Partager via


Gérer les expériences de collaboration dans Microsoft 365 (Office) pour iOS et Android avec Microsoft Intune

Microsoft 365 (Office) pour iOS et Android offre plusieurs avantages clés, notamment :

  • Combine de Word, Excel et PowerPoint pour simplifier l’expérience avec moins d’applications à télécharger ou passer d’une application à l’autre. Il nécessite beaucoup moins de stockage par téléphone que l’installation d’applications individuelles tout en conservant pratiquement toutes les fonctionnalités des applications mobiles existantes que les utilisateurs connaissent et utilisent déjà.
  • Intégration de la technologie Microsoft Lens pour déverrouiller la puissance de l’appareil photo avec des fonctionnalités telles que la conversion d’images en documents Word et Excel modifiables, le scan des PDF et la capture de tableaux blancs avec des améliorations numériques automatiques pour faciliter la lecture du contenu.
  • Ajout de nouvelles fonctionnalités pour les tâches courantes que les utilisateurs rencontrent souvent lors de l’utilisation d’un téléphone, telles que la création de notes rapides, la signature de fichiers PDF, le scan des codes QR et le transfert de fichiers entre appareils.

Les fonctionnalités de protection les plus puissantes et les plus étendues pour Microsoft 365 données sont disponibles lorsque vous vous abonnez à la suite Enterprise Mobility + Security, qui inclut des fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l’accès conditionnel. Au minimum, vous souhaiterez déployer une stratégie d’accès conditionnel qui autorise uniquement la connectivité à Microsoft 365 (Office) pour iOS et Android à partir d’appareils mobiles et une stratégie de protection des applications Intune qui garantit la protection de l’expérience de collaboration.

Appliquer l’accès conditionnel

Les organisations peuvent utiliser des stratégies d’accès conditionnel Microsoft Entra pour s’assurer que les utilisateurs accèdent uniquement au contenu professionnel ou scolaire à l’aide de Microsoft 365 (Office) pour iOS et Android. Pour ce faire, vous aurez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.

  1. Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles, ce qui permet à Microsoft 365 (Office) pour iOS et Android, mais empêche les clients d'appareils mobiles tiers compatibles avec OAuth de se connecter aux points d'extrémité Microsoft 365.

    Notes

    Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à l’aide des applications applicables.

Remarque

Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.

Créer des stratégies de protection des applications Intune

Les stratégies de protection des applications (SPA) définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.

Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

  • La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
  • La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
  • La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Que l’appareil soit inscrit ou non dans une solution de gestion unifiée des points de terminaison (UEM), une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Comment créer et attribuer des stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :

  1. Elles incluent toutes les applications mobiles Microsoft 365, telles que Edge, Outlook, OneDrive, Microsoft 365 (Office) ou Teams, car cela garantit que les utilisateurs peuvent accéder aux données professionnelles ou scolaires et les manipuler dans n’importe quelle application Microsoft de manière sécurisée.

  2. Elles doivent être affectées à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Microsoft 365 (Office) pour iOS ou Android.

  3. Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.

Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.

Importante

Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune. Pour les stratégies de protection des applications Android, ajoutez les applications Office Hub, Office Hub [HL] et Office Hub [ROW]. Pour plus d’informations, voir Conseil de support : Comment activer Intune stratégies de protection des applications avec Office Mobile.

Utiliser la configuration de l’application

Microsoft 365 (Office) pour iOS et Android prend en charge les paramètres d’application qui permettent aux administrateurs de gérer les points de terminaison unifiés, comme Microsoft Intune, de personnaliser le comportement de l’application.

La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur (le canal de Configuration d’application gérée des appareils inscrits pour iOS ou le canal Android dans l’entreprise pour Android) ou via le canal de la stratégie de protection de l’application Intune (APP). Microsoft 365 (Office) pour iOS et Android prend en charge les scénarios de configuration suivants :

  • Autoriser uniquement les comptes professionnels ou scolaires
  • Configuration générale de l’application
  • Paramètres de protection des données

Importante

Pour les scénarios de configuration qui nécessitent l’inscription d’appareils sur Android, les appareils doivent être inscrits dans Android Enterprise et Microsoft 365 (Office) pour Android doit être déployé via Google Play Store géré. Pour plus d’informations, consultez Configurer l’inscription des appareils de profil professionnel personnellement détenus d’Android Entreprise et Ajouter des stratégies de configuration d’application pour les appareils Android Enterprise gérés. Pour les configurations d’application Android, ajoutez les applications Office Hub, Office Hub [HL] et Office Hub [LIGNE]. Pour plus d’informations, voir Conseil de support : Comment activer Intune stratégies de protection des applications avec Office Mobile.

