Vue d’ensemble des stratégies de protection des applications

Intune stratégies de protection des applications garantissent que les données d’une organization restent sécurisées ou contenues dans une application gérée. Ces stratégies vous permettent de contrôler la façon dont les données sont consultées et partagées par les applications sur les appareils mobiles. Une stratégie peut appliquer des règles lorsque l’utilisateur tente d’accéder à des données « d’entreprise » ou de les déplacer. Il peut également interdire ou surveiller les actions lorsque l’utilisateur se trouve à l’intérieur de l’application. Une application gérée dans Intune est une application protégée où Intune applique des stratégies de protection des applications et gère l’application.

Intune stratégies de protection des applications offrent plusieurs avantages. Ces avantages incluent la protection des données d’entreprise sur les appareils mobiles sans nécessiter l’inscription des appareils et le contrôle de la façon dont les données sont accessibles et partagées par les applications sur les appareils mobiles.

Voici quelques exemples d’utilisation de stratégies de protection des applications avec Microsoft Intune :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées

Intune mam gère de nombreuses applications de productivité, telles que les applications Microsoft 365 (Office). Consultez la liste officielle des applications protégées par Microsoft Intune accessibles au public.

Comment protéger les données d’application

Vos employés utilisent des appareils mobiles pour des tâches à la fois personnelles et professionnelles. Tout en vous assurant que vos employés peuvent être productifs, empêchez la perte de données. Cela inclut la perte de données intentionnelle et involontaire. Protégez également les données d’entreprise accessibles à partir d’appareils qui ne sont pas gérés par vous.

Vous pouvez utiliser des stratégies de protection des applications Intune indépendamment de toute solution de gestion des appareils mobiles (GAM). Cette indépendance vous aide à protéger les données de votre entreprise avec ou sans inscription des appareils auprès d’une solution de gestion. En implémentant des stratégies au niveau de l’application, vous pouvez restreindre l’accès aux ressources de l’entreprise et conserver les données dans le cadre de votre service informatique.

Stratégies de protection des applications sur les appareils

Configurez des stratégies de protection des applications pour les applications qui s’exécutent sur les appareils suivants :

• inscrits dans Microsoft Intune : ces appareils sont généralement possédés par une entreprise ;

• Inscrit dans une solution de gestion des appareils mobiles (GPM) non-Microsoft : Ces appareils appartiennent généralement à l’entreprise.

  Remarque

  Les stratégies de gestion des applications mobiles ne doivent pas être utilisées avec des solutions de gestion des applications mobiles ou de conteneur sécurisé non-Microsoft.

• Non inscrits dans une solution de gestion des appareils mobiles : Ces appareils sont généralement des appareils appartenant aux employés qui ne sont pas gérés ou inscrits dans Intune ou d'autres solutions MDM.

Avantages de l’utilisation de stratégies de protection des applications

Les principaux avantages de l’utilisation de stratégies de protection des applications sont les suivants :

• Protection des données de votre entreprise au niveau des applications. Étant donné que la gestion des applications mobiles ne nécessite pas la gestion des appareils, protégez les données d’entreprise sur les appareils gérés et non gérés. La gestion est centrée autour de l’identité de l’utilisateur, ce qui supprime la nécessité de gérer les appareils.

• La productivité des utilisateurs n’est pas affectée et les stratégies ne s’appliquent pas lors de l’utilisation de l’application dans un contexte personnel. Intune applique des stratégies uniquement dans un contexte professionnel, ce qui vous donne la possibilité de protéger les données d’entreprise sans toucher aux données personnelles.

• Protection d'applications stratégies garantissent que les protections de la couche application sont en place. Par exemple :

  • Exiger un code PIN pour ouvrir une application dans un contexte professionnel
  • Contrôler le partage de données entre applications
  • Empêcher l'enregistrement des données des applications de l'entreprise sur un emplacement de stockage personnel

• GPM avec GAM garantit que l’appareil est protégé. Par exemple, exiger un code confidentiel pour accéder à l’appareil ou déployer des applications gérées sur l’appareil. Déployez également des applications sur des appareils via votre solution GPM pour mieux contrôler la gestion des applications.

L’utilisation de la gestion des appareils mobiles avec des stratégies de protection des applications présente davantage d’avantages, et les entreprises peuvent utiliser des stratégies de protection des applications avec et sans GPM en même temps. Par exemple, prenons l’exemple d’un employé qui utilise à la fois un téléphone émis par l’entreprise et sa propre tablette personnelle. Le téléphone de l’entreprise est inscrit dans la gestion des appareils mobiles et protégé par des stratégies de protection des applications. L’appareil personnel est protégé par des stratégies de protection des applications uniquement.

Si vous appliquez une stratégie GAM à l’utilisateur sans définir l’état de l’appareil, l’utilisateur obtient la stratégie GAM sur le BYOD (apportez votre propre appareil) et sur l’appareil géré par Intune. Appliquez également des stratégies GAM en fonction de l’état de gestion des appareils. Pour plus d’informations, consultez Stratégies de protection des applications cibles basées sur l’état de gestion des appareils. Lorsque vous créez une stratégie de protection des applications, sélectionnez Non en regard de Cibler tous les types d’applications. Ensuite, effectuez l’une des opérations suivantes :

• Appliquer une stratégie de gestion MAM moins stricte aux appareils gérés par Intune et une autre plus stricte aux appareils non inscrits à la gestion MDM.
• Appliquer une stratégie de gestion MAM aux appareils non inscrits exclusivement.

Plateformes prises en charge pour les stratégies de protection des applications

Intune propose une palette de fonctionnalités permettant d’obtenir les applications souhaitées sur les appareils sur lesquels vous voulez les exécuter. Pour plus d’informations, consultez Fonctionnalités de gestion d’application par plateforme.

