Sécuriser et protéger les applications à l’aide de Microsoft Intune
Une fois que vous avez configuré et déployé les fonctionnalités d’Intune, ajouté les applications que vous souhaitez gérer à Intune et configuré les applications que vous gérez dans Intune, vous pouvez commencer le processus de création de stratégies de protection des applications. les stratégies Protection d'applications (APP) sont des règles qui garantissent que les données de votre organization restent sécurisées et contenues dans une application managée. Ces stratégies appliquent la façon dont vos utilisateurs finaux accèdent aux données « d’entreprise » et les déplacent, ainsi que la façon dont vous contrôlez les actions interdites ou surveillées lorsque les utilisateurs finaux utilisent l’application. Cette application vous permet de contrôler la façon dont les données sont accessibles et partagées par les applications sur les appareils mobiles de votre organization.
Le contenu fourni dans cette solution vous aidera à comprendre les différents aspects de la protection des applications pour chacune des plateformes prises en charge. En outre, cette solution vous guidera tout au long de la création de vos stratégies de protection des applications en fonction de nos paramètres recommandés pour la protection des applications de base, améliorée et de haut niveau.
Les applications managées sont des applications que vous avez attribuées aux utilisateurs via un fournisseur de gestion des points de terminaison unifié, tel qu’Intune. Les applications gérées prennent en charge les stratégies de protection des applications, ainsi que les stratégies de configuration des applications. Ces applications utilisent la gestion des applications mobiles (GAM) fournie par le fournisseur de gestion unifiée des points de terminaison. La gestion des applications mobiles permet aux organisations de gérer et de protéger leurs données au sein d’une application. Une application gérée dans Intune est une application protégée qui a des stratégies de protection des applications Intune qui lui sont appliquées et qui est affectée et gérée par Intune. Une application managée a intégré le SDK d’application Intune ou a été encapsulée à l’aide de l’outil de création de package de restrictions Intune pour prendre en charge les stratégies de protection des applications (APP) et/ou les stratégies de configuration d’application. Vous pouvez utiliser des stratégies GAM pour configurer et protéger les applications sur les appareils non gérés, qui sont les appareils personnels de votre utilisateur final qui ne sont pas inscrits à la gestion des appareils mobiles dans Intune.
Conseil
Pour plus d’informations sur le moment où vous devez envisager de déployer des stratégies GAM, consultez Guide de migration : Configurer ou déplacer vers Microsoft Intune.
L’utilisation de stratégies de protection des applications offre l’avantage de protéger les données de votre organization au niveau de l’application. Pour les utilisateurs finaux, la productivité n’est pas affectée et les stratégies de protection des applications ne s’appliquent pas lorsque les utilisateurs finaux utilisent l’application dans un contexte personnel. Il existe plusieurs situations dans lesquelles vous devez généralement utiliser des stratégies de protection des applications. Par instance, si vos utilisateurs finaux utilisent leur appareil personnel, vous pouvez utiliser une stratégie de protection des applications pour contrôler l’accès à l’application à l’aide d’un code confidentiel. Vous pouvez appliquer des restrictions de partage de données pour que les données de votre organization ne soient pas partagées avec des applications non managées. En outre, vous souhaiterez peut-être empêcher les utilisateurs finaux d’enregistrer des données organization dans des emplacements personnels. Pour plus d’informations, consultez Avantages de l’utilisation de stratégies Protection d'applications.
Importante
Vous pouvez utiliser Intune pour appliquer une stratégie de sécurité Confiance nulle pour votre organization. Confiance nulle est une approche à utiliser lors de la conception et de l’implémentation d’un ensemble de principes de sécurité. Pour plus d’informations, consultez Confiance nulle avec Microsoft Intune et Confiance nulle configurations d’identité et d’accès aux appareils.
