Créer une stratégie d’accès conditionnel basée sur l’appareil

  • Article

Avec les stratégies de conformité des appareils Microsoft Intune, vos stratégies d’accès conditionnel Azure Active Directory (Azure AD) peuvent utiliser un état d’appareil pour accorder ou refuser l’accès aux applications et services de votre organisation.

Vous pouvez utiliser le centre d’administration Microsoft Intune pour configurer vos stratégies d’accès conditionnel basées sur l’appareil. À partir du centre d’administration, vous avez accès à l’interface utilisateur de la stratégie d’accès conditionnel, comme dans Microsoft Azure Active Directory. L’utilisation de l’interface utilisateur Microsoft Azure Active Directory permet d’accéder à toutes les options dont vous disposez si vous deviez configurer la stratégie à partir du Portail Azure. Les stratégies que vous créez peuvent spécifier les applications ou services que vous souhaitez protéger, les conditions dans lesquelles les applications ou services sont accessibles et les utilisateurs auxquels la stratégie s’applique.

Pour créer une stratégie d’accès conditionnel basée sur l’appareil, votre compte doit avoir l’une des autorisations suivantes dans Azure AD :

  • Administrateur général
  • Administrateur de sécurité
  • Administrateur de l’accès conditionnel

Pour tirer parti de l’état de conformité de l’appareil, configurez les stratégies d’accès conditionnel pour Exiger que l’appareil soit marqué comme conforme. Cette option est définie lors de la configuration de Accorder l’accès à l’étape 6 de la procédure suivante.

Importante

Avant de configurer l’accès conditionnel, vous devez configurer les stratégies de conformité des appareils Intune pour évaluer si les appareils répondent à des exigences spécifiques. Consultez l’article Bien démarrer avec les stratégies de conformité des appareils dans Intune.

Créer la stratégie d'accès conditionnel

  1. Connectez-vous au centre d’administration Microsoft Intune.

  2. SélectionnezSécurité >du point de terminaisonStratégies >d’accès> conditionnelNouvelle stratégie. Créer une stratégie d’accès conditionnel

    Le volet Nouveau s’ouvre, qui est le volet de configuration de Microsoft Azure Active Directory. La stratégie que vous créez est une stratégie Azure Active Directory pour l’accès conditionnel. Pour en savoir plus sur ce volet et les stratégies d’accès conditionnel, consultez composants de stratégie d’accès conditionnel dans le contenu Microsoft Azure Active Directory.

  3. Sous Affectations, configurez Utilisateurs pour sélectionner les identités dans le répertoire auquel la stratégie s’applique. Pour plus d’informations, consultez Utilisateurs et groupes dans la documentation Microsoft Azure Active Directory.

    • Sous l’onglet Inclure , configurez l’utilisateur et les groupes que vous souhaitez inclure.
    • Utilisez l’onglet Exclure s’il existe des utilisateurs, des rôles ou des groupes que vous souhaitez exclure de cette stratégie.

    Conseil

    Testez la stratégie sur un groupe plus petit d’utilisateurs pour vous assurer qu’elle fonctionne comme prévu avant de la déployer sur des groupes plus importants.

  4. Ensuite, configurez les actions ou les applications cloud, qui se trouvent également sous Affectations. Pour sélectionner la liste déroulante à laquelle cette stratégie s’applique, choisissez Applications cloud.

    • Sur l’onglet Inclure, utilisez les options disponibles pour identifier les applications et les services que vous souhaitez protéger avec cette stratégie d’accès conditionnel.

      Si vous choisissez Sélectionner les applications, sélectionnez les applications et services que vous souhaitez protéger avec cette stratégie.

      Attention

      Si vous choisissez Toutes les applications cloud, veillez à passer en revue l’avertissement, puis à exclure de cette stratégie votre compte ou d’autres utilisateurs et groupes appropriés qui doivent conserver l’accès pour utiliser le Portail Azure ou Microsoft Intune centre d’administration après l’entrée en vigueur de cette stratégie.

    • Utilisez l’onglet Exclure s’il existe des applications ou des services que vous souhaitez exclure de cette stratégie.

    Pour plus d’informations, consultez Applications ou actions cloud dans la documentationMicrosoft Azure Active Directory.

  5. Ensuite, configurez Conditions. Sélectionnez les signaux que vous souhaitez utiliser comme conditions pour cette stratégie. Les options suivantes sont disponibles :

    • Risque de l’utilisateur
    • Risque de connexion
    • Plateformes d’appareils
    • Emplacements
    • Applications clientes
    • Filtrer pour les appareils

    Pour plus d’informations sur ces options, consultez Conditions dans la documentation Microsoft Azure Active Directory.

    Conseil

    Si vous souhaitez protéger à la fois les clients d’authentification moderne et les clients Exchange ActiveSync, créez deux stratégies d’accès conditionnel distinctes, une pour chaque type de client. Bien qu’Exchange ActiveSync prenne en charge l’authentification moderne, la seule condition prise en charge par Exchange ActiveSync est la plateforme. Les autres conditions, y compris l’authentification multifacteur, ne sont pas prises en charge. Pour protéger efficacement l’accès à Exchange Online à partir d’Exchange ActiveSync, créez une stratégie d’accès conditionnel qui spécifie l’application cloud Microsoft 365 Exchange Online et l’application client Exchange ActiveSync, en sélectionnant le paramètre Appliquer la stratégie uniquement aux plateformes prises en charge.

  6. Sous Contrôles d’accès, sélectionnez Accorder , puis une ou plusieurs exigences. Pour en savoir plus sur les options d’octroi, consultez Accorder dans la documentation Microsoft Azure Active Directory.

    • Bloquer l’accès: les utilisateurs spécifiés dans cette stratégie se verront refuser l’accès aux applications dans les conditions que vous avez spécifiées.

    • Accorder l'accès: les utilisateurs spécifiés dans cette stratégie auront un accès, mais vous pouvez exiger les actions supplémentaires suivantes :

      • Exiger une authentification multifacteur
      • Exiger que l’appareil soit marqué comme conforme. Cette option est requise pour que la stratégie utilise l’état de conformité de l’appareil.
      • Exiger un appareil joint Azure AD hybride
      • Exiger une application cliente approuvée
      • Exiger une stratégie de protection des applications
      • Exiger le changement du mot de passe

      Capture d’écran de l’aire de configuration et des options d’octroi

  7. Sous Activer la stratégie, sélectionnez Activé. Par défaut, la stratégie est définie sur Rapport uniquement.

  8. Sélectionnez Créer.

Prochaines étapes

Accès conditionnel basé sur l’application avec Intune

Résolution des problèmes d’accès conditionnel à Intune