La prise en charge de la plateforme des stratégies de protection des applications Intune s’aligne sur la prise en charge de la plateforme des applications mobiles Office pour les appareils Android et iOS/iPadOS. Pour plus d’informations, consultez la section Applications mobiles de la Configuration requise pour Office.

Créez également des stratégies de protection des applications pour les appareils Windows. Pour plus d’informations, consultez Protection d'applications’expérience pour les appareils Windows.

Framework de protection des données des stratégies de protection des applications

Les choix disponibles dans les stratégies de protection des applications permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certains, les paramètres de stratégie requis pour implémenter un scénario complet peuvent ne pas être évidents. Pour aider les organisations à hiérarchiser le renforcement des points de terminaison des clients mobiles, Microsoft introduit la taxonomie pour ses stratégies de protection des applications framework de protection des données pour la gestion des applications mobiles iOS et Android.

L’infrastructure de protection des données des stratégies de protection des applications est organisée en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

• La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. La configuration de niveau 1 est une configuration d’entrée de gamme qui fournit un contrôle de protection des données similaire dans Exchange Online stratégies de boîte aux lettres et introduit le service informatique et le nombre d’utilisateurs dans APP.
• Protection améliorée des données d’entreprise (niveau 2) introduit des stratégies de protection des applications des mécanismes de prévention des fuites de données et des exigences minimales du système d’exploitation. La configuration de niveau 2 s’applique à la plupart des utilisateurs mobiles qui accèdent aux données professionnelles ou scolaires.
• La haute protection des données d’entreprise (niveau 3) introduit des mécanismes avancés de protection des données, une configuration améliorée du code pin et des stratégies de protection des applications Mobile Threat Defense. La configuration de niveau 3 est souhaitable pour les utilisateurs qui accèdent à des données à haut risque.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Comment les stratégies de protection d’application protègent les données d’application

Applications sans stratégies de protection des applications

Lorsque vous utilisez des applications sans restrictions, les données d’entreprise et personnelles peuvent être entremêlées. Les données de l'entreprise peuvent se retrouver dans des endroits comme le stockage personnel ou être transférées vers des applications qui ne sont pas de votre ressort et entraîner une perte de données. Dans le diagramme suivant, les flèches indiquent un déplacement des données sans restriction entre des applications aussi bien professionnelles que personnelles, et vers des emplacements de stockage.

Protection des données avec des stratégies de protection des applications

Utilisez Protection d'applications stratégies pour empêcher l’enregistrement des données d’entreprise dans le stockage local de l’appareil (voir l’image suivante). Limitez également le déplacement des données à d’autres applications qui ne sont pas protégées par des stratégies Protection d'applications. Les paramètres de stratégie de protection d’application comprennent :

• Stratégies de réadressage des données telles que Enregistrer des copies des données de l’organisation et Restreindre couper, copier et coller.
• Des paramètres de stratégie d’accès comme Demander un code confidentiel simple pour l’accès et Bloquer l’exécution des applications gérées sur les appareils jailbreakés ou rootés.

Protection des données avec application sur des appareils gérés par une solution de gestion des appareils mobiles

L’illustration suivante montre les couches de protection que les stratégies mdm et Protection d'applications offrent ensemble.

La solution de gestion des appareils mobiles ajoute de la valeur en fournissant les éléments suivants :

• Inscrit l’appareil
• Déploie les applications sur l’appareil.
• Assure la gestion et la conformité de l’appareil en continu

Les stratégies de protection des applications ajoutent de la valeur en fournissant les éléments suivants :

• Empêcher la fuite des données d’entreprise vers des applications et des services de particuliers
• Appliquer des restrictions comme enregistrement sous, Presse-papiers ou code PIN aux applications clientes
• Elles permettent d’effacer les données d’entreprise des applications lorsque cela est nécessaire sans supprimer ces applications de l’appareil

Protection des données avec des stratégies de protection des données d’application pour les appareils sans inscription

Le schéma suivant illustre le fonctionnement des stratégies de protection des données au niveau de l’application sans gestion des appareils mobiles.

Pour les appareils BYOD non inscrits dans une solution MDM, les politiques de protection des applications peuvent aider à protéger les données de l'entreprise au niveau des applications. Cependant, il existe certaines limites à connaître, dont les suivantes :

• Les applications ne sont pas déployées sur l’appareil. L’utilisateur obtient les applications à partir du Store.
• Les profils de certificat ne sont pas provisionnés sur ces appareils.
• Les Wi-Fi d’entreprise et les paramètres VPN ne sont pas provisionnés sur ces appareils.

Les applications que vous pouvez gérer grâce aux stratégies de protection des applications

Toute application qui s’intègre au Kit de développement logiciel (SDK) Intune ou qui est encapsulée par le Intune App Wrapping Tool peut être gérée à l’aide de Intune stratégies de protection des applications. Consultez la liste officielle des applications protégées Microsoft Intune qui utilisent ces outils et sont disponibles pour un usage public.

L’équipe de développement du SDK Intune teste et gère activement la prise en charge des applications créées avec les plateformes Android et iOS/iPadOS natives (Obj-C, Swift). Bien que certains clients aient réussi à intégrer Intune SDK à d’autres plateformes telles que React Native et NativeScript, des conseils explicites ou des plug-ins ne sont pas fournis aux développeurs d’applications utilisant autre chose que les plateformes prises en charge.

Exigences de l’utilisateur pour utiliser des stratégies de protection des applications

La liste suivante indique les exigences de l’utilisateur pour utiliser des stratégies de protection des applications sur une application gérée par Intune :

• L’utilisateur doit disposer d’un compte Microsoft Entra. Consultez Ajouter des utilisateurs et accorder des autorisations d’administration à Intune pour savoir comment créer des utilisateurs Intune dans Microsoft Entra ID.

• L’utilisateur doit disposer d’une licence pour Microsoft Intune attribuée à son compte Microsoft Entra. Consultez Gérer les licences Intune pour savoir comment attribuer des licences Intune aux utilisateurs.

