Fonctionnalités Mobility + Security de Base
Mobilité et sécurité de base peuvent vous aider à sécuriser et à gérer les appareils mobiles tels que les iPhone, iPads, Androids et Windows Phone utilisés par les utilisateurs Microsoft 365 sous licence de votre organisation. Vous pouvez créer des stratégies de gestion des appareils mobiles avec des paramètres qui peuvent vous aider à contrôler l’accès à la messagerie et aux documents Microsoft 365 de votre organisation pour les appareils mobiles et les applications pris en charge. En cas de perte ou de vol d’un appareil, vous pouvez le réinitialiser à distance pour supprimer les informations sensibles de l’organisation qu’il contient.
Systèmes d’exploitation pris en charge
Suivez le guide des systèmes d’exploitation Microsoft Intune pour connaître les systèmes d’exploitation minimum pris en charge pour les appareils par Mobilité et sécurité de base. Pour plus d’informations, consultez Systèmes d’exploitation pris en charge par Intune.
Vous pouvez utiliser Mobilité et sécurité de base pour sécuriser et gérer les appareils suivants.
- iOS
- Android (y compris Samsung Knox)1
- Windows2, 3
1Après juin 2020, les versions Android ultérieures à la version 9 ne peuvent pas gérer les paramètres de mot de passe, sauf sur les appareils Samsung Knox.
2Le contrôle d’accès pour les appareils Windows 8.1 RT est limité à Exchange ActiveSync.
3Le contrôle d’accès pour Windows 10 nécessite un abonnement qui inclut l’ID Microsoft Entra P1 ou P2 et l’appareil doit être joint à l’ID Microsoft Entra.
Remarque
Les appareils déjà inscrits avec des versions antérieures du système d’exploitation continuent de fonctionner, bien que les fonctionnalités puissent changer sans préavis.
Si les membres de votre organisation utilisent des appareils mobiles qui ne sont pas pris en charge par Mobilité et sécurité de base, vous pouvez bloquer l’accès de l’application Exchange ActiveSync à la messagerie Microsoft 365 pour ces appareils, afin de sécuriser les données de votre organisation. Pour connaître les étapes de blocage d’Exchange ActiveSync, consultez Gérer les paramètres d’accès aux appareils dans Mobilité et sécurité de base.
Contrôle d’accès pour la messagerie et les documents Microsoft 365
Les applications prises en charge pour les différents types d’appareils mobiles figurant dans le tableau suivant invitent les utilisateurs à s’inscrire dans Mobilité et sécurité de base lorsqu’il existe une nouvelle stratégie de gestion des appareils mobiles qui s’applique à l’appareil d’un utilisateur et que l’utilisateur n’a pas inscrit l’appareil précédemment. Si l’appareil d’un utilisateur n’est pas conforme à une stratégie, selon la façon dont vous définissez la stratégie, un utilisateur peut être bloqué pour accéder aux ressources Microsoft 365 dans ces applications, ou il peut y avoir accès, mais Microsoft 365 signale une violation de stratégie.
| Produit | iOS | Android |
|---|---|---|
| Échange Exchange ActiveSync inclut des applications de messagerie et tierces intégrées, comme TouchDown, qui utilisent Exchange ActiveSync version 14.1 ou ultérieure. | Courrier | |
| Applications dans Microsoft 365 et OneDrive Entreprise | Outlook OneDrive Word Excel PowerPoint |
Sur les téléphones et tablettes : Outlook OneDrive Word Excel PowerPoint Sur les téléphones uniquement : Microsoft 365 mobile |
Remarque
- La prise en charge d’iOS 10.0 et versions ultérieures inclut les appareils iPhone et iPad.
- La gestion des appareils de système d’exploitation BlackBerry n’est pas prise en charge par la sécurité de base et la mobilité. Utilisez BlackBerry Business Cloud Services (BBCS) de BlackBerry pour gérer les appareils de système d’exploitation BlackBerry. Les appareils Blackberry exécutant le système d’exploitation Android sont pris en charge en tant qu’appareils Android standard
- Les utilisateurs ne seront pas invités à s’inscrire et ne seront pas bloqués ou signalés pour violation de stratégie s’ils utilisent le navigateur mobile pour accéder à des sites Microsoft 365 SharePoint, des documents dans Microsoft 365 sur le web ou des e-mails dans Outlook Web App.