Chaque scénario de configuration met en évidence ses exigences spécifiques. Par exemple, si le scénario de configuration nécessite une inscription d’appareil et fonctionne donc avec n’importe quel fournisseur UEM, ou nécessite des stratégies Intune App Protection.

Importante

Les clés de configuration d’application respectent la casse. Utilisez la casse appropriée pour vous assurer que la configuration prend effet.

Remarque

Avec Microsoft Intune, la configuration de l’application fournie par le biais du canal du système d’exploitation GPM est appelée Stratégie de configuration des applications (SCA) pour les Appareils gérés. La configuration de l’application fournie via le canal de stratégie de protection des applications est appelée Stratégie de configuration des applications pour les Applications gérées.

Autoriser uniquement les comptes professionnels ou scolaires

Le respect des stratégies de sécurité et de conformité des données de nos clients les plus grands et hautement réglementés est un pilier clé de la valeur Microsoft 365. Certaines entreprises ont besoin de capturer toutes les informations de communication au sein de leur environnement d’entreprise, ainsi que de s’assurer que les appareils sont utilisés uniquement pour les communications d’entreprise. Pour prendre en charge ces exigences, Microsoft 365 (Office) pour Android sur les appareils inscrits peut être configuré pour autoriser uniquement l’approvisionnement d’un seul compte d’entreprise dans l’application.

Pour en savoir plus sur la configuration du paramètre du mode comptes autorisés de l’organisation, cliquez ici :

Ce scénario de configuration fonctionne uniquement avec les appareils inscrits. Toutefois, tout fournisseur UEM est pris en charge. Si vous n’utilisez pas Microsoft Intune, vous devez consulter votre documentation UEM pour savoir comment déployer ces clés de configuration.

Scénarios généraux de configuration des applications

Microsoft 365 (Office) pour iOS/iPadOS et Android offre aux administrateurs la possibilité de personnaliser la configuration par défaut pour plusieurs paramètres dans l’application à l’aide de stratégies de configuration d’application iOS/iPadOS ou Android. Cette fonctionnalité est proposée pour les appareils inscrits via n’importe quel fournisseur UEM et pour les appareils qui ne sont pas inscrits lorsque Microsoft 365 (Office) pour iOS et Android a une stratégie de protection de l’application Intune appliquée.

Notes

Si une stratégie de protection des applications est destinée aux utilisateurs, il est recommandé de déployer les paramètres généraux de configuration des applications dans un modèle d’inscription Applications gérées . Cela garantit que la stratégie de configuration d’application est déployée à la fois sur les appareils inscrits et sur les appareils non inscrits.

Microsoft 365 (Office) prend en charge les paramètres suivants pour la configuration :

Gérer la création de pense-bêtes

Par défaut, Microsoft 365 (Office) pour iOS et Android permet aux utilisateurs de créer des Pense-bêtes. Pour les utilisateurs disposant de boîtes aux lettres Exchange Online, les notes sont synchronisées dans la boîte aux lettres de l’utilisateur. Pour les utilisateurs disposant de boîtes aux lettres locales, ces notes sont stockées uniquement sur l’appareil local.

Clé Valeur
com.microsoft.office.NotesCreationEnabled true (valeur par défaut) permet la création de pense-bêtes pour le compte professionnel ou scolaire
false désactive la création de pense-bêtes pour le compte professionnel ou scolaire

Définir la préférence des compléments

Pour les appareils iOS/iPadOS exécutant Office, vous (en tant qu’administrateur) pouvez définir si les compléments Microsoft 365 (Office) sont activés. Ces paramètres d’application peuvent être déployés à l’aide d’une stratégie de configuration d’application dans Intune.