• L’utilisateur doit appartenir à un groupe de sécurité ciblé par une stratégie de protection des applications. La même stratégie de protection d’application doit cibler l’application spécifique utilisée. Protection d'applications stratégies peuvent être créées et déployées dans le centre d’administration Microsoft Intune. Des groupes de sécurité peuvent actuellement être créés dans le centre d’administration Microsoft 365.

• L’utilisateur doit se connecter à l’application à l’aide de son compte Microsoft Entra.

Protection d'applications stratégies pour les applications Microsoft 365 (Office)

Il existe d’autres exigences que vous souhaitez connaître lorsque vous utilisez des stratégies Protection d'applications avec des applications Microsoft 365 (Office).

Application mobile Outlook

Les conditions requises pour utiliser l’application mobile Outlook sont les suivantes :

• L’application mobile Outlook doit être installée sur son appareil.

• L’utilisateur doit disposer d’une boîte aux lettres et d’une licence Microsoft 365 Exchange Online liées à son compte Microsoft Entra.

  Remarque

  Actuellement, l’application mobile Outlook prend uniquement en charge Intune App Protection pour Microsoft Exchange Online et Exchange Server avec l’authentification moderne hybride et ne prend pas en charge Exchange dans Office 365 Dedicated.

Word, Excel et PowerPoint

Les conditions requises pour utiliser les applications Word, Excel et PowerPoint sont les suivantes :

• L’utilisateur doit disposer d’une licence pour Applications Microsoft 365 pour les PME ou entreprise liée à son compte Microsoft Entra. L’abonnement doit inclure les applications Microsoft 365 sur les appareils mobiles et peut inclure un compte de stockage cloud avec Microsoft OneDrive. Les licences Microsoft 365 peuvent être attribuées via le Centre d’administration Microsoft 365 en suivant ces instructions.

• L’utilisateur doit disposer d’un emplacement managé configuré à l’aide de la fonctionnalité d’enregistrement en tant que granulaire sous le paramètre de stratégie de protection des applications « Enregistrer des copies des données de l’organisation ». Par exemple, si l’emplacement géré est OneDrive, l’application OneDrive doit être configurée dans l’application Word, Excel ou PowerPoint de l’utilisateur.

• Si l’emplacement géré est OneDrive, l’application doit être ciblée par la stratégie de protection des applications déployée sur l’utilisateur.

  Remarque

  Les applications mobiles Office ne prennent actuellement en charge que SharePoint Online et non SharePoint sur site.

Emplacement géré requis pour Office

Un emplacement géré (c’est-à-dire OneDrive) est nécessaire pour Office. Intune marque toutes les données de l’application comme « d’entreprise » ou « personnelles ». Les données sont considérées comme « d’entreprise » lorsqu’elles proviennent d’un emplacement commercial. Pour les applications Microsoft 365, Intune considère les éléments suivants comme des emplacements professionnels : e-mail (Exchange) ou stockage cloud (application OneDrive avec un compte OneDrive pour les entreprises ou les établissements scolaires).

Skype Entreprise

Il existe d’autres exigences à utiliser Skype Entreprise. Voir les conditions requises pour les licences de Skype Entreprise. Pour Skype Entreprise (SfB) hybrides et locales, consultez Authentification moderne hybride pour SfB et Exchange en disponibilité générale et Authentification moderne pour SfB locale avec Microsoft Entra ID, respectivement.

Stratégie globale de protection des applications

Si un administrateur OneDrive accède à admin.onedrive.com et sélectionne Accès à l’appareil, il peut définir des contrôles de Gestion des applications mobiles sur les applications clientes OneDrive et SharePoint.

Les paramètres mis à la disposition de la console de Administration OneDrive configurent une stratégie de protection d’application Intune spéciale appelée stratégie globale. Applicable à tous les utilisateurs dans votre locataire, cette stratégie globale n’offre aucun moyen de contrôler le ciblage de stratégie.

Une fois cette stratégie activée, les applications OneDrive et SharePoint pour iOS/iPadOS et Android sont protégées avec les paramètres sélectionnés par défaut. Un professionnel de l’informatique peut modifier cette stratégie dans le centre d’administration Microsoft Intune pour ajouter des applications plus ciblées et modifier n’importe quel paramètre de stratégie.

Par défaut, il ne peut y avoir qu’une seule stratégie Globale par locataire. Toutefois, vous pouvez utiliser les API Graph Intune pour créer des stratégies globales supplémentaires par locataire, mais nous vous le déconseillons. En effet, la résolution des problèmes liés à l’implémentation d’une telle stratégie peut s’avérer complexe.

Bien que la stratégie globale s’applique à tous les utilisateurs de votre locataire, toute stratégie de protection des applications Intune standard remplace ces paramètres.

Fonctionnalités de protection des applications

Prise en charge de plusieurs identités

La prise en charge de plusieurs identités permet à une application de prendre en charge plusieurs publics. Ces publics sont à la fois des utilisateurs « d’entreprise » et des utilisateurs « personnels ». Les audiences « d’entreprise » utilisent des comptes professionnels et scolaires, tandis que les audiences grand public, comme les utilisateurs Microsoft 365 (Office), utilisent des comptes personnels. Une application qui prend en charge la multi-identité peut être publiée publiquement ; les stratégies de protection des applications s’appliquent alors uniquement lorsque l’application est utilisée dans le contexte professionnel et scolaire (« entreprise »). La prise en charge de la multi-identité utilise le Kit de développement logiciel (SDK) Intune d’appliquer des stratégies de protection des applications uniquement au compte professionnel ou scolaire connecté à l’application. Si un compte personnel est connecté à l'application, les données ne sont pas modifiées. Les stratégies de protection des applications peuvent être utilisées pour empêcher le transfert des données d’un compte professionnel ou scolaire vers des comptes personnels au sein de l’application multi-identité, des comptes personnels au sein d’autres applications ou des applications personnelles.