Les organisations peuvent utiliser des stratégies de protection des applications avec et sans mobile Gestion des appareils (GPM) en même temps. Par exemple, prenons l’exemple d’un utilisateur final (employé ou membre organization) qui utilise à la fois un téléphone émis par l’entreprise et sa propre tablette personnelle. Le téléphone organization émis est inscrit à GPM et protégé par des stratégies de protection des applications, tandis que l’appareil personnel est protégé par des stratégies de protection des applications uniquement.
Plateformes prises en charge
Trois plateformes principales sont prises en charge lors de la création d’une stratégie de protection des applications dans Intune.
| Plateforme | Description |
|---|---|
| iOS/iPadOS | Vous pouvez appliquer des stratégies de protection des applications aux applications iOS/iPadOS qui ont été développées pour prendre en charge les fonctionnalités de protection des applications Intune. Vous pouvez appliquer la protection des applications à des groupes d’utilisateurs qui se connectent à des appareils iOS/iPadOS. Plus précisément, vous pouvez appliquer la protection des applications en fonction de la protection des données, des exigences d’accès et des paramètres de lancement conditionnel dans une stratégie de protection des applications pour iOS/iPadOS. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS dans Microsoft Intune. |
| Android | Vous pouvez appliquer des stratégies de protection des applications aux applications Android qui ont été développées pour prendre en charge les fonctionnalités de protection des applications Intune. Vous pouvez appliquer la protection des applications à des groupes d’utilisateurs qui se connectent à des appareils Android. Plus précisément, vous pouvez appliquer la protection des applications en fonction de la protection des données, des exigences d’accès et des paramètres de lancement conditionnel dans une stratégie de protection des applications pour Android. Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android dans Microsoft Intune. |
| Windows | Actuellement, vous pouvez appliquer des stratégies de protection des applications à Microsoft Edge pour les appareils Windows. À l’aide de Microsoft Edge, vous pouvez contrôler la façon dont les données de votre organization sont accessibles. Vous pouvez appliquer la protection des applications à des groupes d’utilisateurs qui se connectent à des appareils Windows. Plus précisément, vous pouvez appliquer la protection des applications en fonction des paramètres de protection des données et de contrôle d’intégrité dans une stratégie de protection des applications pour Windows. Les paramètres de protection des données vous permettent de contrôler la façon dont les données entrent et sortent de votre contexte organization (organisation). Le contexte de l’organisation est défini par les documents, services et sites accessibles par le compte d’organisation spécifié. Vous pouvez utiliser les paramètres de stratégie de protection des applications pour contrôler les données externes reçues dans le contexte de l’organisation et les données d’organisation envoyées en dehors du contexte de l’organisation. Ces paramètres incluent la réception et l’envoi de données d’organisation. En outre, vous pouvez implémenter des contrôles de protection contre la perte de données (DLP), tels que les restrictions couper, copier, coller et enregistrer sous. En outre, vous pouvez autoriser ou bloquer l’impression des données de l’organisation. Pour plus d’informations, consultez Protection d'applications paramètres de stratégie pour Windows. |
Pour plus d’informations sur les plateformes prises en charge, consultez Fonctionnalités de gestion des applications par plateforme.
Applications prises en charge
Pour les plateformes iOS/iPadOS et Android, vous pouvez appliquer des stratégies de protection des applications à n’importe quelle application managée qui a été développée pour prendre en charge les fonctionnalités de protection des applications Intune. L’application gérée a intégré le SDK d’application Intune ou a été encapsulée à l’aide de l’App Wrapping Tool Intune. Pour la plateforme Windows, vous pouvez activer la protection des données des données d’entreprise sur les appareils Windows personnels à l’aide de la gestion des applications mobiles Windows. La gestion des applications mobiles Windows est l’endroit où vous appliquez des stratégies de protection des applications à Microsoft Edge pour Windows. Microsoft Edge, ainsi que la plupart des applications Microsoft, ont été intégrés pour prendre en charge Intune à l’aide du SDK d’application Intune. Pour obtenir la liste des applications qui incluent l’intégration du SDK, consultez Microsoft Intune applications protégées.
