Stratégies de sécurité courantes pour les organisations Microsoft 365
Les organisations ont beaucoup à se soucier du déploiement de Microsoft 365 pour leur organization. Les stratégies d’accès conditionnel, de protection des applications et de conformité des appareils référencées dans cet article sont basées sur les recommandations de Microsoft et les trois principes directeurs de Confiance nulle :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Les organisations peuvent utiliser ces stratégies telles quels ou les personnaliser en fonction de leurs besoins. Si possible, testez vos stratégies dans un environnement hors production avant de les déployer sur vos utilisateurs de production. Les tests sont essentiels pour identifier et communiquer les effets possibles à vos utilisateurs.
Nous groupons ces stratégies en trois niveaux de protection en fonction de l’emplacement où vous vous trouvez dans votre parcours de déploiement :
- Point de départ : contrôles de base qui introduisent l’authentification multifacteur, les modifications de mot de passe sécurisées et les stratégies de protection des applications.
- Entreprise : contrôles améliorés qui introduisent la conformité des appareils.
- Sécurité spécialisée : stratégies qui nécessitent une authentification multifacteur à chaque fois pour des jeux de données ou des utilisateurs spécifiques.
Le diagramme suivant montre à quel niveau de protection chaque stratégie s’applique et si les stratégies s’appliquent aux PC, téléphones et tablettes, ou aux deux catégories d’appareils.
Vous pouvez télécharger ce diagramme au format PDF .
Conseil
Il est recommandé d’exiger l’utilisation de l’authentification multifacteur (MFA) avant d’inscrire des appareils dans Intune pour vous assurer que l’appareil est en possession de l’utilisateur prévu. Vous devez inscrire des appareils dans Intune avant de pouvoir appliquer des stratégies de conformité des appareils.
Configuration requise
Autorisations
- Les utilisateurs qui géreront les stratégies d’accès conditionnel doivent être en mesure de se connecter à l’Portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
- Les utilisateurs qui géreront les stratégies de protection des applications et de conformité des appareils doivent pouvoir se connecter à Intune en tant qu’administrateur Intune ou administrateur général.
- Les utilisateurs qui n’ont besoin que d’afficher les configurations peuvent se voir attribuer les rôles Lecteur de sécurité ou Lecteur global .
Pour plus d’informations sur les rôles et les autorisations, consultez l’article Microsoft Entra rôles intégrés.
Inscription de l’utilisateur
Assurez-vous que vos utilisateurs s’inscrivent pour l’authentification multifacteur avant d’exiger son utilisation. Si vous avez des licences qui incluent Microsoft Entra ID P2, vous pouvez utiliser la stratégie d’inscription MFA dans Protection Microsoft Entra ID pour exiger que les utilisateurs s’inscrivent. Nous fournissons des modèles de communication, que vous pouvez télécharger et personnaliser, pour promouvoir l’inscription.
Groupes
Tous les groupes Microsoft Entra utilisés dans le cadre de ces recommandations doivent être créés en tant que groupe Microsoft 365et non en tant que groupe de sécurité. Cette exigence est importante pour le déploiement d’étiquettes de confidentialité lors de la sécurisation des documents dans Microsoft Teams et SharePoint ultérieurement. Pour plus d’informations, consultez l’article En savoir plus sur les groupes et les droits d’accès dans Microsoft Entra ID
Attribution de stratégies
Les stratégies d’accès conditionnel peuvent être affectées à des utilisateurs, des groupes et des rôles d’administrateur. Intune stratégies de protection des applications et de conformité des appareils peuvent être affectées uniquement à des groupes. Avant de configurer vos stratégies, vous devez identifier qui doit être inclus et exclu. En règle générale, les stratégies de niveau de protection du point de départ s’appliquent à tous les organization.
