Protection des données pour Windows MAM

  • Article

Vous pouvez activer l’accès protégé à la gestion des applications mobiles (GAM) aux données de l’organisation sur les appareils Windows personnels. Cette fonctionnalité utilise les fonctionnalités suivantes :

  • Stratégies de configuration des applications Intune (ACP) pour personnaliser l’expérience utilisateur de l’organisation
  • Stratégies de protection des applications (APP) Intune pour sécuriser les données de l’organisation et garantir que l’appareil client est sain
  • Sécurité Windows Center - Protection contre les menaces du client intégrée à l’application Intune pour détecter les menaces d’intégrité locales sur les appareils Windows personnels
  • Accès conditionnel de protection des applications pour s’assurer que l’appareil est protégé et sain avant d’accorder l’accès au service protégé via l’ID de Microsoft Entra

Remarque

La gestion des applications mobiles Intune pour Windows est disponible pour Windows 10, build 19045.3636, KB5031445 ou version ultérieure et Windows 11, build 10.0.22621.2506, KB5031455 (22H2) ou version ultérieure. Cela inclut les modifications prises en charge pour Microsoft Intune (version 2309), Microsoft Edge (branche stable v117 et versions ultérieures pour Windows 11 et v118.0.2088.71 et versions ultérieures pour Windows 11) et Sécurité Windows Center (v 1.0.2310.2002 et versions ultérieures). L’accès conditionnel protection des applications est en disponibilité générale.

La gestion des applications mobiles Windows est prise en charge dans les environnements cloud gouvernementaux. Pour plus d’informations, consultez Déploiement d’applications à l’aide d’Intune dans les environnements GCC High et DoD.

Pour plus d’informations sur la gestion des applications mobiles, consultez Concepts de base de la gestion des applications mobiles (MAM).

Les utilisateurs finaux et les organisations doivent disposer d’un accès professionnel protégé à partir des appareils personnels. Les organisations doivent s’assurer que les données d’entreprise sont protégées sur les appareils personnels non gérés. En tant qu’administrateur Intune, vous avez la responsabilité de déterminer comment les membres (utilisateurs finaux) de votre organization accéder aux ressources d’entreprise de manière protégée à partir d’un appareil non géré. Lors de l’accès aux données de l’organisation, vous devez vous assurer que les appareils non gérés sont sains, que les applications respectent les stratégies de protection des données de votre organization et que les ressources non managées de l’utilisateur final sur son appareil ne sont pas affectées par les stratégies de votre organization.

En tant qu’administrateur Intune, vous devez disposer des fonctionnalités de gestion des applications suivantes :

  • Possibilité de déployer des stratégies de protection des applications sur des applications/utilisateurs protégés par le SDK d’application Intune, notamment les éléments suivants :
    • Paramètres de protection des données
    • Paramètres de contrôle d’intégrité (également appelé lancement conditionnel)
  • Possibilité d’exiger des stratégies de protection des applications via l’accès conditionnel
  • Possibilité d’effectuer une vérification supplémentaire de l’intégrité du client via Sécurité Windows center en procédant comme suit :
    • Conception du niveau de risque Sécurité Windows Center pour permettre aux utilisateurs finaux d’accéder aux ressources d’entreprise
    • Configuration d’un connecteur basé sur un locataire pour Microsoft Intune pour Sécurité Windows Center
  • Possibilité de déployer une commande de réinitialisation sélective sur des applications protégées

Les membres de votre organization (utilisateurs finaux) s’attendent à disposer des fonctionnalités suivantes pour leurs comptes :

  • Possibilité de se connecter à Microsoft Entra ID pour accéder aux sites protégés par l’accès conditionnel
  • Possibilité de vérifier l’intégrité status de l’appareil client, dans le cas où un appareil est considéré comme non sain
  • Possibilité de révoquer l’accès aux ressources lorsqu’un appareil reste défectueux
  • Possibilité d’être informé, avec des étapes de correction claires, lorsque l’accès est contrôlé par une stratégie d’administrateur

Remarque

Pour plus d’informations sur l’ID Microsoft Entra, consultez Exiger une stratégie de protection des applications sur les appareils Windows.