Le diagramme suivant montre ce qui se passe lorsqu’un utilisateur disposant d’un nouvel appareil se connecte à une application qui prend en charge le contrôle d’accès avec Mobilité et sécurité de base. L’utilisateur ne peut pas accéder aux ressources Microsoft 365 dans l’application tant qu’il n’a pas inscrit son appareil.
Remarque
Les stratégies et les règles d’accès créées dans Mobilité et sécurité de base pour Microsoft 365 Business Standard remplacent les stratégies de boîte aux lettres des appareils mobiles Exchange ActiveSync et les règles d’accès aux appareils créées dans le Centre d’administration Exchange. Une fois qu’un appareil est inscrit dans Mobilité et sécurité de base pour Microsoft 365 Business Standard, toute stratégie de boîte aux lettres d’appareil mobile Exchange ActiveSync ou règle d’accès à l’appareil appliquée à l’appareil est ignorée. Pour en savoir plus sur Exchange ActiveSync, consultez Exchange ActiveSync dans Exchange Online.
Paramètres de stratégie pour les appareils mobiles
Si vous créez une stratégie pour bloquer l’accès avec certains paramètres activés, les utilisateurs ne peuvent pas accéder aux ressources Microsoft 365 lors de l’utilisation d’une application prise en charge répertoriée dans Contrôle d’accès pour la messagerie et les documents Microsoft 365.
Les paramètres qui peuvent empêcher les utilisateurs d’accéder aux ressources Microsoft 365 se trouvent dans les sections suivantes :
Sécurité
Chiffrement
Débridage
Profil de messagerie géré
Par exemple, le diagramme suivant montre ce qui se produit lorsqu’un utilisateur disposant d’un appareil inscrit ne respecte pas un paramètre de sécurité dans une stratégie de gestion des appareils mobiles qui s’applique à son appareil. L’utilisateur se connecte à une application qui prend en charge le contrôle d’accès avec Basic Mobility and Security. Ils ne peuvent pas accéder aux ressources Microsoft 365 dans l’application tant que leur appareil n’est pas conforme au paramètre de sécurité.
Les sections suivantes répertorient les paramètres de stratégie que vous pouvez utiliser pour sécuriser et gérer les appareils mobiles qui se connectent à vos ressources d’organisation Microsoft 365.
Paramètres de sécurité
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Exiger un mot de passe | Oui | Non | Non |
| Empêcher l’utilisation de mots de passe simples | Oui | Non | Non |
| Exiger un mot de passe alphanumérique | Oui | Non | Non |
| Longueur minimale du mot de passe | Oui | Oui | Oui |
| Nombre d’échecs de connexion avant la réinitialisation de l’appareil | Oui | Oui | Oui |
| Durée d’inactivité (en minutes) avant le verrouillage de l’appareil | Oui | Non | Non |
| Expiration du mot de passe (jours) | Oui | Oui | Oui |
| Conserver l’historique des mots de passe et empêcher leur réutilisation | Oui | Oui | Oui |
Importante
Verrouiller les appareils s’ils sont inactifs pendant autant de minutes n’est plus pris en charge pour Android et Samsung Knox.
Paramètres de chiffrement
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Exiger le chiffrement des données sur les appareils1 | Non | Oui | Oui |
1Avec Samsung Knox, vous pouvez également exiger le chiffrement sur les cartes de stockage.
Paramètre de débridage
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Impossible de débrider l’appareil ou de l’associer à une racine | Oui | Oui | Oui |
Option de profil de messagerie géré
L’option suivante peut empêcher les utilisateurs d’accéder à leur messagerie Microsoft 365 s’ils utilisent un profil de messagerie créé manuellement. Les utilisateurs d’appareils iOS doivent supprimer leur profil de messagerie créé manuellement pour pouvoir accéder à leur messagerie. Une fois le profil supprimé, un nouveau profil est automatiquement créé sur l’appareil. Pour obtenir des instructions sur la façon dont les utilisateurs finaux peuvent se conformer, consultez Un compte de messagerie existant a été trouvé.
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Le profil de messagerie est géré | Oui | Non | Non |
Paramètres de cloud
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Exiger la sauvegarde chiffrée | Oui | Non | Non |
| Bloquer la sauvegarde cloud1 | Oui | Non | Non |
| Bloquer la synchronisationde documents 1 | Oui | Non | Non |
| Bloquer la synchronisation de photos | Oui | Non | Non |
| Autoriser la sauvegarde Google | S/O | Non | Oui |
| Autoriser la synchronisation automatique du compte Google | S/O | Non | Oui |
1Pour fonctionner, ces paramètres nécessitent des appareils iOS supervisés.