Voici un exemple d’affectation de groupe et d’exclusions pour exiger l’authentification multifacteur une fois que vos utilisateurs ont terminé l’inscription utilisateur.
| Microsoft Entra stratégie d’accès conditionnel | Include | Exclure | |
|---|---|---|---|
| Point de départ | Exiger l’authentification multifacteur pour les risques de connexion moyens ou élevés | Tous les utilisateurs |
|
| Enterprise | Exiger l’authentification multifacteur pour un risque de connexion faible, moyen ou élevé | Groupe du personnel exécutif |
|
| Sécurité spécialisée | Exiger toujours l’authentification multifacteur | Groupe Top Secret Project Buckeye |
|
Soyez prudent lorsque vous appliquez des niveaux de protection plus élevés aux groupes et aux utilisateurs. L’objectif de la sécurité n’est pas d’ajouter des frictions inutiles à l’expérience utilisateur. Par exemple, les membres du groupe Top Secret Project Buckeye devront utiliser l’authentification multifacteur chaque fois qu’ils se connectent, même s’ils ne travaillent pas sur le contenu de sécurité spécialisé pour leur projet. Une friction excessive sur la sécurité peut entraîner une fatigue.
Vous pouvez envisager d’activer des méthodes d’authentification sans mot de passe, comme les clés de sécurité Windows Hello Entreprise ou FIDO2 pour réduire les frictions créées par certains contrôles de sécurité.
Comptes d’accès d’urgence
Toutes les organisations doivent avoir au moins un compte d’accès d’urgence qui est surveillé pour être utilisé et exclu des stratégies. Ces comptes sont utilisés uniquement si tous les autres comptes d’administrateur et méthodes d’authentification deviennent verrouillés ou indisponibles. Pour plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
Exclusions
Il est recommandé de créer un groupe Microsoft Entra pour les exclusions d’accès conditionnel. Ce groupe vous donne un moyen de fournir l’accès à un utilisateur pendant que vous résolvez les problèmes d’accès.
Avertissement
Il est recommandé d’utiliser ce groupe comme solution temporaire uniquement. Surveillez et auditez en permanence ce groupe pour les modifications et assurez-vous que le groupe d’exclusion est utilisé uniquement comme prévu.
Pour ajouter ce groupe d’exclusion à toutes les stratégies existantes :
- Connectez-vous au Portail Azure en tant qu’administrateur de l’accès conditionnel, administrateur de la sécurité ou administrateur général.
- Accédez à Microsoft Entra ID>Sécurité>Accès conditionnel.
- Sélectionnez une stratégie existante.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organization et le groupe d’exclusion d’accès conditionnel.
Déploiement
Nous vous recommandons d’implémenter les stratégies de point de départ dans l’ordre indiqué dans ce tableau. Toutefois, les stratégies MFA pour les niveaux de protection d’entreprise et de sécurité spécialisés peuvent être implémentées à tout moment.
Point de départ
| Stratégie | Informations supplémentaires | Licences |
|---|---|---|
| Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Utiliser les données de risque de Protection Microsoft Entra ID pour exiger l’authentification multifacteur uniquement quand un risque est détecté | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire sécurité E5 |
| Bloquer les clients ne prenant pas en charge l’authentification moderne | Les clients qui n’utilisent pas l’authentification moderne peuvent contourner les stratégies d’accès conditionnel. Il est donc important de les bloquer. | Microsoft 365 E3 ou E5 |
| Les utilisateurs à risque élevé doivent modifier leur mot de passe | Force les utilisateurs à modifier leur mot de passe lors de la connexion si une activité à haut risque est détectée pour leur compte. | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire sécurité E5 |
| Appliquer des stratégies de protection des applications pour la protection des données | Une Intune stratégie de protection des applications par plateforme (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 ou E5 |
| Exiger des applications approuvées et des stratégies de protection des applications | Applique des stratégies de protection des applications mobiles pour les téléphones et les tablettes utilisant iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Entreprise
| Stratégie | Informations supplémentaires | Licences |
|---|---|---|
| Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Utiliser les données de risque de Protection Microsoft Entra ID pour exiger l’authentification multifacteur uniquement quand un risque est détecté | Microsoft 365 E5 ou Microsoft 365 E3 avec le module complémentaire sécurité E5 |
| Définir des stratégies de conformité des appareils | Définissez la configuration minimale requise. Une stratégie pour chaque plateforme. | Microsoft 365 E3 ou E5 |
| Exiger des PC et des appareils mobiles conformes | Applique les exigences de configuration pour les appareils qui accèdent à votre organization | Microsoft 365 E3 ou E5 |
Sécurité spécialisée
| Stratégie | Informations supplémentaires | Licences |
|---|---|---|
| Toujours exiger l’authentification multifacteur | Les utilisateurs doivent effectuer l’authentification multifacteur chaque fois qu’ils se connectent aux services de votre organisation | Microsoft 365 E3 ou E5 |
Stratégies de protection des applications
Protection d'applications stratégies définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organization. De nombreux choix sont disponibles et cela peut prêter à confusion pour certains. Les bases de référence suivantes sont les configurations recommandées par Microsoft qui peuvent être adaptées à vos besoins. Nous fournissons trois modèles à suivre, mais la plupart des organisations choisissent les niveaux 2 et 3.