Conformité de l’accès conditionnel

La prévention de la perte de données fait partie de la protection des données de votre organisation. La protection contre la perte de données (DLP) n’est efficace que si les données de votre organisation ne sont pas accessibles à partir d’un système ou d’un appareil non protégé. L’accès conditionnel protection des applications utilise l’accès conditionnel (CA) pour garantir que les stratégies de protection des applications (APP) sont prises en charge et appliquées dans une application cliente avant d’autoriser l’accès aux ressources protégées (telles que les données de l’organisation). L’autorité de certification d’application permet aux utilisateurs finaux disposant d’appareils Windows personnels d’utiliser des applications gérées par les applications, notamment Microsoft Edge, pour accéder aux ressources Microsoft Entra sans gérer entièrement leur appareil personnel.

Ce service GAM synchronise l’état de conformité par utilisateur, par application et par appareil avec le service d’autorité de certification Microsoft Entra. Cela inclut les informations sur les menaces reçues des fournisseurs mtd (Mobile Threat Defense) à partir de Sécurité Windows Center.

Remarque

Ce service GAM utilise le même workflow de conformité de l’accès conditionnel que celui utilisé pour gérer Microsoft Edge sur les appareils iOS et Android.

Lorsqu’une modification est détectée, le service GAM met immédiatement à jour l’état de conformité de l’appareil. Le service inclut également l’état d’intégrité MTD dans le cadre de l’état de conformité.

Remarque

Le service GAM évalue l’état MTD dans le service. Cette opération est effectuée indépendamment du client MAM et de la plateforme cliente.

Le client MAM communique l’état de santé du client (ou les métadonnées d’intégrité) au service GAM lors de l’case activée. L’état d’intégrité inclut tout échec des vérifications d’intégrité de l’application pour les conditions Bloquer ou Réinitialiser . En outre, Microsoft Entra ID guide les utilisateurs finaux à travers les étapes de correction lorsqu’ils tentent d’accéder à une ressource d’autorité de certification bloquée.

Conformité de l’accès conditionnel

Les organisations peuvent utiliser Microsoft Entra stratégies d’accès conditionnel pour s’assurer que les utilisateurs peuvent uniquement accéder au contenu professionnel ou scolaire à l’aide d’applications gérées par des stratégies sur Windows. Pour ce faire, vous avez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Suivez les étapes décrites dans Exiger une stratégie de protection des applications sur les appareils Windows, ce qui autorise Microsoft Edge pour Windows, mais empêche les autres navigateurs web de se connecter aux points de terminaison Microsoft 365.

Avec l’accès conditionnel, vous pouvez également cibler les sites locaux que vous avez exposés à des utilisateurs externes via le proxy d’application Microsoft Entra.

Intégrité de la défense contre les menaces

La status d’intégrité d’un appareil personnel est vérifiée avant d’autoriser l’accès aux données de votre organisation. La détection des menaces GAM peut être connectée à Sécurité Windows Center. Sécurité Windows Center fournit une évaluation de l’intégrité des appareils clients à l’application Intune via un connecteur de service à service. Cette évaluation prend en charge le contrôle du flux et l’accès aux données de l’organisation sur les appareils personnels non gérés.

L’état d’intégrité inclut les détails suivants :

  • Identificateurs d’utilisateur, d’application et d’appareil
  • État d’intégrité prédéfini
  • Heure de la dernière mise à jour de l’état d’intégrité

L’état d’intégrité est envoyé uniquement pour les utilisateurs inscrits à gam. Les utilisateurs finaux peuvent cesser d’envoyer des données en se déconnectent de leur compte d’organisation dans des applications protégées. Les administrateurs peuvent arrêter d’envoyer des données en supprimant le connecteur Sécurité Windows de Microsoft Intune.

Pour plus d’informations, consultez Créer une stratégie de protection des applications MTD pour Windows.

Créer des stratégies de protection des applications Intune

Les stratégies de protection des applications (SPA) définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet.

En tant qu’administrateur, vous pouvez configurer la façon dont les données sont protégées via APP. Cette configuration s’applique à l’interaction de l’application Windows native avec les données. Les paramètres d’application sont segmentés en trois catégories :

  • Protection des données : ces paramètres contrôlent la façon dont les données peuvent être déplacées dans un contexte d’organisation (compte, document, emplacement, services) pour l’utilisateur.
  • Contrôles d’intégrité (lancement conditionnel) : ces paramètres contrôlent les conditions d’appareil requises pour accéder aux données de l’organisation et les actions de correction si les conditions ne sont pas remplies.

Pour aider les organisations à hiérarchiser le renforcement des points de terminaison client, Microsoft a introduit la taxonomie pour son infrastructure de protection des données d’application pour la gestion des applications mobiles.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Windows.

Étapes suivantes