Paramètres système
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Bloquer la capture d'écran | Oui | Non | Oui |
| Empêcher l’envoi de données de diagnostic à partir de l’appareil | Oui | Non | Oui |
Paramètres d’application
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Bloquer les vidéoconférences sur l’appareil1 | Oui | Non | Non |
| Bloquer l’accès au magasind’applications 1 | Oui | Non | Oui |
| Exiger un mot de passe en cas d'accès au magasin d'applications | Oui | Non | Non |
1Pour fonctionner, ces paramètres nécessitent des appareils iOS supervisés.
Paramètres de fonctionnalités d’appareil
| Nom du paramètre | iOS | Android | Samsung Knox |
|---|---|---|---|
| Bloquer la connexion au stockage amovible | Non | Non | Oui |
| Bloquer la connexion Bluetooth | Non | Non | Oui |
Paramètres supplémentaires
Vous pouvez définir les paramètres de stratégie supplémentaires suivants à l’aide des applets de commande PowerShell security & Compliance. Si vous souhaitez en savoir plus, veuillez consulter l’article Centre de conformité et sécurité PowerShell.
| Nom du paramètre | iOS | Android |
|---|---|---|
| CameraEnabled | Oui | Oui |
| RegionRatings | Oui | Non |
| MoviesRatings | Oui | Non |
| TVShowsRating | Oui | Non |
| AppsRatings | Oui | Non |
| AllowVoiceDialing | Oui | Non |
| AllowVoiceAssistant | Oui | Non |
| AllowAssistantWhileLocked | Oui | Non |
| AllowPassbookWhileLocked | Oui | Non |
| MaxPasswordGracePeriod | Oui | Non |
| PasswordQuality | Non | Oui |
| SystemSecurityTLS | Oui | Non |
| WLANEnabled | Non | Non |
Paramètres pris en charge par Windows
Vous pouvez gérer les appareils Windows 10 en les inscrivant en tant qu’appareils mobiles. Une fois qu’une stratégie applicable est déployée, les utilisateurs disposant d’appareils Windows 10 doivent s’inscrire à Mobilité et sécurité de base la première fois qu’ils utilisent l’application de messagerie intégrée pour accéder à leur messagerie Microsoft 365 (nécessite un abonnement Microsoft Entra ID P1 ou P2).
Les paramètres suivants sont pris en charge pour les appareils Windows 10 inscrits en tant qu’appareils mobiles. Ce paramètre n’empêche pas les utilisateurs d’accéder aux ressources Microsoft 365.
Paramètres de sécurité
Exiger un mot de passe alphanumérique
Longueur minimale du mot de passe
Nombre d’échecs de connexion avant la réinitialisation de l’appareil
Durée d’inactivité (en minutes) avant le verrouillage de l’appareil
Expiration du mot de passe (jours)
Conserver l’historique des mots de passe et empêcher leur réutilisation
Remarque
Les paramètres suivants qui régissent les mots de passe contrôlent uniquement les comptes Windows locaux. Les comptes Windows fournis par le biais de la jonction d’un domaine ou de l’ID Microsoft Entra ne sont pas affectés par ces paramètres.
Paramètres système
Bloquer l’envoi de données de diagnostic à partir de l’appareil.
Paramètres supplémentaires
Vous pouvez définir ces paramètres de stratégie supplémentaires à l’aide des applets de commande PowerShell :
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
Réinitialiser un appareil mobile à distance
Si un appareil est perdu ou volé, vous pouvez supprimer les données organisationnelles sensibles et empêcher l’accès aux ressources de votre organisation Microsoft 365 en effectuant une réinitialisation à partir du portail > de conformité Microsoft PurviewProtection contre la> perte de donnéesGestion des appareils. Vous pouvez effectuer une réinitialisation sélective de l’appareil afin de supprimer uniquement les données de l’organisation, ou effectuer une réinitialisation complète afin de supprimer toutes les informations qu’il contient et restaurer ses paramètres d’origine.
Pour plus d’informations, consultez Réinitialiser un appareil mobile dans Mobilité et sécurité de base.
Contenu connexe
Vue d’ensemble de la mobilité et de la sécurité de base pour Microsoft 365 (article)
Créer des stratégies de sécurité des appareils dans Mobilité et sécurité de base (article)