Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
De nombreuses organisations ont des questions lors du déploiement de Microsoft 365 de manière sécurisée. Les stratégies d’accès conditionnel, de protection des applications et de conformité des appareils dans cet article sont basées sur les recommandations de Microsoft et les trois principes fondamentaux de confiance zéro :
- Vérifier explicitement
- Utiliser le privilège minimum
- Supposer une violation
Les organisations peuvent utiliser ces stratégies comme c’est le cas ou les personnaliser pour répondre à leurs besoins. Testez vos stratégies dans un environnement hors production pour identifier les effets potentiels et les communiquer aux utilisateurs avant de les déployer en production. Les tests sont essentiels pour identifier et communiquer les effets possibles aux utilisateurs.
Nous regroupons ces stratégies en trois niveaux de protection en fonction de votre avancée dans votre parcours de déploiement :
- Point de départ : contrôles de base qui introduisent l’authentification multifacteur, les modifications de mot de passe sécurisées et les stratégies de protection des applications Intune pour les appareils mobiles.
- Entreprise : contrôles améliorés qui introduisent la conformité des appareils.
- Sécurité spécialisée : stratégies qui nécessitent une authentification multifacteur chaque fois pour des jeux de données ou des utilisateurs spécifiques.
Ce diagramme montre les niveaux de protection pour chaque stratégie et les types d’appareils auxquels ils s’appliquent :
Vous pouvez télécharger ce diagramme sous la forme d’un fichier PDF ou d’un fichier Visio modifiable.
Conseil
Exiger l’authentification multifacteur (MFA) pour les utilisateurs avant d’inscrire des appareils dans Intune pour confirmer que l’appareil est avec l’utilisateur prévu. L’authentification multifacteur est activée par défaut par défaut, ou vous pouvez utiliser des stratégies d’accès conditionnel pour exiger l’authentification multifacteur pour tous les utilisateurs.
Les appareils doivent être inscrits dans Intune avant de pouvoir appliquer des stratégies de conformité des appareils.
Prérequis
Autorisations
Les autorisations suivantes dans Microsoft Entra sont requises :
- Gérer les stratégies d’accès conditionnel : rôle Administrateur d’accès conditionnel .
- Gérer la protection des applications et les stratégies de conformité des appareils : rôle Administrateur Intune .
- Afficher uniquement les configurations : rôle Lecteur de sécurité .
Pour plus d’informations sur les rôles et les autorisations dans Microsoft Entra, consultez Vue d’ensemble du contrôle d’accès en fonction du rôle dans l’ID Microsoft Entra.
Enregistrement des utilisateurs
Assurez-vous que les utilisateurs s’inscrivent à l’authentification multifacteur avant de les utiliser. Si vos licences incluent Microsoft Entra ID P2, vous pouvez utiliser la stratégie d’inscription MFA dans Microsoft Entra ID Protection pour exiger que les utilisateurs s’inscrivent. Nous fournissons des modèles de communication que vous pouvez télécharger et personnaliser pour promouvoir l’inscription des utilisateurs.
Groupes
Tous les groupes Microsoft Entra utilisés dans ces recommandations doivent être des groupes Microsoft 365, et non des groupes de sécurité. Cette exigence est importante pour le déploiement d’étiquettes de confidentialité afin de sécuriser les documents dans Microsoft Teams et SharePoint. Pour plus d’informations, consultez En savoir plus sur les groupes et les droits d’accès dans Microsoft Entra ID.
Attribution de stratégies
Vous pouvez affecter des stratégies d’accès conditionnel aux utilisateurs, groupes et rôles d’administrateur. Vous pouvez affecter uniquement des stratégies de protection des applications et de conformité des appareils Intune aux groupes. Avant de configurer vos stratégies, identifiez qui doit être inclus et exclu. En règle générale, les stratégies de niveau de protection de point de départ s’appliquent à tous les membres de l’organisation.