Pour un exemple de contexte « personnel », prenons l’exemple d’un utilisateur qui démarre un nouveau document dans Word, ce contexte étant considéré comme personnel, Intune stratégies App Protection ne sont pas appliquées. Une fois le document enregistré sur le compte OneDrive « d’entreprise », il est considéré comme un contexte « d’entreprise » et Intune stratégies De protection des applications sont appliquées.

Prenons les exemples suivants pour un contexte professionnel ou d’entreprise :

• Un utilisateur démarre l’application OneDrive à l’aide de son compte professionnel. Dans le contexte professionnel, ils ne peuvent pas déplacer des fichiers vers un emplacement de stockage personnel. Plus tard, quand il utilise OneDrive avec son compte personnel, il peut copier et déplacer des données à partir de son compte personnel OneDrive sans restrictions.
• Un utilisateur commence à rédiger un e-mail dans l’application Outlook. Une fois que l’objet ou le corps du message est rempli, l’utilisateur ne peut pas changer l’adresse de l’expéditeur du contexte professionnel vers le contexte personnel, car l’objet et le corps du message sont protégés par la stratégie App Protection.

Code PIN d’application Intune

Le numéro d'identification personnel (PIN) est un code de passe utilisé pour vérifier que le bon utilisateur accède aux données de l'organisation dans une application.

Invite à entrer le code PIN
Intune n’invite l’utilisateur à saisir le code PIN de l’application que s’il est sur le point d’accéder à des données « d’entreprise ». Dans les applications multi-identité telles que Word, Excel ou PowerPoint, l’utilisateur est invité à entrer son code PIN lorsqu’il tente d’ouvrir un fichier ou un document « d’entreprise ». Dans les applications à identité unique, telles que les applications métier gérées à l’aide du Intune App Wrapping Tool, le code pin est invité au lancement, car le sdk Intune sait que l’expérience de l’utilisateur dans l’application est toujours « d’entreprise ».

Fréquence des invites à entrer le code confidentiel ou les informations d’identification d’entreprise
L’administrateur informatique peut définir le paramètre de stratégie de protection des applications Intune Revérifier les conditions d’accès après (minutes) dans le centre d’administration Microsoft Intune. Ce paramètre spécifie le délai avant que les conditions d’accès ne soient vérifiées sur l’appareil et que l’écran du code PIN de l’application ou l’invite de demande d’informations d’identification d’entreprise ne réapparaisse. Toutefois, les détails importants sur le code confidentiel qui affectent la fréquence à laquelle l’utilisateur est invité sont les suivants :

• Le code PIN est partagé entre les applications du même éditeur pour améliorer la convivialité :
  Sur iOS/iPadOS, un code pin d’application est partagé entre toutes les applications du même éditeur d’application. Par exemple, toutes les applications Microsoft partagent le même code PIN. Sur Android, un code pin d’application est partagé entre toutes les applications.
• Le comportement Revérifier les exigences d’accès après (minutes), après un redémarrage de l’appareil :
  Un minuteur suit le nombre de minutes d’inactivité déterminant quand afficher à nouveau l’invite du code PIN d’application Intune ou l’invite de demande d’informations d’identification d’entreprise. Sur iOS/iPadOS, ce minuteur n’est pas affecté par le redémarrage de l’appareil. Ainsi, le redémarrage de l’appareil n’a aucun effet sur le nombre de minutes pendant lesquelles l’utilisateur reste inactif à partir d’une application iOS/iPadOS avec Intune stratégie de code confidentiel (ou d’informations d’identification d’entreprise) ciblée. Sur Android, la minuterie est réinitialisée au redémarrage de l'appareil. Par conséquent, les applications Android avec Intune stratégie de code confidentiel (ou d’informations d’identification d’entreprise) demandent probablement un code confidentiel d’application ou une invite d’informations d’identification d’entreprise, quelle que soit la valeur de paramètre « Revérifier les exigences d’accès après (minutes) » après un redémarrage de l’appareil.
• La nature roulante de la minuterie associée au PIN :
  Une fois qu’un code PIN est entré pour accéder à une application (l’application A) et que l’application quitte le premier plan (le focus d’entrée principal) sur l’appareil, le minuteur est réinitialisé pour ce code PIN. Toute application (application B) qui partage ce code confidentiel n’invite pas l’utilisateur à entrer le code confidentiel, car le minuteur a été réinitialisé. L’invite s’affiche à nouveau une fois que la valeur « Revérifier les conditions d’accès après (minutes) » est à nouveau remplie.

Pour les appareils iOS/iPadOS, même si le code confidentiel est partagé entre des applications de différents éditeurs, l’invite s’affiche à nouveau lorsque la valeur Revérifier les exigences d’accès après (minutes) est à nouveau remplie pour l’application qui n’est pas le focus d’entrée principal. Par exemple, un utilisateur a application A de l’éditeur X et l’application B de l’éditeur Y, et ces deux applications partagent le même code PIN. L’utilisateur travaille avec l’application A (au premier plan) et l’application B est réduite. Une fois que la valeur Revérifier les conditions d’accès après (minutes) est remplie et que l’utilisateur bascule vers l’application B, le code confidentiel est requis.

Codes PIN d’application intégrés pour Outlook et OneDrive
Le code pin Intune fonctionne sur la base d’un minuteur basé sur l’inactivité (la valeur de Revérifier les exigences d’accès après (minutes)). Par conséquent, Intune invites de code confidentiel s’affichent indépendamment des invites de code confidentiel d’application intégrées pour Outlook et OneDrive, qui sont souvent liées au lancement de l’application par défaut. Si l’utilisateur reçoit les deux invites de code confidentiel en même temps, le comportement attendu est que le code confidentiel Intune est prioritaire.