Le niveau 2 correspond à ce que nous considérons comme point de départ ou sécurité au niveau de l’entreprise , le niveau 3 correspond à la sécurité spécialisée .
Protection de base des données d’entreprise de niveau 1 : Microsoft recommande cette configuration comme configuration minimale de protection des données pour un appareil d’entreprise.
Protection améliorée des données d’entreprise de niveau 2 : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent à des données professionnelles ou scolaires. Certains contrôles peuvent affecter l’expérience utilisateur.
Haute protection des données d’entreprise de niveau 3 : Microsoft recommande cette configuration pour les appareils exécutés par un organization avec une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (utilisateurs qui gèrent des données hautement sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour les organization). Un organization susceptible d’être ciblé par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration.
Créer des stratégies de protection des applications
Create une nouvelle stratégie de protection des applications pour chaque plateforme (iOS et Android) dans Microsoft Intune à l’aide des paramètres de l’infrastructure de protection des données en :
- Créez manuellement les stratégies en suivant les étapes décrites dans Comment créer et déployer des stratégies de protection des applications avec Microsoft Intune.
- Importez l’exemple Intune modèles JSON app Protection Policy Configuration Framework avec les scripts PowerShell de Intune.
Stratégies de conformité d’appareil
Intune stratégies de conformité des appareils définissent les exigences que les appareils doivent respecter pour être déterminés comme conformes.
Vous devez créer une stratégie pour chaque pc, téléphone ou tablette. Cet article traite des recommandations pour les plateformes suivantes :
Create stratégies de conformité des appareils
Pour créer des stratégies de conformité des appareils, connectez-vous au centre d’administration Microsoft Intune, puis accédez à Stratégies deconformité>des appareils>. Sélectionner Créer une stratégie.
Pour obtenir des instructions pas à pas sur la création de stratégies de conformité dans Intune, consultez Create une stratégie de conformité dans Microsoft Intune.
Paramètres d’inscription et de conformité pour iOS/iPadOS
iOS/iPadOS prend en charge plusieurs scénarios d’inscription, dont deux sont couverts dans le cadre de cette infrastructure :
- Inscription d’appareils pour les appareils personnels : ces appareils appartiennent à l’utilisateur et sont utilisés à des fins professionnelles et personnelles.
- Inscription automatisée des appareils pour les appareils appartenant à l’entreprise : ces appareils appartiennent à l’entreprise, sont associés à un seul utilisateur et utilisés exclusivement pour un usage professionnel et non personnel.
En utilisant les principes décrits dans Confiance nulle configurations d’identité et d’accès aux appareils :
- Le point de départ et les niveaux de protection de l’entreprise correspondent étroitement aux paramètres de sécurité renforcée de niveau 2.
- Le niveau de protection de sécurité spécialisé correspond étroitement aux paramètres de haute sécurité de niveau 3.
Paramètres de conformité pour les appareils inscrits personnellement
- Sécurité de base personnelle (niveau 1) : Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils personnels où les utilisateurs accèdent aux données professionnelles ou scolaires. Cette configuration s’effectue en appliquant des stratégies de mot de passe, des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil, telles que les certificats non approuvés.