Clé Valeur
com.microsoft.office.OfficeWebAddinDisableAllCatalogs true (valeur par défaut) désactive l’intégralité de la plateforme de complément
false active la plateforme de complément

Si vous devez activer ou désactiver la partie Microsoft 365 (Office) Store de la plateforme pour les appareils iOS, vous pouvez utiliser la clé suivante.

Clé Valeur
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog true (valeur par défaut) désactive uniquement la partie Microsoft 365 (Office) Store de la plateforme
false active la partie Microsoft 365 (Office) Store de la plateforme
NOTE : le chargement de version test continue de fonctionner.

Pour plus d’informations sur l’ajout de clés de configuration, consultez Ajouter des stratégies de configuration d’application pour les appareils iOS/iPadOS gérés.

Gérer les applications Teams s’exécutant sur Microsoft 365 (Office) pour iOS et Android

Les administrateurs informatiques peuvent gérer l’accès aux applications Teams en créant des stratégies d’autorisation personnalisées et en affectant ces stratégies aux utilisateurs à l’aide du Centre d’administration Teams. Désormais, vous pouvez également utiliser les onglets personnels Teams dans Microsoft 365 (Office) pour iOS et Android. Les applications d’onglets personnels Teams créées à l’aide du Kit de développement logiciel (SDK) client JavaScript Microsoft Teams v2 (version 2.0.0) et du manifeste d’application Teams (version 1.13) apparaissent dans Microsoft 365 (Office) pour iOS et Android sous le menu « Applications ».

Il peut y avoir des exigences de gestion supplémentaires spécifiques à Microsoft 365 (Office) pour iOS et Android. Vous pouvez vouloir :

  • Autorisez uniquement des utilisateurs spécifiques de votre organisation à essayer des applications Teams améliorées sur Microsoft 365 (Office) pour iOS et Android, ou
  • Empêchez tous les utilisateurs de votre organisation d’utiliser des applications Teams améliorées sur Microsoft 365 (Office) pour iOS et Android.

Pour les gérer, vous pouvez utiliser la clé suivante :

Clé Valeur
com.microsoft.office.officemobile.TeamsApps.IsAllowed true (par défaut) active les applications Teams sur Microsoft 365 (Office) pour iOS et Android
false désactive les applications Teams sur Microsoft 365 (Office) pour iOS et Android

Cette clé peut être utilisée à la fois par des appareils gérés et des applications gérées.

Paramètres de protection des données dans Microsoft 365 (Office)

Vous pouvez activer ou désactiver la mise en cache hors connexion lorsque l’option Enregistrer sous dans le stockage local est bloquée par la stratégie de protection des applications.

Importante

Ce paramètre s’applique uniquement à l’application Microsoft 365 (Office) sur Android. Pour configurer ce paramètre, vous pouvez utiliser la clé suivante :

Clé Valeur
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked false (valeur par défaut) désactive la mise en cache hors connexion lorsque l’option Enregistrer sous dans le stockage local est bloquée
true active la mise en cache hors connexion lorsque l’option Enregistrer sous dans le stockage local est bloquée

Activer ou désactiver le flux Microsoft 365 pour iOS et Android

Les administrateurs peuvent désormais activer ou désactiver le flux Microsoft 365 en configurant le paramètre suivant dans le Centre d’administration Intune. Pour déployer ce paramètre d’application, utilisez une stratégie de configuration d’application dans Intune.

Pour gérer le flux Microsoft 365, vous pouvez utiliser la clé suivante :

Clé Valeur
com.microsoft.office.officemobile.Feed.IsAllowed true (par défaut) Le flux est activé pour le client
false désactive le flux pour le client

Cette clé peut être utilisée par des appareils et des applications géré(e)s.

Copilot avec protection des données d’entreprise

Les administrateurs peuvent désormais activer ou désactiver Copilot dans l’application Microsoft 365 en configurant le paramètre suivant dans le centre d’administration Intune. Pour déployer ce paramètre d’application, utilisez une stratégie de configuration d’application dans Intune.

Pour gérer Copilot dans l’application Microsoft 365, vous pouvez utiliser la clé suivante :

Clé Valeur
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed true (par défaut) Copilot est activé pour le client
false désactive Copilot pour le client

Cette clé peut être utilisée par des appareils et des applications géré(e)s.

Étapes suivantes