Stratégie d’accès conditionnel courante : Demander des applications clientes approuvées ou une stratégie de protection des applications

Les appareils mobiles sont régulièrement utilisés pour effectuer des tâches aussi bien personnelles que professionnelles. Tout en veillant à ce que le personnel puisse être productif, les organisations veulent également empêcher la perte de données provenant d’applications se trouvant sur des appareils qu’elles ne gèrent peut-être pas entièrement.

Grâce à l’accès conditionnel, les organisations peuvent limiter l’accès aux seules applications clientes approuvées (avec une authentification moderne) auxquelles des stratégies Intune App Protection sont appliquées. Pour les anciennes applications clientes qui ne prennent peut-être pas en charge les stratégies de protection des applications, les administrateurs peuvent restreindre l’accès aux applications clientes approuvées.

Avertissement

Les stratégies de protection d’applications sont prises en charge sur iOS et Android, où les applications répondent à des exigences spécifiques. Les stratégies de protection des applications sont prises en charge sur Windows en préversion pour le navigateur Microsoft Edge uniquement.

Toutes les applications prises en charge ne sont pas des applications approuvées ou ne prennent pas en charge les stratégies de protection des applications. Pour obtenir une liste des applications clientes les plus courantes, consultez Présence obligatoire d’une stratégie de protection des applications. Si votre application ne figure pas dans la liste, contactez le développeur de l’application.

Pour exiger des applications clientes approuvées pour les appareils iOS et Android, ces derniers doivent d’abord s’inscrire auprès de Microsoft Entra ID.

Remarque

Le contrôle « Demander un des contrôles sélectionnés » sous les contrôles d’octroi est semblable à une clause OR. Il est utilisé dans la stratégie pour permettre aux utilisateurs d’utiliser les applications prenant en charge les contrôles d’octroi Exiger une stratégie de protection des applications ou Demander une application cliente approuvée. L’exigence d’une stratégie de protection des applications est mise en œuvre lorsque l’application prend en charge ce contrôle d’octroi.

Pour plus d’informations sur les avantages liés à l’utilisation de stratégies de protection des applications, consultez l’article Présentation des stratégies de protection des applications.

Créer une stratégie d’accès conditionnel

Les stratégies ci-dessous sont mises en mode rapport seul pour commencer afin que les administrateurs puissent déterminer l’impact qu’elles auront sur les utilisateurs existants. Lorsque les administrateurs sont sûrs que les stratégies s’appliquent comme prévu, ils peuvent les activer ou échelonner le déploiement en ajoutant certains groupes et en en excluant d’autres.

Demander des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles

Les étapes suivantes vous aideront à créer une stratégie d’accès conditionnel nécessitant une application cliente approuvée ou une stratégie de protection des applications lors de l’utilisation d’un appareil iOS/iPadOS ou Android. Cette stratégie empêche également l’utilisation de clients Exchange ActiveSync clients à l’aide de l’authentification de base sur les appareils mobiles. Cette stratégie fonctionne en tandem avec une stratégie de protection des applications créée dans Microsoft Intune.

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou en utilisant les modèles d'accès conditionnel.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour empêcher le verrouillage. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
  6. Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Toutes les applications cloud.
  7. Sous Conditions>Plateformes d’appareils, définissez Configurer sur Oui.
    1. Sous Inclure, sélectionnez Plateformes d’appareils.
    2. Choisissez Android et iOS.
    3. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Demander une application cliente approuvée et Demander une stratégie de protection des applications.
    2. Pour des contrôles multiples, sélectionnez Demander un des contrôles sélectionnés.
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Conseil

Les organisations doivent également déployer une stratégie qui bloque l’accès à partir de plateformes d’appareils non prises en charge ou inconnues avec cette stratégie.

Bloquer Exchange ActiveSync sur tous les appareils

Cette stratégie bloque tous les clients Exchange ActiveSync utilisant l’authentification de base pour se connecter à Exchange Online.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Protection>Accès conditionnel.
  3. Sélectionnez Créer une stratégie.
  4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
    1. Sous Inclure, sélectionnez Tous les utilisateurs.
    2. Sous Exclure, sélectionnez Utilisateurs et groupes et excluez au moins un compte pour empêcher le verrouillage. Si vous n’excluez aucun compte, vous ne pouvez pas créer la stratégie.
    3. Sélectionnez Terminé.
  6. Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Sélectionner des applications.
    1. Sélectionnez Office 365 Exchange Online.
    2. Sélectionnez Sélectionner.
  7. Sous Conditions>Applications clientes, définissez Configurer sur Oui.
    1. Décochez toutes les options, à l’exception de Clients Exchange ActiveSync.
    2. Sélectionnez Terminé.
  8. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
    1. Sélectionnez Exiger une stratégie de protection des applications
  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
  10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Étapes suivantes

Vue d’ensemble des stratégies de protection des applications

Stratégies d’accès conditionnel courantes

Migrer une application cliente approuvée vers une stratégie de protection d’application dans l’accès conditionnel