Sécurité du code PIN Intune
Le code PIN sert à autoriser uniquement les utilisateurs adéquats à accéder aux données de leur organisation dans l’application. Par conséquent, un utilisateur doit se connecter avec son compte professionnel ou scolaire avant de pouvoir définir ou réinitialiser son code confidentiel d’application Intune. Microsoft Entra ID gère cette authentification via l’échange de jetons sécurisé et le SDK Intune ne la voit pas. Du point de vue de la sécurité, la meilleure manière de protéger les données professionnelles ou scolaires consiste à les chiffrer. Le chiffrement n’est pas lié au code confidentiel de l’application, mais il s’agit de sa propre stratégie de protection des applications.

Protection contre les attaques par force brute et code PIN Intune
Dans le cadre de la stratégie de code PIN d’application, l’administrateur peut définir un nombre maximal de tentatives d’authentification de son code PIN avant le verrouillage de l’application. Une fois le nombre de tentatives atteint, le sdk Intune peut réinitialiser les données « d’entreprise » dans l’application.

Code PIN Intune et réinitialisation sélective
Sur iOS/iPadOS, les informations de code PIN au niveau de l’application sont stockées dans la chaîne de clés partagée entre les applications du même éditeur, par exemple toutes les applications Microsoft principales. Ces informations de code confidentiel sont également liées à un compte d’utilisateur. Une réinitialisation sélective d’une application n’affecte pas une autre application.

Par exemple, un code PIN défini pour Outlook pour l’utilisateur connecté est stocké dans un trousseau partagé. Lorsque l’utilisateur se connecte à OneDrive (également publié par Microsoft), il voit le même code confidentiel qu’Outlook, car il utilise le même trousseau partagé. Lors de la déconnexion d’Outlook ou de la réinitialisation des données utilisateur dans Outlook, le Kit de développement logiciel (SDK) Intune n’efface pas ce trousseau, car OneDrive peut toujours utiliser ce code confidentiel. Pour cette raison, les réinitialisations sélectives n’effacent pas ce trousseau partagé, y compris le code confidentiel. Ce comportement reste le même dans le cas où il n’y a qu’une seule application d’un éditeur sur l’appareil.

Étant donné que le code confidentiel est partagé entre les applications du même éditeur, si la réinitialisation est effectuée sur une seule application, le sdk Intune ne sait pas s’il existe d’autres applications sur l’appareil avec le même éditeur. Par conséquent, le KIT de développement logiciel (SDK) Intune n’efface pas le code confidentiel, car il peut toujours être utilisé pour d’autres applications. On s’attend à ce que le code confidentiel de l’application soit effacé lorsque la dernière application de cet éditeur est finalement supprimée dans le cadre d’un nettoyage du système d’exploitation.

Si vous observez que le code confidentiel est réinitialisé sur certains appareils, le comportement suivant se produit probablement : étant donné que le code confidentiel est lié à une identité, si l’utilisateur se connecte avec un autre compte après une réinitialisation, il est invité à entrer un nouveau code confidentiel. Toutefois, s’ils se connectent avec un compte existant, un code pin stocké dans le trousseau peut être utilisé pour se connecter.

Configurer un code PIN deux fois sur des applications du même éditeur ?
Mam (sur iOS/iPadOS) autorise actuellement le code confidentiel au niveau de l’application avec des caractères alphanumériques et spéciaux (appelés « code secret ») qui nécessite la participation d’applications (c’est-à-dire, WXP, Outlook Viva Engage) pour intégrer le KIT de développement logiciel (SDK) Intune pour iOS. Sans cela, les paramètres de code secret ne sont pas correctement appliqués pour les applications ciblées. Il s’agit d’une fonctionnalité publiée dans le SDK Intune pour iOS v. 7.1.12.

Pour prendre en charge cette fonctionnalité et garantir la compatibilité descendante avec les versions précédentes du Kit de développement logiciel (SDK) Intune pour iOS/iPadOS, tous les codes confidentiels (numériques ou code secret) dans la version 7.1.12+ sont gérés séparément du code pin numérique dans les versions précédentes du SDK. Un autre changement a été introduit dans le SDK Intune pour iOS v 14.6.0 qui fait que tous les PIN dans 14.6.0+ sont traités séparément de tous les PIN dans les versions précédentes du SDK.

Par conséquent, si un appareil a des applications avec Intune SDK pour iOS versions antérieures à 7.1.12 ET après 7.1.12 à partir du même éditeur (ou versions antérieures à 14.6.0 ET après 14.6.0), ils doivent configurer deux codes confidentiels. Les deux codes confidentiels (pour chaque application) ne sont pas liés d’une manière ou d’une autre (c’est-à-dire qu’ils doivent respecter la stratégie de protection des applications appliquée à l’application). Par conséquent, si les applications A et B ont les mêmes stratégies appliquées (en ce qui concerne le code confidentiel), l’utilisateur peut configurer le même code confidentiel deux fois.

Ce comportement est spécifique au code PIN sur les applications iOS/iPadOS activées avec la gestion des applications mobiles Intune. Au fil du temps, à mesure que les applications adoptent les versions ultérieures du SDK Intune pour iOS/iPadOS, devoir définir deux fois un code PIN sur les applications d’un même éditeur pose moins de problèmes.

Chiffrement des données d’application

Les administrateurs informatiques peuvent déployer une stratégie de protection des applications qui exige que les données des applications soient cryptées. Dans le cadre de la stratégie, l'administrateur informatique peut également préciser quand le contenu est crypté.

Comment se déroule le processus de cryptage des données d'Intune
Pour plus d’informations sur le paramètre de chiffrement de stratégie de protection des applications, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS/iPadOS.

Les données chiffrées
Seules les données marquées comme « d’entreprise » sont chiffrées en fonction de la stratégie de protection des applications de l’administrateur. Les données sont considérées comme « d’entreprise » lorsqu’elles proviennent d’un emplacement de l’entreprise. Pour les applications Microsoft 365, Intune considère les éléments suivants comme des emplacements professionnels :

• E-mail (Exchange)
• Stockage cloud (application OneDrive avec un compte OneDrive professionnel ou scolaire)

Pour les applications métier gérées par le Intune App Wrapping Tool, toutes les données d’application sont considérées comme « d’entreprise ».

