Niveaux de protection et de configuration dans Microsoft Intune
Microsoft Intune permet aux administrateurs de créer des stratégies qui sont appliquées aux utilisateurs, aux appareils et aux applications. Ces stratégies peuvent aller d’un ensemble minimal à des stratégies plus sécurisées ou contrôlées. Ces stratégies dépendent des besoins de l’organisation, des appareils utilisés et de l’action des appareils.
Lorsque vous êtes prêt à créer des stratégies, vous pouvez utiliser les différents niveaux de protection et de configuration :
- Niveau 1 - Protection et configuration minimales
- Niveau 2 - Protection et configuration améliorées
- Niveau 3 - Haute protection et configuration
Les besoins de votre environnement et de votre entreprise peuvent avoir différents niveaux définis. Vous pouvez utiliser ces niveaux comme point de départ, puis les personnaliser en fonction de vos besoins. Par exemple, vous pouvez utiliser les stratégies de configuration d’appareil au niveau 1 et les stratégies d’application au niveau 3.
Choisissez les niveaux qui conviennent à votre organisation. Il n’y a pas de mauvais choix.
Niveau 1 - Protection et configuration minimales
Ce niveau inclut des stratégies que chaque organisation doit avoir, au minimum. Les stratégies de ce niveau créent une base de référence minimale des fonctionnalités de sécurité et permettent aux utilisateurs d’accéder aux ressources dont ils ont besoin pour effectuer leur travail.
Applications (niveau 1)
Ce niveau applique une quantité raisonnable d’exigences en matière de protection des données et d’accès, et réduit l’interruption des utilisateurs finaux. Ce niveau garantit que les applications sont protégées par un code confidentiel & chiffrement de base et exécute des opérations de réinitialisation sélectives. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Ce niveau est une configuration d’entrée de gamme qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online. Il présente également les stratégies de protection des applications aux utilisateurs finaux et au service informatique.
Dans ce niveau, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :
Activer les exigences de base en matière de protection des données
- Autoriser le transfert de données de base de l’application
- Appliquer le chiffrement d’application de base
- Autoriser les fonctionnalités d’accès de base
Activer les exigences d’accès de base
- Exiger le code confidentiel, l’ID de visage et l’accès biométrique
- Appliquer les paramètres d’accès de base pris en charge
Activer le lancement d’application conditionnelle de base
- Configurer les tentatives d’accès de base aux applications
- Bloquer l’accès aux applications en fonction des appareils jailbreakés/rootés
- Restreindre l’accès aux applications en fonction de l’intégrité de base des appareils
Pour plus d’informations, consultez Protection des applications de base de niveau 1.
Conformité (niveau 1)
Dans ce niveau, la conformité des appareils configure les paramètres à l’échelle du locataire qui s’appliquent à tous les appareils. Vous déployez également des stratégies de conformité minimales sur tous les appareils pour appliquer un ensemble principal d’exigences de conformité.
Microsoft recommande que ces configurations soient en place avant d’autoriser les appareils à accéder aux ressources de votre organisation. La conformité de l’appareil de niveau 1 inclut :
Les paramètres de stratégie de conformité sont quelques paramètres à l’échelle du locataire qui affectent la façon dont le service de conformité Intune fonctionne avec vos appareils.
Les stratégies de conformité spécifiques à la plateforme incluent des paramètres pour les thèmes communs entre les plateformes. Le nom et l’implémentation réels du paramètre peuvent varier selon les plateformes :
- Exiger un antivirus, un logiciel anti-espion et un logiciel anti-programme malveillant (Windows uniquement)
- Version du système d'exploitation
- Système d’exploitation maximal
- Système d’exploitation minimal
- Versions de build mineure et principale
- Niveaux de correctif du système d’exploitation
- Configurations de mot de passe
- Appliquer l’écran de verrouillage après la période d’inactivité, nécessitant un mot de passe ou une épingle pour le déverrouillage
- Exiger des mots de passe complexes avec des combinaisons de lettres, de chiffres et de symboles
- Exiger un mot de passe ou un code pin pour déverrouiller les appareils
- Exiger la longueur minimale du mot de passe
Les actions en cas de non-conformité sont automatiquement incluses dans chaque stratégie spécifique à la plateforme. Ces actions sont une ou plusieurs actions chronologiques que vous configurez. Elles s’appliquent aux appareils qui ne répondent pas aux exigences de conformité de votre stratégie. Par défaut, le marquage d’un appareil comme non conforme est une action immédiate fournie avec chaque stratégie.
Pour plus d’informations, consultez Niveau 1 - Conformité minimale de l’appareil.