Configuration requise
Avant de pouvoir protéger des applications avec Microsoft Intune, vous devez respecter quelques prérequis pour configurer Intune et comprendre les configurations clés de gestion des applications.
Remarque
Si vous débutez avec Intune, commencez par l’essai gratuit Microsoft Intune. L’essai d’Intune est gratuit pendant 30 jours. Une fois le processus d’inscription terminé, vous disposez d’un nouveau locataire que vous pouvez utiliser pour évaluer Intune. Un locataire est un instance dédié de Microsoft Entra ID (Microsoft Entra ID) où votre abonnement à Intune est hébergé. Vous pouvez ensuite configurer le locataire, ce qui implique de nombreuses fonctionnalités que vous pouvez utiliser pour protéger vos organization. L’une d’elles implique l’ajout et la configuration d’applications pour Intune.
Suivez ces étapes si vous n’avez pas déjà configuré Intune et ajouté les applications dont vous avez besoin pour gérer et protéger :
- Configurer et déployer Intune
- Comprendre la protection des applications
- Comprendre les types d’applications
- Ajouter des applications à Intune.
Importante
Pour utiliser Microsoft Intune au-delà de l’essai gratuit, vous devez acquérir une licence auprès de Microsoft. Pour plus d’informations sur les licences qui incluent Microsoft Intune, consultez licences Microsoft Intune.
Bien que de nombreuses applications que vous pouvez déployer sur les membres de votre organization soient gratuites, certaines applications peuvent nécessiter une licence, un abonnement ou un compte pour chaque utilisateur pour utiliser l’application. Pour plus d’informations sur les licences d’application, consultez Comprendre les licences d’application utilisées dans Intune.
Protection des applications
Protection d'applications peuvent être appliquées à des applications gérées prises en charge sur des plateformes d’appareils prises en charge qui sont inscrites avec Microsoft Intune, inscrites dans une solution de gestion des appareils mobiles (GPM) tierce ou qui ne sont pas inscrites dans une solution de gestion des appareils mobiles.
Lors de la création d’une stratégie de protection des applications, vous choisissez les détails suivants dans l’ordre suivant :
- La plateforme
- L’application que vous souhaitez protéger
- Paramètres de protection des données pour l’application
- Conditions d’accès pour l’application
- Paramètres de lancement conditionnel pour l’application
En plus de la liste ci-dessus, vous pouvez également choisir des balises d’étendue et desaffectations d’applications.
Importante
L’application Portail d'entreprise Intune est requise sur les appareils Android, car elle permet aux utilisateurs de l’appareil de recevoir des stratégies de protection des applications en tant que contrôleur de stratégie d’appareil. Il permet aux utilisateurs d’appareils de recevoir des stratégies de protection des applications. Pour plus d’informations, consultez Guide pratique pour configurer les applications Portail d'entreprise Intune, Portail d'entreprise site web et l’application Intune et Personnaliser et configurer les Portail d'entreprise.
Protection d'applications catégories par plateforme
Différents paramètres de protection des applications sont disponibles pour chaque plateforme prise en charge. Il est important de reconnaître que les plateformes iOS/iPadOS et Android ont les mêmes catégories de protection des applications. Toutefois, Windows est différent. La plateforme Windows protège organization données en gérant le flux de données via Microsoft Edge vers les emplacements de stockage de votre organization.
Conseil
Pour savoir où les stratégies de protection et de conformité des applications s’intègrent dans l’architecture Intune globale, consultez Architecture de haut niveau pour Microsoft Intune.
Lorsque vous créez une stratégie de protection des applications, vous choisissez la plateforme, l’application à cibler, ainsi que les paramètres spécifiques des catégories de protection des applications.
