Niveaux de protection et de configuration dans Microsoft Intune

  • Article

Microsoft Intune permet aux administrateurs de créer des stratégies qui sont appliquées aux utilisateurs, aux appareils et aux applications. Ces stratégies peuvent aller d’un ensemble minimal à des stratégies plus sécurisées ou contrôlées. Ces stratégies dépendent des besoins organization, des appareils utilisés et de l’action des appareils.

Lorsque vous êtes prêt à créer des stratégies, vous pouvez utiliser les différents niveaux de protection et de configuration :

Les besoins de votre environnement et de votre entreprise peuvent avoir différents niveaux définis. Vous pouvez utiliser ces niveaux comme point de départ, puis les personnaliser en fonction de vos besoins. Par exemple, vous pouvez utiliser les stratégies de configuration d’appareil au niveau 1 et les stratégies d’application au niveau 3.

Choisissez les niveaux qui conviennent à votre organization. Il n’y a pas de mauvais choix.

Niveau 1 - Protection et configuration minimales

Ce niveau inclut au minimum les stratégies que chaque organization doit avoir. Les stratégies de ce niveau créent une base de référence minimale des fonctionnalités de sécurité et permettent aux utilisateurs d’accéder aux ressources dont ils ont besoin pour effectuer leur travail.

Applications (niveau 1)

Ce niveau applique une quantité raisonnable d’exigences en matière de protection des données et d’accès tout en réduisant l’impact sur les utilisateurs. Ce niveau garantit que les applications sont protégées avec un code confidentiel et chiffrées, et effectue des opérations de réinitialisation sélectives. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Ce niveau est une configuration d’entrée de gamme qui fournit un contrôle de protection des données similaire dans Exchange Online stratégies de boîte aux lettres. Il présente également le service informatique et le nombre d’utilisateurs aux stratégies de protection des applications.

Dans ce niveau, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :

  • Activez les exigences de base en matière de protection des données :

    • Autoriser le transfert de données de base de l’application
    • Appliquer le chiffrement d’application de base
    • Autoriser les fonctionnalités d’accès de base

  • Activer les exigences d’accès de base :

    • Exiger le code confidentiel, l’ID de visage et l’accès biométrique
    • Appliquer les paramètres d’accès de base pris en charge

  • Activer le lancement de l’application conditionnelle de base :

    • Configurer les tentatives d’accès de base aux applications
    • Bloquer l’accès aux applications en fonction des appareils jailbreakés/rootés
    • Restreindre l’accès aux applications en fonction de l’intégrité de base des appareils

Pour plus d’informations, consultez Protection des applications de base de niveau 1.

Conformité (niveau 1)

Dans ce niveau, la conformité des appareils inclut la configuration des paramètres à l’échelle du locataire qui s’appliquent à tous les appareils et le déploiement de stratégies de conformité minimales sur tous les appareils pour appliquer un ensemble de critères de conformité de base. Microsoft recommande que ces configurations soient en place avant d’autoriser les appareils à accéder aux ressources de votre organization. La conformité de l’appareil de niveau 1 inclut :

Les paramètres de stratégie de conformité sont quelques paramètres à l’échelle du locataire qui affectent la façon dont le service de conformité Intune fonctionne avec vos appareils.

Les stratégies de conformité spécifiques à la plateforme incluent des paramètres pour les thèmes communs entre les plateformes. Le nom et l’implémentation réels du paramètre peuvent être différents d’une plateforme à l’autre :

  • Exiger un antivirus, un logiciel anti-espion et un logiciel anti-programme malveillant (Windows uniquement)
  • Version du système d’exploitation :
    • Système d’exploitation maximal
    • Système d’exploitation minimal
    • Versions de build mineure et principale
    • Niveaux de correctif du système d’exploitation
  • Configurations de mot de passe
    • Appliquer l’écran de verrouillage après la période d’inactivité, nécessitant un mot de passe ou une épingle pour le déverrouillage
    • Exiger des mots de passe complexes avec des combinaisons de lettres, de chiffres et de symboles
    • Exiger un mot de passe ou un code pin pour déverrouiller les appareils
    • Exiger la longueur minimale du mot de passe

Les actions en cas de non-conformité sont automatiquement incluses dans chaque stratégie spécifique à la plateforme. Ces actions sont une ou plusieurs actions chronologiques que vous configurez qui s’appliquent aux appareils qui ne répondent pas aux exigences de conformité de la stratégie. Par défaut, le marquage d’un appareil comme non conforme est une action immédiate incluse dans chaque stratégie.

Pour plus d’informations, consultez Niveau 1 - Conformité minimale des appareils.

