passer cette case activée. Pour obtenir la liste des appareils pris en charge, consultez samsungknox.com.

À l’aide de ce paramètre, Microsoft Intune vérifiez également que la communication entre le Portail d'entreprise et le service Intune a été envoyée à partir d’un appareil sain.

Les actions comprennent :
  • Avertir : l’utilisateur voit une notification si l’appareil ne répond pas aux case activée d’attestation de l’appareil Samsung Knox. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès au compte d’utilisateur est bloqué si l’appareil ne répond pas aux case activée d’attestation d’appareil Knox de Samsung.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.

Note: L’utilisateur doit accepter les conditions Samsung Knox avant que l’attestation d’appareil case activée puisse être effectuée. Si l’utilisateur n’accepte pas les termes de Samsung Knox, l’action spécifiée se produit.

Note: Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune.
Niveau de menace maximal autorisé pour l’appareil Les stratégies de protection d’applications peuvent tirer parti du connecteur Intune-MTD. Spécifiez un niveau de menace maximal acceptable pour utiliser cette application. Les menaces sont déterminées par l’application de fournisseur Mobile Threat Defense (MTD) que vous avez choisie sur l’appareil de l’utilisateur final. Spécifiez Sécurisé, Faible, Moyen ou Élevé. L’option Sécurisé ne requiert aucune menace sur l’appareil et constitue la valeur configurable la plus restrictive, tandis que l’option Élevé requiert une connexion active d’Intune à MTD.

Les actions comprennent :

  • Bloquer l’accès - L’accès à l’utilisateur sera bloqué si le niveau de menace déterminé par l’application fournisseur Mobile Threat Defense (MTD) que vous avez choisie sur l’appareil de l’utilisateur final n’est pas conforme à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Pour plus d’informations sur l’utilisation de ce paramètre, consultez Activer le connecteur Mobile Threat Defense dans Intune pour les appareils non inscrits.
Service MTD principal Si vous avez configuré plusieurs connecteurs Intune-MTD, spécifiez l’application fournisseur MTD principale qui doit être utilisée sur l’appareil de l’utilisateur final.

Les valeurs sont les suivantes :

  • Microsoft Defender pour point de terminaison : si le connecteur MTD est configuré, spécifiez Microsoft Defender pour point de terminaison fournira les informations sur le niveau de menace de l’appareil.
  • Mobile Threat Defense (Non-Microsoft) : si le connecteur MTD est configuré, spécifiez que le MTD non-Microsoft fournira les informations sur le niveau de menace de l’appareil.

Vous devez configurer le paramètre « Niveau maximal de menace d’appareil autorisé » pour utiliser ce paramètre.

Il n’existe aucune action pour ce paramètre.