Réinitialisation sélective

Effacement à distance des données
Intune peut réinitialiser les données d’application de trois façons différentes :

• Réinitialisation complète de l’appareil
• Réinitialisation sélective pour la gestion des appareils mobiles
• Réinitialisation sélective pour gestion des applications mobiles

Pour plus d'informations sur l'effacement à distance pour MDM, reportez-vous à la section Supprimer des appareils en utilisant l'effacement ou le retrait. Pour plus d'informations sur l'effacement sélectif à l'aide de MAM, voir l'action Retirer et Comment effacer uniquement les données d'entreprise des applications.

La réinitialisation complète de l’appareil supprime toutes les données et paramètres utilisateur de l’appareil en restaurant les paramètres d’usine par défaut de l’appareil. L'appareil est supprimé d'Intune.

Effacement sélectif pour MDM
Voir Supprimer les appareils – retraite pour en savoir plus sur la suppression des données de l'entreprise.

Réinitialisation sélective pour la gestion des applications mobiles
La réinitialisation sélective pour mam supprime les données d’application d’entreprise d’une application. La demande est lancée en utilisant Intune. Pour savoir comment effectuer une demande de réinitialisation, consultez la section Guide pratique pour effacer uniquement les données d’entreprise des applications.

Si l’utilisateur utilise l’application lorsque la réinitialisation sélective est lancée, le Kit de développement logiciel (SDK) Intune contrôle toutes les 30 minutes la présence d’une requête de réinitialisation sélective du service MAM Intune. Il vérifie également l'effacement sélectif lorsque l'utilisateur lance l'application pour la première fois et se connecte avec son compte professionnel ou scolaire.

Lorsque les services sur site (on-premises) ne fonctionnent pas avec les applications protégées par Intune
La protection d’applications Intune dépend de la cohérence de l’identité de l’utilisateur entre l’application et le Kit de développement logiciel (SDK) Intune. La seule façon de le garantir est de recourir à une authentification moderne. Il existe des scénarios dans lesquels les applications peuvent fonctionner avec une configuration locale, mais ils ne sont pas cohérents ou garantis.

Un moyen sûr d'ouvrir des liens web à partir d'applications gérées
L’administrateur informatique peut déployer et définir une stratégie de protection pour Microsoft Edge, un navigateur web facile à gérer avec Intune. L’administrateur informatique peut exiger l’ouverture de tous les liens web dans les applications gérées par Intune à l’aide de Microsoft Edge.

Expérience de la protection des applications pour les appareils iOS

Empreinte digitale de l’appareil ou ID de visage

Les stratégies de protection des applications Intune permettent de contrôler l'accès aux applications uniquement pour l'utilisateur titulaire d'une licence Intune. L’un des moyens de contrôler l’accès à une application est d’exiger un Touch ID ou un Face ID Apple sur les appareils pris en charge. Intune implémente un comportement dans lequel, en cas de modification de la base de données biométrique de l’appareil, Intune invite l’utilisateur à entrer un code confidentiel lorsque la valeur de délai d’inactivité suivante est atteinte. Les changements apportés aux données biométriques incluent l’ajout et la suppression d’une empreinte digitale ou d’un visage. Si l’utilisateur Intune n’a pas de code confidentiel défini, il est amené à configurer un code confidentiel Intune.

L'objectif de ce processus est de continuer à assurer la sécurité et la protection des données de votre organisation au niveau de l'application. Cette fonctionnalité est disponible seulement pour iOS/iPadOS et nécessite la participation d’applications qui intègrent le SDK Intune pour iOS/iPadOS 9.0.1 ou ultérieur. L'intégration du SDK est nécessaire pour que le comportement puisse être appliqué aux applications ciblées. Cette intégration se produit en continu et repose sur les équipes d’application spécifiques. Parmi les applications qui participent, citons WXP, Outlook et Viva Engage.

Extension de partage iOS

Utilisez l’extension de partage iOS/iPadOS pour ouvrir des données professionnelles ou scolaires dans des applications non managées, même si la stratégie de transfert de données est définie sur les applications gérées uniquement ou aucune application. Intune stratégie de protection des applications ne peut pas contrôler l’extension de partage iOS/iPadOS sans gérer l’appareil. Par conséquent, Intune chiffre les données « d’entreprise » avant de les partager à l’extérieur de l’application. Validez ce comportement de chiffrement en essayant d’ouvrir un fichier « d’entreprise » en dehors de l’application gérée. Le fichier doit être crypté et ne peut être ouvert en dehors de l'application gérée.

Prise en charge des liens universels

Par défaut, Intune stratégies de protection des applications empêchent l’accès au contenu d’application non autorisé. Dans iOS/iPadOS, il existe des fonctionnalités permettant d’ouvrir du contenu ou des applications spécifiques à l’aide de liens universels.

Les utilisateurs peuvent désactiver les liens universels d’une application en les visitant dans Safari et en sélectionnant Ouvrir dans un nouvel onglet ou Ouvrir. Pour utiliser des liens universels avec des stratégies de protection des applications Intune, il est important de réactiver les liens universels. L’utilisateur doit effectuer une opération Ouvrir dans< le nom > del’application dans Safari après avoir appuyé longuement sur un lien correspondant. Cela doit inviter toute application protégée à router tous les liens universels vers l’application protégée sur l’appareil.

