Explorer une stratégie de conformité des périphériques
Les stratégies de conformité définissent les règles et les paramètres qui doivent être configurés sur un appareil pour qu’il soit considéré comme conforme. Après avoir configuré et déployé une stratégie de conformité, vous pouvez analyser les états de conformité des périphériques et les appareils individuels configurés de manière attendue.
Avant de pouvoir appliquer une stratégie de conformité à un appareil, vous devez d’abord l’inscrire dans Intune. Après l’inscription, l’appareil peut être ajouté automatiquement à un groupe d’appareils. Si une stratégie de conformité est attribuée à ce groupe, la stratégie sera évaluée sur l’appareil, et son état de conformité sera signalé automatiquement à Intune et affiché dans le portail.
Les stratégies de conformité des appareils établissent les paramètres nécessaires pour les éléments suivants :
- Mots de passe
- Chiffrement
- Appareils « Jail-broken » (débridés) ou rootés
- Version minimale du système d’exploitation
- Version maximale du système d’exploitation
- Niveau maximal de défense contre les menaces mobiles
Quand un appareil s’inscrit dans Intune, ses informations, y compris son état de conformité, sont ajoutées à Microsoft Entra ID. Les stratégies de conformité sont affectées aux utilisateurs et non pas aux appareils. Les stratégies d’accès conditionnel utilisent les informations de Microsoft Entra pour bloquer ou autoriser l’accès aux e-mails et à autres données de l’organisation. Il n’est pas obligatoire d’utiliser des stratégies de conformité conjointement avec l’accès conditionnel ; les stratégies de conformité peuvent être utilisées seulement pour la production de rapports.
Les stratégies de conformité Intune sont créées dans la section Appareils du Centre d’administration Intune. Le tableau de bord de conformité des appareils pour le monitoring se trouve sous Rapports.
Par défaut, quand Intune détecte un appareil qui n’est pas conforme, il le marque immédiatement comme étant non conforme. Dans chaque stratégie de conformité, vous pouvez configurer des actions pour les appareils non conformes, ce qui vous offre une flexibilité supplémentaire pour décider quoi faire. Par exemple, dans un scénario classique, les organisations bloquent l’accès aux ressources de l’entreprise à partir d’un appareil non conforme. Toutefois, vous pouvez configurer une stratégie de conformité qui permet à un appareil non conforme d’accéder aux ressources de l’entreprise tant que l’appareil est rendu conforme dans une période de grâce spécifiée. Si la conformité n’est pas atteinte à ce moment-là, l’appareil ne pourra plus accéder aux ressources de l’entreprise.
Il existe deux types d’actions non conformes :
- Avertir les utilisateurs finaux par e-mail. Vous pouvez aussi personnaliser un e-mail de notification avant de l’envoyer à l’utilisateur final. Vous pouvez personnaliser les destinataires, l’objet et le corps du message, y compris le logo de l’entreprise et les informations de contact. Intune fournit des informations sur l’appareil non conforme dans l’e-mail de notification.
- Marquer l'appareil comme non conforme. Vous pouvez spécifier le nombre de jours après lesquels l’appareil est marqué comme non conforme. Cela peut se produire immédiatement une fois l’appareil marqué comme non conforme ou vous pouvez accorder à l’utilisateur une période de grâce au cours de laquelle il peut mettre à jour l’appareil pour le rendre conforme. Si l’appareil n’est toujours non conforme après le nombre de jours spécifié, il est marqué comme non conforme.
Les stratégies de conformité des appareils peuvent être utilisées de la manière suivante :
- Avec accès conditionnel. Vous pouvez accorder aux appareils conformes aux règles de stratégie un accès aux e-mails et aux autres ressources de l’entreprise. Si les appareils ne sont pas conformes aux règles de stratégie, ils n’ont pas accès aux ressources de l’entreprise.
- Sans accès conditionnel. Vous pouvez également utiliser des stratégies de conformité des appareils sans accès conditionnel. Lorsque vous utilisez des stratégies de conformité sans accès conditionnel, il n’existe aucune restriction d’accès aux ressources de l’entreprise.
Utiliser des groupes d’appareils Microsoft Entra pour les stratégies
Il est recommandé d’utiliser des groupes Microsoft Entra pour les utilisateurs et les appareils afin d’appliquer tout type de stratégies implémentées avec Intune. Vous pouvez créer un groupe dans Microsoft Entra ID avec une appartenance dynamique en spécifiant une règle pour déterminer l’appartenance en fonction des propriétés de l’utilisateur ou de l’appareil. Lorsque les attributs d’un utilisateur ou d’un appareil changent, Microsoft Entra ID évalue tous les groupes dynamiques d’un répertoire pour voir si la modification déclenche des ajouts ou suppressions de groupes. Si un utilisateur ou un appareil respecte une règle d’un groupe, il est ajouté en tant que membre de ce groupe. S’ils ne répondent plus à la règle, ils sont supprimés du groupe.
Une règle d’appartenance à un groupe est utilisée pour remplir automatiquement un groupe avec des utilisateurs ou des appareils. Il s’agit d’une expression binaire qui aboutit à un résultat True ou False. Les trois parties d’une règle d’appartenance à un groupe simple sont les suivantes :
- Propriété. Spécifie l’attribut d’objet ; par exemple, vous pouvez utiliser user.department pour référencer l’attribut Département d’un objet utilisateur ou device.displayName pour référencer l’attribut displayName d’un objet d’appareil.
- Opérateur. Peut être l’un des nombreux opérateurs pris en charge, tels que Equals (-eq), Starts With (-startsWith), Contains (-contains) ou Match (-match).
- Valeur. Valeur par rapport à laquelle vous souhaitez évaluer la propriété à l’aide de l’opérateur.
Par exemple, vous devez utiliser la règle d’appartenance au groupe suivante pour inclure tous les appareils qui ont été fabriqués par Microsoft :
device.deviceManufacturer -eq "Microsoft