Configuration de l’appareil (niveau 1)
Dans ce niveau, les profils incluent des paramètres qui se concentrent sur la sécurité et l’accès aux ressources. Plus précisément, dans ce niveau, Microsoft vous recommande de configurer les fonctionnalités suivantes :
Activez la sécurité de base, notamment :
- Antivirus et analyse
- Détection des menaces et réponse
- Pare-feu
- Mises à jour logicielles
- Stratégie de code confidentiel et de mot de passe fort
Accorder aux utilisateurs l’accès au réseau :
- VPN pour l’accès à distance
- Wi-Fi pour l’accès local
Pour plus d’informations, consultez Étape 4 : Créer des profils de configuration d’appareil pour sécuriser les appareils et créer des connexions aux ressources de l’organisation.
Niveau 2 - Protection et configuration améliorées
Ce niveau s’étend sur l’ensemble minimal de stratégies pour inclure davantage de sécurité et développer la gestion de vos appareils mobiles. Les stratégies de ce niveau sécurisent davantage de fonctionnalités, fournissent une protection des identités et gèrent davantage de paramètres d’appareil.
Utilisez les paramètres de ce niveau pour ajouter ce que vous avez configuré au niveau 1.
Applications (niveau 2)
Ce niveau recommande un niveau standard de protection des applications pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ce niveau introduit des mécanismes de prévention des fuites de données de stratégie de protection des applications et des exigences minimales du système d’exploitation. Ce niveau est la configuration qui s’applique à la plupart des utilisateurs mobiles qui accèdent aux données professionnelles ou scolaires.
En plus des paramètres de niveau 1, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :
Activer les exigences de protection des données améliorées
- Transférer des données liées à l’organisation
- Exempter les exigences de transfert de données des applications sélectionnées (iOS/iPadOS)
- Transférer des données de télécommunication
- Restreindre les opérations couper, copier et coller entre les applications
- Bloquer la capture d’écran (Android)
Activer le lancement d’application conditionnelle amélioré
- Bloquer la désactivation des comptes d’application
- Appliquer la configuration minimale requise pour le système d’exploitation de l’appareil
- Exiger la version minimale du correctif (Android)
- Exiger le type d’évaluation du verdict de l’intégrité de la lecture (Android)
- Exiger le verrouillage de l’appareil (Android)
- Autoriser l’accès aux applications en fonction de l’intégrité accrue de l’appareil
Pour plus d’informations, consultez Protection améliorée des applications de niveau 2.
Conformité (niveau 2)
À ce niveau, Microsoft recommande d’ajouter des options plus précises à vos stratégies de conformité. La plupart des paramètres à ce niveau ont des noms spécifiques à la plateforme qui fournissent tous des résultats similaires. Voici les catégories ou types de paramètres que Microsoft vous recommande d’utiliser lorsqu’ils sont disponibles :
Applications
- Gérer l’emplacement où les appareils obtiennent des applications, comme Google Play pour Android
- Autoriser les applications à partir d’emplacements spécifiques
- Bloquer les applications provenant de sources inconnues
Paramètres du pare-feu
- Paramètres de pare-feu (macOS, Windows)
Chiffrement
- Exiger le chiffrement du stockage des données
- BitLocker (Windows)
- FileVault (macOS)
Mots de passe
- Expiration et réutilisation du mot de passe
Protection des fichiers et du démarrage au niveau du système
- Bloquer le débogage USB (Android)
- Bloquer les appareils rootés ou jailbreakés (Android, iOS)
- Exiger la protection de l’intégrité du système (macOS)
- Exiger l’intégrité du code (Windows)
- Exiger l’activation du démarrage sécurisé (Windows)
- Module de plateforme sécurisée (Windows)
Pour plus d’informations, accédez à Niveau 2 - Paramètres de conformité des appareils améliorés.
Configuration de l’appareil (niveau 2)
Dans ce niveau, vous développez les paramètres et fonctionnalités que vous avez configurés au niveau 1. Microsoft vous recommande de créer des stratégies qui :
- Ajoutez une autre couche de sécurité en activant le chiffrement de disque, le démarrage sécurisé et le module de plateforme sécurisée (TPM) sur vos appareils.
- Configurez vos codes confidentiels & mots de passe pour qu’ils expirent et gérez si/quand les mots de passe peuvent être réutilisés.
- Configurez des fonctionnalités, des paramètres et des comportements d’appareil plus précis.
- Déterminez si des objets de stratégie de groupe (GPO) locaux sont disponibles dans Intune.
Pour plus d’informations sur les stratégies de configuration des appareils à ce niveau, consultez Niveau 2 - Protection et configuration améliorées.
Niveau 3 - Haute protection et configuration
Ce niveau inclut des stratégies au niveau de l’entreprise et peut impliquer différents administrateurs au sein de votre organisation. Ces stratégies continuent de passer à l’authentification sans mot de passe, ont plus de sécurité et configurent des appareils spécialisés.