Le tableau suivant décrit des exemples d’affectations de groupe et d’exclusions pour l’authentification multifacteur une fois que les utilisateurs ont terminé l’inscription de l’utilisateur :
Stratégie d’accès conditionnel Microsoft Entra | Inclure | Exclure | |
---|---|---|---|
Point de départ | Exiger l’authentification multifacteur pour un risque de connexion moyen ou élevé | Tous les utilisateurs |
|
Entreprise | Exiger l’authentification multifacteur pour un risque de connexion faible, moyen ou élevé | Groupe du personnel de direction |
|
Sécurité spécialisée | Exiger l’authentification multifacteur toujours | Groupe Projet Top Secret Buckeye |
|
Conseil
Appliquez soigneusement des niveaux de protection plus élevés aux utilisateurs et aux groupes. L’objectif de la sécurité n’est pas d’ajouter des frictions inutiles à l’expérience utilisateur. Par exemple, les membres du groupe Top Secret Project Buckeye sont tenus d’utiliser l’authentification multifacteur chaque fois qu’ils se connectent, même s’ils ne travaillent pas sur le contenu spécialisé de leur projet. Des frictions de sécurité excessives peuvent lasser. Activez les méthodes d’authentification résistantes au hameçonnage (par exemple, les clés de sécurité Windows Hello Entreprise ou FIDO2) pour réduire les frictions causées par les contrôles de sécurité.
Comptes d’accès d’urgence
Chaque organisation a besoin d’au moins un compte d’accès d’urgence surveillé pour être utilisé et exclu des stratégies. Les grandes organisations peuvent nécessiter davantage de comptes. Ces comptes sont utilisés uniquement si tous les autres comptes d’administrateur et méthodes d’authentification sont bloqués ou indisponibles. Pour plus d’informations, consultez Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
Exclusion d’utilisateurs
Nous vous recommandons de crérer un groupe Microsoft Entra pour les exclusions d’accès conditionnel. Ce groupe vous donne un moyen de fournir un accès à l’utilisateur pendant que vous résolvez les problèmes d’accès. Les fonctionnalités telles que les révisions d’accès dans Microsoft Entra ID Governance vous aident à gérer les utilisateurs exclus des stratégies d’accès conditionnel
Avertissement
Nous vous recommandons d’utiliser un groupe d’exclusion en tant que solution temporaire uniquement. Surveillez en permanence ce groupe pour les modifications et assurez-vous qu’il est utilisé uniquement pour son objectif prévu.
Procédez comme suit pour ajouter un groupe d’exclusions à des stratégies existantes.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Accédez à Protection>Accès conditionnel>Stratégies.
- Sélectionnez une stratégie existante en cliquant sur le nom.
- Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
a) Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les identités suivantes :
- Utilisateurs : vos comptes d’accès d’urgence.
- Groupes : votre groupe d’exclusion d’accès conditionnel. b. Sélectionnez Sélectionner.
- Apportez d’autres modifications.
- Cliquez sur Enregistrer.
Exclusion d’applications
Nous vous recommandons de créer une stratégie d’authentification multifacteur de référence ciblant tous les utilisateurs et toutes les ressources (sans exclusions d’application), comme celle expliquée dans Exiger l’authentification multifacteur pour tous les utilisateurs. L’exclusion de certaines applications peut avoir des conséquences inattendues de sécurité et d’utilisation décrites dans le comportement d’accès conditionnel lorsqu’une stratégie de ressources a une exclusion d’application. Les applications, telles que Microsoft 365 et Microsoft Teams, dépendent de plusieurs services rendant le comportement imprévisible lorsque des exclusions sont effectuées.
Déploiement
Nous vous recommandons d’implémenter les stratégies de point de départ dans l’ordre indiqué dans le tableau suivant. Vous pouvez implémenter les stratégies MFA pour les niveaux de sécurité d’entreprise et de sécurité spécialisés à tout moment.