Comment les stratégies de protection d’application protègent les données d’application
Vos utilisateurs finaux (membres de votre organization) utilisent des appareils mobiles pour des tâches personnelles et professionnelles. Tout en vous assurant que vos utilisateurs finaux peuvent être productifs, vous souhaitez empêcher les données de votre organization de se déplacer vers des emplacements où vous ne pouvez pas les sécuriser, à la fois pour des situations intentionnelles et involontaires. Vous souhaiterez également protéger les données d’entreprise accessibles à partir d’appareils qui ne sont pas gérés par vous. Vous pouvez utiliser des stratégies de protection des applications Intune indépendamment de toute solution de gestion des appareils mobiles (GPM). Cette indépendance vous aide à protéger les données de votre entreprise avec ou sans inscription des appareils auprès d’une solution de gestion. En implémentant des stratégies de protection au niveau de l’application, vous pouvez restreindre l’accès aux ressources de l’entreprise et conserver les données dans le cadre de votre service informatique.
Lorsque les applications sont utilisées sans aucune restriction, les données d’entreprise et personnelles peuvent se mélanger. Les données de l'entreprise peuvent se retrouver dans des endroits comme le stockage personnel ou être transférées vers des applications qui ne sont pas de votre ressort et entraîner une perte de données. Le tableau suivant fournit des détails sur la protection des données, des appareils et des applications.
| Protection des données, des appareils et des applications | Description |
|---|---|
| Applications sans stratégies de protection des applications | Lorsque les applications sont utilisées sans aucune restriction, les données d’entreprise et personnelles peuvent se mélanger. Les données de l'entreprise peuvent se retrouver dans des endroits comme le stockage personnel ou être transférées vers des applications qui ne sont pas de votre ressort et entraîner une perte de données. |
| Protection des données avec des stratégies de protection des applications | Vous pouvez utiliser des stratégies de Protection d'applications pour empêcher l’enregistrement des données d’entreprise dans le stockage local de l’appareil. Vous pouvez également limiter le déplacement de données vers d’autres applications qui ne sont pas protégées par des stratégies de protection des applications. |
| Protection des données avec des stratégies de protection des applications sur les appareils gérés | Fournit à la fois la gestion et la protection des applications et des appareils. |
| Protection des données avec des stratégies de protection des applications pour les appareils sans inscription | Protection d'applications stratégies peuvent aider à protéger les données d’entreprise au niveau de l’application. Toutefois, il existe des limitations liées au déploiement d’applications, à l’approvisionnement des profils de certificat d’appareil et à l’approvisionnement des paramètres de organization d’appareil. Vous pouvez éviter ces limitations en inscrivant et en gérant les appareils dans Intune. |
Pour plus d’informations, consultez Comment les stratégies de protection des applications protègent les données d’application.
Qu’est-ce qu’il y a dans cette solution ?
Cette solution vous aide à comprendre la protection des données des applications dans Microsoft Intune. En outre, cette solution fournit les étapes recommandées pour créer des stratégies de protection des applications dans Intune pour des applications spécifiques et attribuer ces stratégies aux membres de votre organization. Une fois que vous avez rempli les conditions préalables ci-dessus, vous êtes prêt à créer des stratégies de protection des applications pour votre organization dans Intune. L’utilisation de stratégies de configuration et de protection dans le cadre de vos efforts de gestion des applications permet aux membres de votre organization d’utiliser des applications en toute sécurité. En gérant les applications à votre organization, vous contribuez à protéger et sécuriser les données de votre organization.
Pour en savoir plus sur la protection des applications dans Intune, consultez les rubriques suivantes :
- Comprendre la protection des données des applications
- Comprendre les exigences d’accès à la protection des applications
- Comprendre le lancement conditionnel de la protection des applications
- Comprendre les contrôles d’intégrité de la protection des applications
Pour suivre les paramètres recommandés lors de l’ajout de stratégies de protection des applications dans Intune, consultez les rubriques suivantes :
- Appliquer la protection minimale des données
- Appliquer une protection améliorée des données
- Appliquer une protection élevée des données
- Comprendre la remise de la protection des applications
- Vérifier et surveiller la protection des applications
- Utiliser des actions de protection des applications
Une fois que vous avez effectué les étapes ci-dessus, vous êtes prêt à déployer, gérer et surveiller les applications gérées que votre organization utilise.