Configuration de l’appareil (niveau 1)

Dans ce niveau, les profils incluent des paramètres qui se concentrent sur la sécurité et l’accès aux ressources. Plus précisément, dans ce niveau, Microsoft vous recommande de configurer les fonctionnalités suivantes :

  • Activez la sécurité de base, notamment :

    • Antivirus et analyse
    • Détection des menaces et réponse
    • Pare-feu
    • Mises à jour logicielles
    • Stratégie de code confidentiel et de mot de passe fort

  • Accorder aux utilisateurs l’accès au réseau :

    • E-mail
    • VPN pour l’accès à distance
    • Wi-Fi pour l’accès local

Pour plus d’informations sur ces stratégies dans ce niveau, consultez Étape 4 : Créer des profils de configuration d’appareil pour sécuriser les appareils et créer des connexions à organization ressources.

Niveau 2 - Protection et configuration améliorées

Ce niveau s’étend sur l’ensemble minimal de stratégies pour inclure davantage de sécurité et développer la gestion de vos appareils mobiles. Les stratégies de ce niveau sécurisent davantage de fonctionnalités, fournissent une protection des identités et gèrent davantage de paramètres d’appareil.

Utilisez les paramètres de ce niveau pour ajouter ce que vous avez fait au niveau 1.

Applications (niveau 2)

Ce niveau recommande un niveau standard de protection des applications pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ce niveau introduit des mécanismes de prévention des fuites de données de stratégie de protection des applications et des exigences minimales du système d’exploitation. Ce niveau est la configuration qui s’applique à la plupart des utilisateurs mobiles qui accèdent aux données professionnelles ou scolaires.

En plus des paramètres de niveau 1, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :

  • Activez les exigences de protection des données améliorées :

    • Transférer organization données associées
    • Exempter les exigences de transfert de données des applications sélectionnées (iOS/iPadOS)
    • Transférer des données de télécommunication
    • Restreindre les opérations couper, copier et coller entre les applications
    • Bloquer la capture d’écran (Android)

  • Activer le lancement d’application conditionnelle améliorée :

    • Bloquer la désactivation des comptes d’application
    • Appliquer la configuration minimale requise pour le système d’exploitation de l’appareil
    • Exiger la version minimale du correctif (Android)
    • Exiger le type d’évaluation du verdict de l’intégrité de la lecture (Android)
    • Exiger le verrouillage de l’appareil (Android)
    • Autoriser l’accès aux applications en fonction de l’intégrité accrue de l’appareil

Pour plus d’informations, consultez Protection améliorée des applications de niveau 2.

Conformité (niveau 2)

À ce niveau, Microsoft recommande d’ajouter des options plus complexes à vos stratégies de conformité. La plupart des paramètres à ce niveau ont des noms spécifiques à la plateforme qui fournissent tous des résultats similaires. Voici les catégories ou types de paramètres que Microsoft vous recommande d’utiliser lorsqu’ils sont disponibles :

  • Applications:

    • Gérer l’emplacement où les appareils obtiennent des applications, comme Google Play pour Android
    • Autoriser les applications à partir d’emplacements spécifiques
    • Bloquer les applications provenant de sources inconnues

  • Paramètres du pare-feu

    • Paramètres de pare-feu (macOS, Windows)

  • Cryptage:

    • Exiger le chiffrement du stockage des données
    • BitLocker (Windows)
    • FileVault (macOS)

  • Mots de passe

    • Expiration et réutilisation du mot de passe

  • Protection des fichiers et du démarrage au niveau du système :

    • Bloquer le débogage USB (Android)
    • Bloquer les appareils rootés ou jailbreakés (Android, iOS)
    • Exiger la protection de l’intégrité du système (macOS)
    • Exiger l’intégrité du code (Windows)
    • Exiger l’activation du démarrage sécurisé (Windows)
    • Module de plateforme sécurisée (Windows)

Pour plus d’informations, consultez Niveau 2 - Paramètres de conformité des appareils améliorés.

Configuration de l’appareil (niveau 2)

Dans ce niveau, vous développez les paramètres et fonctionnalités que vous avez configurés au niveau 1. Microsoft vous recommande de créer des stratégies qui :

  • Ajoutez une autre couche de sécurité en activant le chiffrement de disque, le démarrage sécurisé et le module de plateforme sécurisée sur vos appareils.
  • Configurez vos codes confidentiels & mots de passe pour qu’ils expirent et gérez si/quand les mots de passe peuvent être réutilisés.
  • Configurez des fonctionnalités, des paramètres et des comportements d’appareil plus précis.
  • Si vous disposez d’objets de stratégie de groupe locaux, vous pouvez déterminer si ces objets de stratégie de groupe sont disponibles dans Intune.

Pour plus d’informations sur les stratégies de configuration des appareils à ce niveau, consultez Niveau 2 - Protection et configuration améliorées.

