Partager via


Utilisations courantes de l’accès conditionnel avec Intune

Il existe deux types de stratégies d’accès conditionnel que vous pouvez utiliser avec Intune : l’accès conditionnel basé sur les appareils et l’accès conditionnel basé sur les applications. Pour prendre en charge chacune d’elles, vous devez configurer les stratégies Intune associées. Lorsque les stratégies Intune sont déployées et en place, vous pouvez ensuite utiliser l’accès conditionnel pour autoriser ou bloquer l’accès à Exchange, contrôler l’accès à votre réseau ou établir une intégration avec une solution de défense contre les menaces mobiles.

Les informations de cet article peuvent vous aider à comprendre comment utiliser les fonctionnalités de conformité des appareils mobiles et les fonctionnalités de gestion des applications mobiles d’Intune.

Remarque

L’accès conditionnel est une fonctionnalité Microsoft Entra incluse avec une licence P1 ou P2 d’ID Microsoft Entra. Intune améliore cette fonctionnalité en ajoutant la conformité des appareils mobiles et la gestion des applications mobiles à la solution. Le nœud Accès conditionnel accessible à partir d’Intune est le même nœud que celui accessible à partir de l’ID Microsoft Entra.

Accès conditionnel basé sur l’appareil

Intune et Microsoft Entra ID fonctionnent ensemble pour s’assurer que seuls les appareils gérés et conformes peuvent accéder à la messagerie de votre organisation, aux services Microsoft 365, aux applications SaaS (Software as a service) et aux applications locales. En outre, vous pouvez définir une stratégie dans l’ID Microsoft Entra pour autoriser uniquement les ordinateurs joints à un domaine ou les appareils mobiles inscrits dans Intune à accéder aux services Microsoft 365.

Avec Intune, vous déployez des stratégies de conformité des appareils pour déterminer si un appareil respecte vos exigences de configuration et de sécurité attendues. L’évaluation de la stratégie de conformité détermine l’état de conformité de l’appareil, qui est signalé à Intune et à l’ID Microsoft Entra. C’est dans l’ID Microsoft Entra que les stratégies d’accès conditionnel peuvent utiliser l’état de conformité d’un appareil pour prendre des décisions sur l’autorisation ou le blocage de l’accès aux ressources de votre organisation à partir de cet appareil.

Les stratégies d’accès conditionnel basées sur l’appareil pour Exchange Online et d’autres produits Microsoft 365 sont configurées via le Centre d’administration Microsoft Intune.

Remarque

Quand vous activez l’accès basé sur les appareils pour le contenu auquel les utilisateurs accèdent à partir d’applications de navigateur sur leurs appareils avec profil professionnel Android appartenant à l’utilisateur, les utilisateurs inscrits avant janvier 2021 doivent activer l’accès par navigateur comme suit :

  1. Lancez l’application Portail d’entreprise.
  2. Accédez à la page Paramètres à partir du menu.
  3. Dans la section Activer l’accès du navigateur, appuyez sur le bouton ACTIVER.
  4. Fermez, puis redémarrez l’application de navigateur.

Cela permet d’accéder aux applications de navigateur, mais pas aux vues web de navigateur qui s’ouvrent dans les applications.

Applications disponibles dans Accès conditionnel pour contrôler Microsoft Intune

Lorsque vous configurez l’accès conditionnel dans le Centre d’administration Microsoft Entra, vous avez le choix entre deux applications :

  1. Microsoft Intune : cette application contrôle l’accès au centre d’administration Microsoft Intune et aux sources de données. Configurez des octrois/contrôles sur cette application lorsque vous souhaitez cibler le centre d’administration Microsoft Intune et les sources de données.
  2. Inscription à Microsoft Intune : cette application contrôle le workflow d’inscription. Configurez les octrois/contrôles de cette application lorsque vous souhaitez cibler le processus d’inscription. Pour plus d’informations, consultez Exiger l’authentification multifacteur pour l’inscription d’appareils dans Intune.

Accès conditionnel basé sur le contrôle d’accès réseau

Intune s’intègre avec des partenaires comme Cisco ISE, Aruba Clear Pass et Citrix NetScaler pour fournir des contrôles d’accès basés sur l’inscription Intune et l’état de conformité de l’appareil.

L’accès par les utilisateurs peut être accepté ou refusé au Wi-Fi ou aux ressources VPN de l’entreprise selon que l’appareil qu’ils utilisent est géré et conforme ou non aux stratégies de conformité d’appareil d’Intune.

Accès conditionnel basé sur les risques que présente l’appareil

Intune fait équipe avec des fournisseurs de défense contre les menaces mobiles qui proposent une solution de sécurité visant à détecter les programmes malveillants, les chevaux de Troie et d’autres menaces sur les appareils mobiles.

Comment fonctionne l’intégration entre Intune et la défense contre les menaces mobiles ?

Lorsqu’il est installé sur un appareil, l’agent de défense contre les menaces mobiles renvoie des messages d’état de conformité à Intune pour indiquer quand une menace est identifiée sur l’appareil mobile proprement dit.

L’intégration d’Intune et de la défense contre les menaces mobiles joue un rôle dans les décisions d’accès conditionnel basé sur les risques associés aux appareils.

