Étape 1. Appliquer la protection de base des données d’entreprise
Une fois que vous avez suivi les prérequis, déterminé les plateformes que vous devez prendre en charge à votre organization, compris les différentes catégories de protection des données d’application disponibles pour chaque plateforme de support et effectué les étapes nécessaires avant d’appliquer le framework de protection des applications, vous êtes prêt à ajouter des stratégies de protection des applications.
Le niveau 1 est la configuration minimale de protection des données pour un appareil mobile d’entreprise. Cette configuration remplace la nécessité de stratégies d’accès aux appareils Exchange Online de base en exigeant un code confidentiel pour accéder aux données professionnelles ou scolaires, en chiffrant les données de compte professionnel ou scolaire et en fournissant la possibilité de réinitialiser de manière sélective les données scolaires ou professionnelles. Toutefois, contrairement aux stratégies d’accès aux appareils Exchange Online, les paramètres de stratégie de protection des applications ci-dessous s’appliquent à toutes les applications sélectionnées dans la stratégie, garantissant ainsi que l’accès aux données est protégé au-delà des scénarios de messagerie mobile.
Les stratégies du niveau 1 appliquent un niveau d’accès aux données raisonnable tout en réduisant l’impact sur les utilisateurs et miroir les paramètres de protection des données et d’accès par défaut lors de la création d’une stratégie de protection des applications dans Microsoft Intune.
Paramètres de protection des applications recommandés
Utilisez les paramètres de protection d’application recommandés suivants lors de la création et de l’application Intune protection des applications pour la protection de base des données d’entreprise de niveau 1.
Protection de base des données d’entreprise de niveau 1
Le niveau 1 est la configuration minimale de protection des données pour un appareil mobile d’entreprise. Cette configuration remplace la nécessité de stratégies d’accès aux appareils Exchange Online de base en exigeant un code confidentiel pour accéder aux données professionnelles ou scolaires, en chiffrant les données de compte professionnel ou scolaire et en fournissant la possibilité de réinitialiser de manière sélective les données scolaires ou professionnelles. Toutefois, contrairement aux stratégies d’accès aux appareils Exchange Online, les paramètres de stratégie de protection des applications ci-dessous s’appliquent à toutes les applications sélectionnées dans la stratégie, garantissant ainsi que l’accès aux données est protégé au-delà des scénarios de messagerie mobile.
Les stratégies du niveau 1 appliquent un niveau d’accès aux données raisonnable tout en réduisant l’impact sur les utilisateurs et miroir les paramètres de protection des données et d’accès par défaut lors de la création d’une stratégie de protection des applications dans Microsoft Intune.
Protection des données
| Setting | Description du paramètre | Valeur | Plateforme |
|---|---|---|---|
| Transfert de données | Sauvegarder les données de l’organisation sur... | Autoriser | iOS/iPadOS, Android |
| Transfert de données | Envoyer des données d’organisation à d’autres applications | Toutes les applications | iOS/iPadOS, Android |
| Transfert de données | Envoyer des données d’organisation à | Toutes les destinations | Windows |
| Transfert de données | Recevoir des données d’autres applications | Toutes les applications | iOS/iPadOS, Android |
| Transfert de données | Recevoir des données de | Toutes les sources | Windows |
| Transfert de données | Restreindre les opérations couper, copier et coller entre les applications | N’importe quelle application | iOS/iPadOS, Android |
| Transfert de données | Autoriser les opérations couper, copier et coller pour | N’importe quelle destination et toute source | Windows |
| Transfert de données | Claviers tiers | Autoriser | iOS/iPadOS |
| Transfert de données | Claviers approuvés | Non requis | Android |
| Transfert de données | Capture d’écran et Assistant Google | Autoriser | Android |
| Chiffrement | Chiffrer les données d’organisation | Require (Rendre obligatoire) | iOS/iPadOS, Android |