Point de départ :
Stratégie | Plus d’informations | Gestion des licences |
---|---|---|
Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Exiger l’authentification multifacteur uniquement lorsque le risque est détecté par Microsoft Entra ID Protection. |
|
Bloquer les clients qui ne prennent pas en charge l'authentification moderne | Les clients qui n’utilisent pas d’authentification moderne peuvent contourner les stratégies d’accès conditionnel. Il est donc important de les bloquer. | Microsoft 365 E3 ou E5 |
Les utilisateurs à haut risque doivent changer de mot de passe | Forcer les utilisateurs à modifier leur mot de passe lors de la connexion si une activité à haut risque est détectée pour leur compte. |
|
Appliquer des stratégies de protection des applications (APP) pour la protection des données | Une application Intune par plateforme d’appareils mobiles (Windows, iOS/iPadOS et Android). | Microsoft 365 E3 ou E5 |
Exiger des applications approuvées et des stratégies de protection des applications | Applique des stratégies de protection des applications pour les appareils mobiles à l’aide d’iOS, iPadOS ou Android. | Microsoft 365 E3 ou E5 |
Entreprise :
Stratégie | Plus d’informations | Gestion des licences |
---|---|---|
Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Exiger l’authentification multifacteur uniquement lorsque le risque est détecté par Microsoft Entra ID Protection. |
|
Définir les stratégies de conformité des appareils | Définissez la configuration minimale requise. Une stratégie pour chaque plateforme. | Microsoft 365 E3 ou E5 |
Exiger des PC et des appareils mobiles conformes | Applique la configuration requise pour les appareils accédant à votre organisation | Microsoft 365 E3 ou E5 |
Sécurité spécialisée :
Stratégie | Plus d’informations | Gestion des licences |
---|---|---|
Exiger l’authentification multifacteur Always | Les utilisateurs doivent effectuer l’authentification multifacteur chaque fois qu’ils se connectent aux services de l’organisation. | Microsoft 365 E3 ou E5 |
Stratégies de protection des applications
Les stratégies de protection des applications spécifient les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Bien qu’il existe de nombreuses stratégies à choisir, la liste suivante décrit nos bases de référence recommandées.
Conseil
Bien que nous fournissons trois modèles, la plupart des organisations doivent choisir le niveau 2 (mappe au point de départ ou à la sécurité au niveau de l’entreprise ) et le niveau 3 (mappe à la sécurité spécialisée ).
Niveau 1 protection des données de base de l’entreprise : nous vous recommandons cette configuration comme protection minimale des données pour les appareils d’entreprise.
Niveau 2 protection améliorée des données d’entreprise : nous recommandons cette configuration pour les appareils qui accèdent aux données sensibles ou aux informations confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent aux données professionnelles ou scolaires. Certains contrôles peuvent affecter l’expérience utilisateur.
Niveau 3 de protection élevée des données d’entreprise : nous vous recommandons cette configuration dans les scénarios suivants :
- Organisations avec des équipes de sécurité plus volumineuses ou plus sophistiquées.
- Appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque élevé. Par exemple, les utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée entraînerait une perte considérable pour l’organisation
Les organisations susceptibles d’être ciblées par des attaquants bien financés et sophistiqués doivent aspirer à cette configuration.
Créez une stratégie de protection des applications pour chaque plateforme d’appareils dans Microsoft Intune (iOS/iPadOS et Android) à l’aide des paramètres de l’infrastructure de protection des données à l’aide de l’une des méthodes suivantes :
- Créez manuellement les stratégies en suivant les étapes décrites dans Guide pratique pour créer et déployer des stratégies de protection des applications avec Microsoft Intune.
- Importez l’exemple de modèle JSON Intune App Protection Policy Configuration Framework avec les scripts PowerShell d’Intune.
Stratégies de conformité des appareils
Les stratégies de conformité des appareils Intune définissent les conditions requises pour que les appareils soient conformes. Vous devez créer une stratégie pour chaque PC, téléphone ou plateforme tablette. Les sections suivantes décrivent les recommandations pour les plateformes suivantes :
Créer des stratégies de conformité des appareils
Procédez comme suit pour créer des stratégies de conformité des appareils :
- Connectez-vous au centre d'administration de Microsoft Intune en tant qu'administrateur Intune.
- Accédez à La stratégieDe créationde conformité>des appareils>.
Pour obtenir des instructions pas à pas, consultez Créer une stratégie de conformité dans Microsoft Intune.
Inscription et paramètres de conformité pour iOS/iPadOS
IOS/iPadOS prend en charge plusieurs scénarios d’inscription, dont deux sont couverts par cette infrastructure :
- Inscription d’appareil pour les appareils appartenant à l’utilisateur : appareils personnels (également appelés apporter votre propre appareil ou BYOD) qui sont également utilisés pour le travail.