Niveau 3 - Haute protection et configuration

Ce niveau inclut des stratégies au niveau de l’entreprise et peut impliquer différents administrateurs dans votre organization. Ces stratégies continuent de passer à l’authentification sans mot de passe, ont plus de sécurité et configurent des appareils spécialisés.

Utilisez les paramètres de ce niveau pour ajouter ce que vous avez fait dans les niveaux 1 et 2.

Applications (niveau 3)

Ce niveau recommande un niveau standard de protection des applications pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ce niveau introduit des mécanismes avancés de protection des données, une configuration améliorée du code confidentiel et une stratégie de protection des applications Mobile Threat Defense. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

En plus des paramètres de niveau 1 et 2, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :

  • Activez des exigences élevées en matière de protection des données :

    • Haute protection lors du transfert de données de télécommunication
    • Recevoir des données à partir d’applications gérées par une stratégie uniquement
    • Bloquer l’ouverture de données dans des documents organization
    • Permettre aux utilisateurs d'ouvrir les données des services sélectionnés
    • Bloquer les claviers tiers
    • Exiger/sélectionner des claviers approuvés (Android)
    • Impression de blocs organization données

  • Activer les exigences d’accès élevées :

    • Bloquer le code confidentiel simple et exiger une longueur de code confidentiel minimale spécifique
    • Exiger la réinitialisation du code confidentiel après un nombre de jours
    • Exiger la biométrie de classe 3 (Android 9.0+)
    • Exiger le remplacement de biométrie par le code confidentiel après les mises à jour biométriques (Android)

  • Activer un lancement d’application conditionnel élevé :

    • Exiger le verrouillage de l’appareil (Android)
    • Exiger le niveau de menace maximal autorisé
    • Exiger une version maximale du système d’exploitation

Pour plus d’informations, consultez Protection élevée des applications de niveau 3.

Conformité (niveau 3)

À ce niveau, vous pouvez développer les fonctionnalités de conformité intégrées d’Intune via les fonctionnalités suivantes :

  • Intégrer des données à partir d’un partenaire MtD (Mobile Threat Defense)

    • Avec un partenaire MTD, vos stratégies de conformité peuvent exiger que les appareils soient au niveau ou sous un niveau de menace d’appareil ou un score de risque de machine, tel que déterminé par ce partenaire

  • Utiliser un partenaire de conformité tiers avec Intune

  • Utilisez des scripts pour ajouter des paramètres de conformité personnalisés à vos stratégies pour les paramètres qui ne sont pas disponibles à partir de l’interface utilisateur Intune. (Windows, Linux)

  • Utiliser des données de stratégie de conformité avec des stratégies d’accès conditionnel pour contrôler l’accès aux ressources de votre organization

Pour plus d’informations, consultez Niveau 3 - Configurations avancées de conformité des appareils.

Configuration de l’appareil (niveau 3)

Ce niveau se concentre sur les services et fonctionnalités au niveau de l’entreprise et peut nécessiter un investissement dans l’infrastructure. Dans ce niveau, vous pouvez créer des stratégies qui :

  • Développez l’authentification sans mot de passe à d’autres services de votre organization, notamment l’authentification par certificat, l’authentification unique pour les applications, l’authentification multifacteur (MFA) et la passerelle VPN Microsoft Tunnel.

  • Développez Microsoft Tunnel en déployant Microsoft Tunnel pour la gestion des applications mobiles (Tunnel pour MAM), qui étend la prise en charge de Tunnel aux appareils iOS et Android qui ne sont pas inscrits auprès d’Intune. Tunnel pour GAM est disponible en tant que module complémentaire Intune.

    Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

  • Configurez les fonctionnalités de l’appareil qui s’appliquent à la couche de microprogramme Windows. Utilisez le mode Critères communs Android.

  • Utilisez la stratégie Intune pour la solution de mot de passe d’administrateur local Windows (LAPS) pour sécuriser le compte d’administrateur local intégré sur vos appareils Windows gérés.

    Pour plus d’informations, consultez Prise en charge d’Intune pour Windows LAPS.

  • Protégez les appareils Windows en utilisant Endpoint Privilege Management (EPM), qui vous permet d’exécuter les utilisateurs de votre organization en tant qu’utilisateurs standard (sans droits d’administrateur) tout en permettant à ces mêmes utilisateurs d’effectuer des tâches nécessitant des privilèges élevés.

    EPM est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

  • Configurez des appareils spécialisés tels que des kiosques et des appareils partagés.

  • Déployez des scripts, si nécessaire.

Pour plus d’informations sur les stratégies de configuration des appareils à ce niveau, consultez Niveau 3 - Haute protection et configuration.

Étapes suivantes

Pour obtenir la liste complète de tous les profils de configuration d’appareil que vous pouvez créer, accédez à Appliquer des fonctionnalités et des paramètres sur vos appareils à l’aide de profils d’appareil dans Microsoft Intune.