| Chiffrement | Chiffrer les données d’organisation sur les appareils inscrits | Require (Rendre obligatoire) | Android |
| Les fonctionnalités | Synchroniser l’application avec l’application de contacts native | Autoriser | iOS/iPadOS, Android |
| Les fonctionnalités | Impression de données d’organisation | Autoriser | iOS/iPadOS, Android, Windows |
| Les fonctionnalités | Limiter le transfert de contenu web avec d'autres applications | N’importe quelle application | iOS/iPadOS, Android |
| Les fonctionnalités | Notifications de données de l’organisation | Autoriser | iOS/iPadOS, Android |
Condition d’accès
| Setting | Valeur | Plateforme | Notes |
|---|---|---|---|
| Accès par code PIN | Require (Rendre obligatoire) | iOS/iPadOS, Android | |
| Type de code confidentiel | Numérique | iOS/iPadOS, Android | |
| Code confidentiel simple | Autoriser | iOS/iPadOS, Android | |
| Sélectionnez Longueur minimale du code confidentiel | 4 | iOS/iPadOS, Android | |
| Touch ID au lieu du code pin pour l’accès (iOS 8+/iPadOS) | Autoriser | iOS/iPadOS | |
| Remplacer la biométrie par un code confidentiel après expiration | Require (Rendre obligatoire) | iOS/iPadOS, Android | |
| Délai d’expiration (minutes d’activité) | 1440 | iOS/iPadOS, Android | |
| Face ID au lieu du code pin pour l’accès (iOS 11+/iPadOS) | Autoriser | iOS/iPadOS | |
| Biométrie au lieu du code pin pour l’accès | Autoriser | iOS/iPadOS, Android | |
| Réinitialisation du code PIN au bout d’un nombre de jours | Non | iOS/iPadOS, Android | |
| Sélectionner le nombre de valeurs de code confidentiel précédentes à conserver | 0 | Android | |
| PIN de l'application lorsque le PIN de l'appareil est défini | Require (Rendre obligatoire) | iOS/iPadOS, Android | Si l’appareil est inscrit dans Intune, les administrateurs peuvent envisager de définir ce paramètre sur « Non requis » s’ils appliquent un code pin d’appareil fort via une stratégie de conformité de l’appareil. |
| Informations d’identification du compte professionnel ou scolaire pour l’accès | Non requis | iOS/iPadOS, Android | |
| Revérifier les exigences d’accès après (minutes d’inactivité) | 30 | iOS/iPadOS, Android |
Lancement conditionnel
| Setting | Description du paramètre | Valeur /Action | Plateforme | Notes |
|---|---|---|---|---|
| Conditions de l’application | Tentatives de code PIN maximum | 5 / Réinitialiser le code confidentiel | iOS/iPadOS, Android | |
| Conditions de l’application | Période de grâce hors connexion | 10080 / Bloquer l’accès (minutes) | iOS/iPadOS, Android, Windows | |
| Conditions de l’application | Période de grâce hors connexion | 90 / Réinitialiser les données (jours) | iOS/iPadOS, Android, Windows | |
| Conditions de l’appareil | Appareils jailbreakés/rootés | N/A / Bloquer l’accès | iOS/iPadOS, Android | |
| Conditions de l’appareil | Attestation d’appareil SafetyNet | Intégrité de base et appareils certifiés / Bloquer l’accès | Android | Ce paramètre configure l’intégrité des appareils google play case activée sur les appareils des utilisateurs finaux. L’intégrité de base valide l’intégrité de l’appareil. Les appareils rootés, les émulateurs, les appareils virtuels et les appareils présentant des signes d’altération échouent aux tests d’intégrité de base. L’intégrité de base et les appareils certifiés valident la compatibilité de l’appareil avec les services de Google. Seuls les appareils non modifiés qui ont été certifiés par Google peuvent satisfaire à ce contrôle. |
| Conditions de l’appareil | Exiger l’analyse des menaces sur les applications | N/A / Bloquer l’accès | Android | Ce paramètre garantit que l’analyse Vérifier les applications de Google est activée pour les appareils des utilisateurs finaux. Si cette option est configurée, l’accès de l’utilisateur final est bloqué jusqu’à ce qu’il active l’analyse de l’application google sur son appareil Android. |
| Conditions de l’appareil | Niveau de menace maximal autorisé pour l’appareil | Accès faible/bloquer | Windows | |
| Conditions de l’appareil | Exiger le verrouillage de l’appareil | Faible/Avertissement | Android | Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales. |
Remarque
Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.
Étape suivante
Passez à l’étape 2 pour appliquer la protection améliorée des données dans Microsoft Intune.