- Inscription automatisée d’appareils pour les appareils appartenant à l’entreprise : appareils appartenant à l’organisation associés à un seul utilisateur et utilisés exclusivement pour le travail.
Conseil
Comme décrit précédemment, le niveau 2 est mappé au point de départ ou à la sécurité au niveau de l’entreprise , et le niveau 3 est mappé à la sécurité spécialisée . Pour plus d’informations, consultez Configurations d'identités et d'accès aux appareils de confiance zéro.
Paramètres de conformité pour les appareils inscrits en nom propre
- Sécurité de base personnelle (niveau 1) : nous vous recommandons cette configuration comme sécurité minimale pour les appareils personnels qui accèdent aux données professionnelles ou scolaires. Vous obtenez cette configuration en appliquant des stratégies de mot de passe, des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil (par exemple, des certificats non approuvés).
- Sécurité renforcée personnelle (niveau 2) : nous vous recommandons cette configuration pour les appareils qui accèdent aux données sensibles ou aux informations confidentielles. Cette configuration active les contrôles de partage de données. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent aux données professionnelles ou scolaires.
- Sécurité élevée personnelle (niveau 3) : nous recommandons cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque élevé unique. Par exemple, les utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée entraînerait une perte considérable pour l’organisation. Cette configuration permet des stratégies de mot de passe plus fortes, désactive certaines fonctions d’appareil et applique des restrictions de transfert de données supplémentaires.
Paramètres de conformité pour l’inscription automatisée d’appareils
- Sécurité de base supervisée (niveau 1) : nous recommandons cette configuration comme sécurité minimale pour les appareils d’entreprise qui accèdent aux données professionnelles ou scolaires. Vous obtenez cette configuration en appliquant des stratégies de mot de passe, des caractéristiques de verrouillage d’appareil et en désactivant certaines fonctions d’appareil (par exemple, des certificats non approuvés).
- Sécurité renforcée supervisée (niveau 2) : nous recommandons cette configuration pour les appareils qui accèdent aux données sensibles ou aux informations confidentielles. Cette configuration active les contrôles de partage de données et bloque l’accès aux périphériques USB. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant aux données professionnelles ou scolaires d’un appareil.
- Sécurité élevée supervisée (niveau 3) : nous vous recommandons cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque élevé. Par exemple, les utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée entraînerait une perte considérable pour l’organisation. Cette configuration permet des stratégies de mot de passe plus fortes, désactive certaines fonctions d’appareil, applique des restrictions de transfert de données supplémentaires et exige que les applications soient installées via le programme d’achat en volume d’Apple.
Inscription et paramètres de conformité pour Android
Android Enterprise prend en charge plusieurs scénarios d’inscription, dont deux sont couverts par cette infrastructure :
- Profil professionnel Android Entreprise : appareils appartenant à l’utilisateur (également appelés apporter votre propre appareil ou BYOD) qui sont également utilisés pour le travail. Les stratégies contrôlées par le service informatique garantissent que les données professionnelles ne peuvent pas être transférées dans le profil personnel.
- Appareils Android Enterprise entièrement gérés : appareils appartenant à l’organisation associés à un seul utilisateur et utilisés exclusivement pour le travail.
L’infrastructure de configuration de sécurité Android Enterprise est organisée en plusieurs scénarios de configuration distincts qui fournissent des conseils pour les scénarios de profil professionnel et entièrement managés.
Conseil
Comme décrit précédemment, le niveau 2 est mappé au point de départ ou à la sécurité au niveau de l’entreprise , et le niveau 3 est mappé à la sécurité spécialisée . Pour plus d’informations, consultez Configurations d'identités et d'accès aux appareils de confiance zéro.
Paramètres de conformité pour les appareils à profil professionnel Android Enterprise
- Il n’existe aucune offre de sécurité de base (niveau 1) pour les appareils de profil professionnel appartenant à l’utilisateur. Les paramètres disponibles ne justifient pas une différence entre le niveau 1 et le niveau 2.