Accès conditionnel pour les PC Windows

L’accès conditionnel pour les PC offre des fonctionnalités similaires à celles des appareils mobiles. Examinons les façons dont vous pouvez utiliser l’accès conditionnel lors de la gestion de PC avec Intune.

Appartenant à l’entreprise

  • Jointure hybride Microsoft Entra : Cette option est couramment utilisée par les organisations qui sont raisonnablement à l’aise avec la façon dont elles gèrent déjà leurs PC via des stratégies de groupe AD ou Configuration Manager.

  • Microsoft Entra domaine joint et gestion Intune : Ce scénario s’adresse aux organisations qui souhaitent avoir la priorité sur le cloud (c’est-à-dire utiliser principalement des services cloud, avec un objectif de réduire l’utilisation d’une infrastructure locale) ou cloud uniquement (aucune infrastructure locale). La jonction Microsoft Entra fonctionne bien dans un environnement hybride, ce qui permet d’accéder aux applications et ressources cloud et locales. L’appareil se joint à l’ID Microsoft Entra et est inscrit à Intune, qui peut être utilisé comme critère d’accès conditionnel lors de l’accès aux ressources de l’entreprise.

Apportez votre propre appareil (BYOD)

  • Jonction d’espace et gestion Intune : ici, l’utilisateur peut joindre ses appareils personnels pour accéder aux ressources et services de l’entreprise. Vous pouvez utiliser la jointure à l’espace de travail et inscrire des appareils dans le service de gestion des appareils mobiles (GAM) d’Intune pour recevoir des stratégies au niveau des appareils, ce qui est également une option pour évaluer les critères d’accès conditionnel.

En savoir plus sur la gestion des appareils dans l’ID Microsoft Entra.

Accès conditionnel basé sur l’application

Intune et Microsoft Entra ID travaillent ensemble pour s'assurer que seules les apps gérées peuvent accéder à la messagerie d'entreprise ou à d'autres services Microsoft 365.

Accès conditionnel Intune pour Exchange local

L’accès conditionnel peut servir à autoriser ou bloquer l’accès à Exchange local en fonction des stratégies de conformité des appareils et de l’état d’inscription. Quand vous utilisez un accès conditionnel avec une stratégie de conformité des appareils, seuls les appareils conformes peuvent accéder à Exchange local.

Vous pouvez configurer des paramètres avancés dans l’accès conditionnel pour un contrôle plus précis, par exemple pour :

  • Autoriser ou bloquer certaines plateformes.

  • Bloquer immédiatement les appareils qui ne sont pas gérés par Intune.

La conformité de tout appareil utilisé pour accéder à une instance d’Exchange locale est vérifiée lorsque les stratégies d’accès conditionnel et de conformité des appareils sont appliquées.

Quand un appareil ne remplit pas les conditions définies, l'utilisateur final est guidé tout au long du processus d'inscription de cet appareil pour résoudre le problème qui empêche l'appareil d'être conforme.

Remarque

À compter de juillet 2020, la prise en charge du Connecteur Exchange est dépréciée et remplacée par l’authentification hybride moderne (HMA). L’utilisation de l’authentification HMA n’oblige pas Intune à installer et à utiliser le Connecteur Exchange. Avec cette modification, l’interface utilisateur permettant de configurer et de gérer le connecteur Exchange pour Intune a été supprimée du Centre d’administration Microsoft Intune, sauf si vous utilisez déjà un connecteur Exchange avec votre abonnement.

Si un connecteur Exchange est configuré dans votre environnement, l’utilisation de votre locataire Intune reste prise en charge et vous avez toujours accès à l’interface utilisateur qui permet de gérer sa configuration. Pour plus d’informations, consultez Installer un connecteur Exchange local. Vous pouvez continuer à utiliser le connecteur ou configurer l’authentification HMA, puis le désinstaller.

L’authentification moderne hybride fournit des fonctionnalités précédemment fournies par le connecteur Exchange pour Intune : mappage de l’identité d’un appareil à son enregistrement Exchange. Ce mappage se produit désormais en dehors d’une configuration que vous effectuez dans Intune ou de l’exigence du connecteur Intune de relier Intune et Exchange. Avec HMA, l’obligation d’utiliser la configuration spécifique à Intune (le connecteur) a été supprimée.

Quel est le rôle Intune ?

Intune évalue et gère l’état de l’appareil.

Quel est le rôle du serveur Exchange ?

Le serveur Exchange fournit l’API et l’infrastructure pour déplacer des appareils en quarantaine.

Importante

N’oubliez pas que l’utilisateur de l’appareil doit déployer un profil de conformité et une licence Intune sur l’appareil afin que sa conformité puisse être évaluée. Si aucune stratégie de conformité n’est déployée sur l’utilisateur, l’appareil est considéré comme conforme et aucune restriction d’accès ne s’applique.

Prochaines étapes

Comment configurer l’accès conditionnel dans l’ID Microsoft Entra

Configurer des stratégies d’accès conditionnel basées sur des applications

Guide de création d’une stratégie d’accès conditionnel à Exchange sur site