Utilisez les paramètres de ce niveau pour ajouter ce que vous avez configuré dans les niveaux 1 et 2.
Applications (niveau 3)
Ce niveau recommande un niveau standard de protection des applications pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ce niveau introduit la protection avancée des données, la configuration améliorée du code confidentiel et la stratégie de protection des applications avec Mobile Threat Defense. Cette configuration est destinée aux utilisateurs qui accèdent aux données à haut risque.
En plus des paramètres de niveau 1 et 2, Microsoft vous recommande de configurer la protection et l’accès suivants pour les applications :
Activer des exigences élevées en matière de protection des données
- Haute protection lors du transfert de données de télécommunication
- Recevoir des données à partir d’applications gérées par une stratégie uniquement
- Bloquer l’ouverture de données dans des documents d’organisation
- Permettre aux utilisateurs d'ouvrir les données des services sélectionnés
- Bloquer les claviers partenaires ou non-Microsoft indésirables
- Exiger/sélectionner des claviers approuvés (Android)
- Bloquer l’impression des données de l’organisation
Activer les exigences d’accès élevées
- Bloquer le code confidentiel simple et exiger une longueur de code confidentiel minimale spécifique
- Exiger la réinitialisation du code confidentiel après un nombre de jours
- Exiger la biométrie de classe 3 (Android 9.0+)
- Exiger le remplacement de biométrie par le code confidentiel après les mises à jour biométriques (Android)
Activer un lancement d’application conditionnel élevé
- Exiger le verrouillage de l’appareil (Android)
- Exiger le niveau de menace maximal autorisé
- Exiger une version maximale du système d’exploitation
Pour plus d’informations, consultez Protection élevée des applications de niveau 3.
Conformité (niveau 3)
À ce niveau, vous pouvez développer les fonctionnalités de conformité intégrées d’Intune via les fonctionnalités suivantes :
Intégrer des données à partir d’un partenaire MtD (Mobile Threat Defense)
- Avec un partenaire MTD, vos stratégies de conformité peuvent exiger que les appareils soient au niveau ou sous un niveau de menace d’appareil ou un score de risque de machine, tel que déterminé par ce partenaire.
Utilisez un partenaire de conformité non-Microsoft avec Intune.
Utilisez des scripts pour ajouter des paramètres de conformité personnalisés à vos stratégies pour les paramètres qui ne sont pas disponibles à partir de l’interface utilisateur Intune. (Windows, Linux)
Utilisez des données de stratégie de conformité avec des stratégies d’accès conditionnel pour contrôler l’accès aux ressources de votre organisation.
Pour plus d’informations, consultez Niveau 3 - Configurations avancées de conformité des appareils.
Configuration de l’appareil (niveau 3)
Ce niveau se concentre sur les services et fonctionnalités au niveau de l’entreprise et peut nécessiter un investissement dans l’infrastructure. Dans ce niveau, vous pouvez créer des stratégies qui :
Développez l’authentification sans mot de passe à d’autres services de votre organisation, notamment l’authentification basée sur les certificats, l’authentification unique pour les applications, l’authentification multifacteur (MFA) et la passerelle VPN Microsoft Tunnel.
Développez Microsoft Tunnel en déployant Microsoft Tunnel pour la gestion des applications mobiles (Tunnel pour MAM), qui étend la prise en charge de Tunnel aux appareils iOS et Android qui ne sont pas inscrits auprès d’Intune. Tunnel pour GAM est disponible en tant que module complémentaire Intune.
Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.
Configurez les fonctionnalités de l’appareil qui s’appliquent à la couche de microprogramme Windows. Utilisez le mode Critères communs Android.
Utilisez la stratégie Intune pour la solution de mot de passe d’administrateur local Windows (LAPS) pour sécuriser le compte d’administrateur local intégré sur vos appareils Windows gérés.
Pour plus d’informations, consultez Prise en charge d’Intune pour Windows LAPS.
Protégez les appareils Windows à l’aide de Endpoint Privilege Management (EPM). EPM vous permet d’exécuter les utilisateurs de votre organisation en tant qu’utilisateurs standard (sans droits d’administrateur) et permet à ces mêmes utilisateurs d’effectuer des tâches qui nécessitent des privilèges élevés.
EPM est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.
Configurez des appareils spécialisés tels que des kiosques et des appareils partagés.
Déployez des scripts, si nécessaire.
Pour plus d’informations sur les stratégies de configuration des appareils à ce niveau, consultez Niveau 3 - Haute protection et configuration.
Article connexe
Pour obtenir la liste complète de tous les profils de configuration d’appareil que vous pouvez créer, accédez à Appliquer des fonctionnalités et des paramètres sur vos appareils à l’aide de profils d’appareil dans Microsoft Intune.