- Sécurité renforcée du profil professionnel (niveau 2) : nous recommandons cette configuration comme sécurité minimale pour les appareils personnels qui accèdent aux données professionnelles ou scolaires. Cette configuration introduit des critères de mot de passe, sépare les données professionnelles et personnelles, et valide l’attestation des appareils Android.
- Sécurité élevée du profil professionnel (niveau 3) : nous recommandons cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque élevé. Par exemple, les utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée entraînerait une perte considérable pour l’organisation. Cette configuration introduit la défense contre les menaces mobiles ou Microsoft Defender pour point de terminaison, définit la version minimale d’Android, active des stratégies de mot de passe plus fortes et sépare davantage les données professionnelles et personnelles.
Paramètres de conformité pour les appareils complètement managés Android Enterprise
- Sécurité de base complètement managée (niveau 1) : nous recommandons cette configuration comme sécurité minimale pour un appareil d’entreprise. Cette configuration s’applique à la plupart des utilisateurs mobiles qui travaillent ou des données scolaires. Cette configuration introduit les exigences de mot de passe, définit la version minimale d’Android et active des restrictions d’appareil spécifiques.
- Sécurité renforcée entièrement managée (niveau 2) : nous recommandons cette configuration pour les appareils qui accèdent aux données sensibles ou aux informations confidentielles. Cette configuration permet des stratégies de mot de passe plus fortes et désactive les fonctionnalités d’utilisateur/compte.
- Sécurité élevée entièrement managée (niveau 3) : nous vous recommandons cette configuration pour les appareils utilisés par des utilisateurs ou des groupes spécifiques qui présentent un risque élevé. Par exemple, les utilisateurs qui gèrent des données hautement sensibles où une divulgation non autorisée entraînerait une perte considérable pour l’organisation. Cette configuration hausse la version minimale d’Android, introduit une défense contre les menaces sur les appareils mobiles ou Microsoft Defender for Endpoint et applique des restrictions supplémentaires sur les appareils.
Paramètres de conformité recommandés pour Windows 10 et ultérieur
Configurez les paramètres suivants, comme décrit dans les paramètres de conformité des appareils pour Windows 10/11 dans Intune. Ces paramètres s’alignent sur les principes soulignés dans Configurations des identités et de l’accès aux appareils Confiance Zéro.
Intégrité de l’appareil>Règles d’évaluation du service d’attestation d’intégrité Windows :
Propriété Valeur Exiger BitLocker Obligatoire Exiger l’activation du démarrage sécurisé sur l’appareil Obligatoire Exiger l’intégrité du code Obligatoire Propriétés >de l’appareilVersion du système d’exploitation : entrez les valeurs appropriées pour les versions du système d’exploitation en fonction de vos stratégies informatiques et de sécurité.
Propriété Valeur Version minimale du système d’exploitation Version maximale du système d’exploitation Système d’exploitation minimal requis pour les appareils mobiles Système d’exploitation maximal requis pour les appareils mobiles Builds de système d’exploitation valides Conformité de Configuration Manager :
Propriété Valeur Exiger la conformité de l’appareil à partir de Configuration Manager Sélectionnez Obligatoire dans les environnements qui sont cogérés avec Configuration Manager. Sinon, sélectionnez Non configuré. Sécurité du système :
Propriété Valeur Mot de passe Exiger un mot de passe pour déverrouiller des périphériques mobiles Obligatoire Mots de passe simples Bloquer Type de mot de passe Type par défaut de l’appareil Longueur minimale du mot de passe 6 Inactivité maximale en minutes avant qu’un mot de passe ne soit requis 15 minutes Expiration du mot de passe (jours) 41 Nombre de mots de passe précédents à ne pas réutiliser 5 Exiger un mot de passe lorsque l’appareil revient d’un état inactif (Mobile et Holographique) Obligatoire Chiffrement Exiger le chiffrement du stockage de données sur l’appareil Obligatoire Pare-feu Pare-feu Obligatoire Antivirus Logiciel antivirus Obligatoire Logiciel anti-espion Anti-logiciel espion Obligatoire Défenseur Microsoft Defender anti-programme malveillant Obligatoire Version minimale de Microsoft Defender anti-programme malveillant Nous vous recommandons une valeur qui n’est pas supérieure à cinq versions derrière la version la plus récente. Signature anti-programme malveillant Microsoft Defender à jour Obligatoire Protection en temps réel Obligatoire Microsoft Defender pour point de terminaison :
Propriété Valeur Exiger que l’appareil soit inférieur ou égal au score de risque machine Moyenne
Stratégies d’accès conditionnel
Après avoir créé des stratégies de protection des applications et des stratégies de conformité des appareils dans Intune, vous pouvez activer l’application avec des stratégies d’accès conditionnel.