- Sécurité renforcée personnelle (niveau 2) : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration enrôle les contrôles de partage de données. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires sur un appareil.
- Haute sécurité personnelle (niveau 3) : Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (utilisateurs qui gèrent des données hautement sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour les organization). Cette configuration applique des stratégies de mot de passe plus fortes, désactive certaines fonctions d’appareil et applique des restrictions de transfert de données supplémentaires.
Paramètres de conformité pour l’inscription automatisée des appareils
- Sécurité de base supervisée (niveau 1) : Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils supervisés où les utilisateurs accèdent aux données professionnelles ou scolaires. Cette configuration s’effectue en appliquant des stratégies de mot de passe, des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil, telles que les certificats non approuvés.
- Sécurité renforcée supervisée (niveau 2) : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration permet d’effectuer des contrôles de partage de données et de bloquer l’accès aux périphériques USB. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires sur un appareil.
- Haute sécurité supervisée (niveau 3) : Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (utilisateurs qui gèrent des données très sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour les organization). Cette configuration applique des stratégies de mot de passe plus fortes, désactive certaines fonctions d’appareil, applique des restrictions de transfert de données supplémentaires et nécessite l’installation des applications via le programme d’achat en volume d’Apple.
Paramètres d’inscription et de conformité pour Android
Android Enterprise prend en charge plusieurs scénarios d’inscription, dont deux sont couverts dans le cadre de ce framework :
- Profil professionnel Android Entreprise : ce modèle d’inscription est généralement utilisé pour les appareils personnels, où le service informatique souhaite fournir une séparation claire entre les données professionnelles et personnelles. Les stratégies contrôlées par le service informatique garantissent que les données professionnelles ne peuvent pas être transférées dans le profil personnel.
- Appareils Android Enterprise entièrement gérés : ces appareils appartiennent à l’entreprise, sont associés à un seul utilisateur et utilisés exclusivement pour un usage professionnel et non personnel.
L’infrastructure de configuration de la sécurité Android Entreprise est organisée en plusieurs scénarios de configuration distincts, fournissant des conseils pour les scénarios de profil professionnel et complètement managés.
En utilisant les principes décrits dans Confiance nulle configurations d’identité et d’accès aux appareils :
- Le point de départ et les niveaux de protection de l’entreprise correspondent étroitement aux paramètres de sécurité renforcée de niveau 2.
- Le niveau de protection de sécurité spécialisé correspond étroitement aux paramètres de haute sécurité de niveau 3.
Paramètres de conformité pour les appareils avec profil professionnel Android Entreprise
- En raison des paramètres disponibles pour les appareils avec profil professionnel appartenant à l’utilisateur, il n’existe aucune offre de sécurité de base (niveau 1). Les paramètres disponibles ne justifient pas une différence entre le niveau 1 et le niveau 2.
- Sécurité renforcée du profil professionnel (niveau 2) : Microsoft recommande cette configuration comme configuration de sécurité minimale pour les appareils personnels où les utilisateurs accèdent aux données professionnelles ou scolaires. Cette configuration introduit des exigences de mot de passe, sépare les données professionnelles et personnelles, et valide l’attestation des appareils Android.
- Haute sécurité du profil professionnel (niveau 3) : Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (utilisateurs qui gèrent des données très sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour les organization). Cette configuration introduit la protection contre les menaces mobiles ou Microsoft Defender pour point de terminaison, définit la version minimale d’Android, applique des stratégies de mot de passe plus fortes et restreint davantage la séparation professionnelle et personnelle.
Paramètres de conformité pour les appareils Android Entreprise entièrement gérés
- Sécurité de base complètement managée (niveau 1) : Microsoft recommande cette configuration comme configuration de sécurité minimale pour un appareil d’entreprise. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent à des données professionnelles ou scolaires. Cette configuration introduit des exigences de mot de passe, définit la version minimale d’Android et applique certaines restrictions d’appareil.
- Sécurité renforcée entièrement managée (niveau 2) : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration applique des stratégies de mot de passe plus fortes et désactive les fonctionnalités de l’utilisateur/compte.