Plusieurs paramètres d’accès à la protection des applications Intune pour le même ensemble d’applications et d’utilisateurs

Intune stratégies de protection des applications pour l’accès sont appliquées dans un ordre spécifique sur les appareils des utilisateurs quand ils tentent d’accéder à une application ciblée à partir de leur compte d’entreprise. En général, un essuyage est prioritaire, suivi d'un blocage, puis d'un avertissement inadmissible. Par exemple, si applicable à l’utilisateur/à l’application spécifique, un paramètre de système d’exploitation iOS/iPadOS minimal qui avertit un utilisateur de mettre à jour sa version iOS/iPadOS est appliqué après le paramètre de système d’exploitation iOS/iPadOS minimal qui empêche l’utilisateur d’accéder. Par conséquent, dans le scénario où l’administrateur informatique configure le système d’exploitation iOS minimal sur 11.0.0.0 et le système d’exploitation iOS min (Avertissement uniquement) sur 11.1.0.0, alors que l’appareil essayant d’accéder à l’application était sur iOS 10, l’utilisateur serait bloqué en fonction du paramètre plus restrictif pour la version minimale du système d’exploitation iOS qui entraîne un blocage de l’accès.

Lors du traitement de différents types de paramètres, l’exigence d’une version du SDK Intune est prioritaire, suivie de l’exigence d’une version de l’application, puis de l’exigence d’une version du système d’exploitation iOS/iPadOS. Ensuite, les avertissements éventuels pour tous les types de paramètres dans le même ordre sont vérifiés. Configurez l’exigence de version du KIT de développement logiciel (SDK) Intune uniquement après avoir été guidé par l’équipe de produit Intune pour les scénarios de blocage essentiels.

Expérience de protection des applications pour les appareils Android

Appareils Android Microsoft Teams

L’application Teams sur les appareils Android Microsoft Teams ne prend pas en charge les stratégies de protection des applications (ne reçoit pas de stratégie via l’application Portail d'entreprise). Cela signifie que les paramètres de stratégie de protection des applications ne seront pas appliqués à Teams sur les appareils Android Microsoft Teams. Si vous avez configuré des stratégies de protection des applications pour ces appareils, envisagez de créer un groupe d’utilisateurs d’appareils Teams et d’exclure ce groupe des stratégies de protection des applications associées. En outre, envisagez de modifier vos stratégies d’inscription Intune, stratégies d’accès conditionnel et stratégies de conformité Intune afin qu’elles incluent les paramètres pris en charge. Si vous ne pouvez pas modifier vos stratégies existantes, vous devez configurer (exclusion) Les filtres d’appareil. Vérifiez chaque paramètre par rapport à la configuration de l’accès conditionnel et à la stratégie de conformité Intune existantes pour savoir si vous incluez des paramètres non pris en charge. Pour plus d’informations, consultez Accès conditionnel pris en charge et stratégies de conformité des appareils Intune pour les appareils Salles Microsoft Teams et Teams Android. Pour plus d’informations sur Salles Microsoft Teams, consultez L’accès conditionnel et la conformité Intune pour les Salles Microsoft Teams.

Authentification biométrique des appareils

Pour les appareils Android qui prennent en charge l’authentification biométrique, autorisez les utilisateurs à utiliser l’empreinte digitale ou le déverrouillage visage, en fonction de ce que leur appareil Android prend en charge. Configurez si tous les types biométriques au-delà de l’empreinte digitale peuvent être utilisés pour l’authentification. Les empreintes digitales et le déverrouillage visage sont disponibles uniquement pour les appareils fabriqués pour prendre en charge ces types biométriques et exécutent la version correcte d’Android. L’authentification par empreinte digitale nécessite Android 6 et supérieur, et l’authentification par reconnaissance faciale nécessite Android 10 et supérieur.

Protection des applications du portail de l'entreprise et des applications Intune

La plupart des fonctionnalités de protection des applications sont intégrées à l’application Portail d’entreprise. L’inscription de l’appareil n’est pas obligatoire*, même si l’application Portail d'entreprise est toujours requise. Pour la gestion des applications mobiles (GAM), l’utilisateur doit avoir installé l’application Portail d'entreprise sur l’appareil.

Plusieurs paramètres d’accès à la protection des applications Intune pour le même ensemble d’applications et d’utilisateurs

Intune stratégies de protection des applications pour l’accès sont appliquées dans un ordre spécifique sur les appareils des utilisateurs quand ils tentent d’accéder à une application ciblée à partir de leur compte d’entreprise. En général, un bloc est prioritaire, puis un avertissement ignoré. Par exemple, s’il est applicable à l’utilisateur/à l’application spécifique, un paramètre de version minimale du correctif Android qui avertit un utilisateur d’effectuer une mise à niveau corrective est appliqué après le paramètre de version minimale du correctif Android qui empêche l’utilisateur d’accéder. Par conséquent, dans le scénario où l’administrateur informatique configure la version minimale du correctif Android sur 2018-03-01 et la version minimale du correctif Android (avertissement uniquement) sur 2018-02-01, alors que l’appareil essayant d’accéder à l’application était sur une version 2018-01-01de correctif , l’utilisateur serait bloqué en fonction du paramètre plus restrictif pour la version minimale du correctif Android qui entraîne un blocage de l’accès.

Lorsque vous traitez différents types de paramètres, une exigence de version d’application est prioritaire, suivie d’une exigence de version du système d’exploitation Android et d’une exigence de version de correctif Android. Ensuite, tous les avertissements sont vérifiés pour tous les types de paramètres dans le même ordre.

Intune stratégies de protection des applications et case activée d’intégrité des appareils Google Play pour les appareils Android

Intune stratégies de protection des applications permettent aux administrateurs d’exiger que les appareils utilisateur passent les case activée d’intégrité des appareils Google Play pour les appareils Android. Une nouvelle détermination du service Google Play est signalée à l’administrateur informatique à un intervalle déterminé par le service Intune. La fréquence à laquelle l’appel de service est limité en raison de la charge. Par conséquent, cette valeur est conservée en interne et n’est pas configurable. Toute action configurée par l’administrateur informatique pour le paramètre d’intégrité de l’appareil Google est effectuée en fonction du dernier résultat signalé au service Intune au moment du lancement conditionnel. S’il n’y a pas de données, l’accès est autorisé en fonction de l’échec des autres vérifications de lancement conditionnel, et google Play Service « aller-retour » pour déterminer les résultats d’attestation commence dans le back-end et invite l’utilisateur de façon asynchrone en cas de défaillance de l’appareil. S’il existe des données obsolètes, l’accès est bloqué ou autorisé en fonction du dernier résultat signalé, et de même, un « aller-retour » du service Google Play pour déterminer les résultats d’attestation commence et invite l’utilisateur de manière asynchrone en cas de défaillance de l’appareil.