Exiger MFA sur la base des connexions à risque
Suivez les instructions dans : Exiger une authentification multifacteur pour un risque de connexion élevé pour créer une stratégie qui nécessite une authentification multifacteur en fonction du risque de connexion.
Lors de la configuration de la stratégie, utilisez les niveaux de risque suivants :
Niveau de protection | Niveaux de risque |
---|---|
Point de départ | Moyen et élevé |
Entreprise | Faible, moyen et élevé |
Bloquer les clients qui ne prennent pas en charge l’authentification multifacteur
Suivez les instructions dans : Bloquer l’authentification héritée avec l’accès conditionnel.
Les utilisateurs à haut risque doivent changer de mot de passe
Suivez les conseils suivants : Exiger une modification sécurisée du mot de passe pour que les utilisateurs présentant des informations d’identification compromises soient nécessaires pour modifier leur mot de passe.
Utilisez cette stratégie avec la protection par mot de passe Microsoft Entra, qui détecte et bloque les mots de passe faibles connus, leurs variantes et les termes spécifiques de votre organisation. L’utilisation de la protection par mot de passe Microsoft Entra garantit que les mots de passe changés sont plus forts.
Exiger des applications approuvées ou des stratégies de protection des applications
Vous devez créer une stratégie d’accès conditionnel pour appliquer des stratégies de protection des applications que vous créez dans Intune. La mise en œuvre de stratégies de protection des applications nécessite une stratégie d’accès conditionnel et une stratégie de protection des applications correspondante.
Pour créer une stratégie d’accès conditionnel qui nécessite des applications approuvées ou une protection des applications, suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications. Cette stratégie autorise uniquement les comptes dans les applications protégées par les stratégies de protection des applications à accéder aux points de terminaison Microsoft 365.
Le blocage de l’authentification héritée pour d’autres applications sur les appareils iOS/iPadOS et Android garantit que ces appareils ne peuvent pas contourner les stratégies d’accès conditionnel. En suivant les instructions de cet article, vous bloquez déjà les clients qui ne prennent pas en charge l’authentification moderne.
Exigez des PC et des appareils mobiles conformes
Attention
Vérifiez que votre propre appareil est conforme avant d’activer cette stratégie. Sinon, vous pouvez être verrouillé et avoir besoin d’utiliser un compte d’accès d’urgence pour récupérer votre accès.
Autorisez l’accès aux ressources uniquement une fois que l’appareil est déterminé comme conforme à vos stratégies de conformité Intune. Pour plus d’informations, consultez Exiger la conformité de l’appareil avec l’accès conditionnel.
Vous pouvez inscrire de nouveaux appareils auprès d’Intune, même si vous sélectionnez Exiger que l’appareil soit marqué comme conforme pour tous les utilisateurs et toutes les applications cloud dans la stratégie. Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription Intune ni l’accès à l’application Portail d’entreprise web Microsoft Intune.
Activation d’abonnement
Si votre organisation utilise l’activation de l’abonnement Windows pour permettre aux utilisateurs de « monter en puissance » d’une version de Windows à une autre, vous devez exclure les API et l’application web du service Du Store universel (AppID : 45a330b1-b1ec-4cc1-9161-9f03992aa49f) de la conformité de votre appareil.
Exigez toujours l'authentification multifacteur
Exiger l’authentification multifacteur pour tous les utilisateurs en suivant les instructions de cet article : Exiger l’authentification multifacteur pour tous les utilisateurs.
Étapes suivantes
En savoir plus sur les recommandations de stratégie pour l’accès invité