- Haute sécurité complètement managée (niveau 3) : Microsoft recommande cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque unique élevé. Ces utilisateurs peuvent gérer des données très sensibles lorsque la divulgation non autorisée peut entraîner une perte matérielle considérable pour le organization. Cette configuration augmente la version minimale d’Android, introduit la protection contre les menaces mobiles ou Microsoft Defender pour point de terminaison et applique des restrictions supplémentaires sur les appareils.
Paramètres de conformité recommandés pour Windows 10 et versions ultérieures
Les paramètres suivants sont configurés à l’étape 2 : Paramètres de conformité, du processus de création de stratégie de conformité pour les appareils Windows 10 et plus récents. Ces paramètres s’alignent sur les principes décrits dans Confiance nulle configurations d’identité et d’accès aux appareils.
Pour connaître les règles d’évaluation du service d’attestation d’intégrité Windows d’intégrité de l’appareil>, consultez ce tableau.
| Propriété | Valeur |
|---|---|
| Exiger BitLocker | Require (Rendre obligatoire) |
| Exiger l’activation du démarrage sécurisé sur l’appareil | Require (Rendre obligatoire) |
| Exiger l’intégrité du code | Require (Rendre obligatoire) |
Pour Propriétés de l’appareil, spécifiez les valeurs appropriées pour les versions du système d’exploitation en fonction de vos stratégies informatiques et de sécurité.
Pour Configuration Manager Conformité, si vous êtes dans un environnement cogéré avec Configuration Manager sélectionnez Exiger sinon, sélectionnez Non configuré.
Pour la sécurité du système, consultez ce tableau.
| Propriété | Valeur |
|---|---|
| Exiger un mot de passe pour déverrouiller des appareils mobiles | Require (Rendre obligatoire) |
| Mots de passe simples | Bloquer |
| Type de mot de passe | Par défaut de l’appareil |
| Longueur minimale du mot de passe | 6 |
| Nombre maximal de minutes d’inactivité avant qu’un mot de passe ne soit requis | 15 minutes |
| Expiration du mot de passe (jours) | 41 |
| Nombre de mots de passe précédents avant d’autoriser leur réutilisation | 5 |
| Exiger un mot de passe lorsque l’appareil retourne un état d’inactivité (mobile et holographique) | Require (Rendre obligatoire) |
| Exiger le chiffrement du stockage des données sur l’appareil | Require (Rendre obligatoire) |
| Pare-feu | Require (Rendre obligatoire) |
| Antivirus | Require (Rendre obligatoire) |
| Logiciel anti-espion | Require (Rendre obligatoire) |
| Logiciel anti-programme malveillant Microsoft Defender | Require (Rendre obligatoire) |
| Version minimale du logiciel anti-programme malveillant Microsoft Defender | Microsoft recommande des versions qui ne dépassent pas cinq versions par rapport à la version la plus récente. |
| Microsoft Defender la signature anti-programme malveillant à jour | Require (Rendre obligatoire) |
| Protection en temps réel | Require (Rendre obligatoire) |
Pour Microsoft Defender pour point de terminaison
| Propriété | Valeur |
|---|---|
| Exiger que l’appareil soit au niveau ou sous le score de risque de la machine | Moyen |
Stratégies d’accès conditionnel
Une fois que vos stratégies de protection des applications et de conformité des appareils sont créées dans Intune, vous pouvez activer l’application avec des stratégies d’accès conditionnel.
Exiger l’authentification multifacteur en fonction du risque de connexion
Suivez les instructions de l’article Stratégie d’accès conditionnel commune : Authentification multifacteur basée sur les risques de connexion pour créer une stratégie pour exiger une authentification multifacteur basée sur le risque de connexion.
Lors de la configuration de votre stratégie, utilisez les niveaux de risque suivants.
| Niveau de protection | Valeurs de niveau de risque nécessaires | Action |
|---|---|---|
| Point de départ | Élevé, moyen | Vérifiez les deux. |
| Entreprise | Élevé, moyen, faible | Vérifiez les trois. |
Bloquer les clients qui ne prennent pas en charge l’authentification multifacteur
Suivez les instructions de l’article Stratégie d’accès conditionnel commune : Bloquer l’authentification héritée pour bloquer l’authentification héritée.