Stratégies de protection des applications Intune et API de vérification des applications de Google pour les appareils Android

Intune stratégies de protection des applications permettent aux administrateurs d’exiger que les appareils des utilisateurs envoient des signaux via l’API Verify Apps pour les appareils Android de Google. Les instructions sur la manière de procéder varient légèrement selon les appareils. Le processus général consiste à accéder au Google Play Store, puis à sélectionner Mes applications & jeux, puis à sélectionner le résultat de la dernière analyse de l’application, ce qui vous permet d’accéder au menu Play Protect. Assurez-vous que la case à cocher Scanner un appareil pour les menaces de sécurité est activée.

API d’intégrité play de Google

Intune utilise les API Play Integrity de Google pour ajouter aux vérifications de détection racine existantes pour les appareils non inscrits. Google développe et gère cet ensemble d’API pour les applications Android à adopter si elles ne veulent pas que leurs applications s’exécutent sur des appareils rootés. L’application Android Pay intègre cela, par exemple. Bien que Google ne partage pas publiquement l’intégralité des vérifications de détection racine qui se produisent, ces API détectent les utilisateurs qui rootent leurs appareils. L’accès de ces utilisateurs peut alors être bloqué, ou leurs comptes professionnels supprimés des applications pour lesquelles une stratégie est activée. Vérifier l’intégrité de base vous informe quant à l’intégrité générale de l’appareil. Les appareils enracinés, les émulateurs, les appareils virtuels et les appareils présentant des signes d'altération manquent l'intégrité de base. Vérifier l’intégrité de base et les appareils certifiés vous informe quant à la compatibilité de l’appareil avec les services de Google. Seuls les appareils non modifiés certifiés par Google peuvent passer cette case activée. Les appareils qui échouent incluent les éléments suivants :

• Appareils qui échouent aux tests d’intégrité de base
• Appareils ayant un chargeur de démarrage déverrouillé
• Appareils ayant une image système/ROM personnalisée
• Appareils auxquels le fabricant n’a pas demandé ou réussi la certification Google
• Appareils dotés d'une image système construite directement à partir des fichiers sources du programme Android Open Source
• Appareils ayant une image système en préversion bêta/développeur

Pour plus d’informations techniques, consultez la documentation de Google sur l’API Play Integrity de Google .

Paramètre de verdict d’intégrité de la lecture et paramètre « appareils jailbreakés/rootés »

Le verdict d’intégrité du jeu exige que l’utilisateur soit en ligne, au moins pendant le moment où le « aller-retour » pour déterminer les résultats de l’attestation s’exécute. Si l’utilisateur est hors connexion, l’administrateur informatique peut toujours s’attendre à ce qu’un résultat soit appliqué à partir du paramètre appareils jailbreakés/rootés . Toutefois, si l’utilisateur reste hors connexion trop longtemps, la valeur période de grâce hors connexion entre en jeu et tout accès aux données professionnelles ou scolaires est bloqué une fois cette valeur du minuteur atteinte, jusqu’à ce que l’accès réseau soit disponible. L’activation des deux paramètres permet une approche en couches pour maintenir l’intégrité des appareils utilisateur, ce qui est important lorsque les utilisateurs accèdent à des données professionnelles ou scolaires sur mobile.

API Google Play Protect et Google Play Services

Les paramètres de stratégie de protection des applications qui utilisent les API Google Play Protect nécessitent le fonctionnement de Google Play Services. Les paramètres Verdict d’intégrité de la lecture et Analyse des menaces sur les applications nécessitent que la version google des services Google Play fonctionne correctement. Étant donné que ces paramètres relèvent du domaine de la sécurité, l’utilisateur est bloqué s’il est ciblé avec ces paramètres et ne répond pas à la version appropriée de Google Play Services ou n’a pas accès à Google Play Services.

expérience Protection d'applications pour les appareils Windows

Il existe deux catégories de paramètres de stratégie : la protection des données et les contrôles d’intégrité. Le terme application gérée par une stratégie fait référence aux applications configurées avec des stratégies de protection des applications.

Protection des données

Les paramètres de protection des données affectent les données et le contexte de l’organisation. En tant qu’administrateur, vous pouvez contrôler le déplacement des données vers et hors du contexte de la protection de l’organisation. Le contexte de l’organisation est défini par les documents, services et sites accessibles par le compte d’organisation spécifié. Les paramètres de stratégie suivants permettent de contrôler les données externes reçues dans le contexte de l’organisation et les données d’organisation envoyées à partir du contexte de l’organisation.

Contrôles d’intégrité

Les contrôles d’intégrité vous permettent de configurer les fonctionnalités de lancement conditionnel. Pour ce faire, vous devez définir les conditions de case activée d’intégrité de votre stratégie de protection des applications. Sélectionnez un paramètre et entrez la valeur que les utilisateurs doivent respecter pour accéder aux données de votre organisation. Sélectionnez ensuite l’action que vous souhaitez effectuer si les utilisateurs ne respectent pas vos conditions. Dans certains cas, plusieurs actions peuvent être configurées pour un seul paramètre.

Prochaines étapes

Comment créer et déployer des stratégies de protection des applications avec Microsoft Intune

Paramètres de stratégie de protection des applications Android disponibles avec Microsoft Intune

Paramètres de la stratégie de protection des applications iOS/iPadOS disponibles avec Microsoft Intune