Les utilisateurs à risque élevé doivent modifier leur mot de passe
Suivez les instructions de l’article Stratégie d’accès conditionnel commune : Modification du mot de passe basé sur les risques de l’utilisateur pour demander aux utilisateurs disposant d’informations d’identification compromises de modifier leur mot de passe.
Utilisez cette stratégie avec Microsoft Entra protection par mot de passe, qui détecte et bloque les mots de passe faibles connus et leurs variantes en plus des termes spécifiques à votre organization. L’utilisation de Microsoft Entra protection par mot de passe garantit que les mots de passe modifiés sont plus forts.
Exiger des applications approuvées et des stratégies de protection des applications
Vous devez créer une stratégie d’accès conditionnel pour appliquer les stratégies de protection des applications créées dans Intune. L’application de stratégies de protection des applications nécessite une stratégie d’accès conditionnel et une stratégie de protection des applications correspondante.
Pour créer une stratégie d’accès conditionnel qui nécessite des applications approuvées et une protection des applications, suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles. Cette stratégie autorise uniquement les comptes dans les applications mobiles protégées par des stratégies de protection des applications à accéder aux points de terminaison Microsoft 365.
Le blocage de l’authentification héritée pour d’autres applications clientes sur les appareils iOS et Android garantit que ces clients ne peuvent pas contourner les stratégies d’accès conditionnel. Si vous suivez les instructions de cet article, vous avez déjà configuré Bloquer les clients qui ne prennent pas en charge l’authentification moderne.
Exiger des PC et des appareils mobiles conformes
Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel pour exiger que les appareils accédant aux ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organization.
Attention
Assurez-vous que votre appareil est conforme avant d’activer cette stratégie. Sinon, vous risquez d’être verrouillé et de ne pas pouvoir modifier cette stratégie tant que votre compte d’utilisateur n’a pas été ajouté au groupe d’exclusion d’accès conditionnel.
- Connectez-vous au Portail Azure.
- Accédez à Microsoft Entra ID>Sécurité>Accès conditionnel.
- Sélectionnez Nouvelle stratégie.
- Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme significative pour les noms de leurs stratégies.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
- Sous Inclure, sélectionnez Tous les utilisateurs.
- Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organization.
- Sous Applications cloud ou actions>Inclure, sélectionnez Toutes les applications cloud.
- Si vous devez exclure des applications spécifiques de votre stratégie, vous pouvez les choisir sous l’onglet Exclure sous Sélectionner les applications cloud exclues , puis sélectionner Sélectionner.
- Sous Contrôle> d’accèsAccorder.
- Sélectionnez Exiger que l'appareil soit marqué comme conforme.
- Sélectionnez Sélectionner.
- Confirmez vos paramètres et définissez Activer les stratégies sur Activé.
- Sélectionnez Create à créer pour activer votre stratégie.
Remarque
Vous pouvez inscrire vos nouveaux appareils à Intune même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les applications cloud dans votre stratégie. Exiger que l’appareil soit marqué comme étant conforme ne bloque pas l’inscription Intune et l’accès à l’application Microsoft Intune Web Portail d'entreprise.
Activation de l’abonnement
Les organisations qui utilisent la fonctionnalité Activation d’abonnement pour permettre aux utilisateurs de passer d’une version de Windows à une autre peuvent vouloir exclure les API du service Store universel et l’application web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de leur stratégie de conformité des appareils.
Toujours exiger l’authentification multifacteur
Suivez les instructions de l’article Stratégie d’accès conditionnel commune : Exiger de l’authentification multifacteur pour tous les utilisateurs d’exiger que vos utilisateurs de niveau de sécurité spécialisés effectuent toujours l’authentification multifacteur.
Avertissement
Lors de la configuration de votre stratégie, sélectionnez le groupe qui nécessite une sécurité spécialisée et utilisez-le au lieu de sélectionner Tous les utilisateurs.
Prochaines étapes
En savoir plus sur les recommandations de stratégie pour les utilisateurs invités et externes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour