Créer des stratégies de sécurité des appareils dans Basic Mobility and SecurityCreate device security policies in Basic Mobility and Security

Vous pouvez utiliser la mobilité et la sécurité de base pour créer des stratégies d’appareil qui aident à protéger les informations de votre organisation Microsoft 365 contre tout accès non autorisé.You can use Basic Mobility and Security to create device policies that help protect your organization information on Microsoft 365 from unauthorized access. Vous pouvez appliquer des stratégies à n’importe quel appareil mobile de votre organisation où l’utilisateur de l’appareil dispose d’une licence Microsoft 365 applicable et a inscrit l’appareil dans Basic Mobility and Security.You can apply policies to any mobile device in your organization where the user of the device has an applicable Microsoft 365 license and has enrolled the device in Basic Mobility and Security.

Avant de commencerBefore you begin

Important

Avant de pouvoir créer une stratégie d’appareil mobile, vous devez activer et configurer Basic Mobility and Security.Before you can create a mobile device policy, you must activate and set up Basic Mobility and Security. Pour plus d’informations, voir Vue d’ensemble de la mobilité et de la sécurité de base.For more info, see Overview of Basic Mobility and Security.

  • Découvrez les appareils, les applications d’appareils mobiles et les paramètres de sécurité que basic Mobility and Security prend en charge.Learn about the devices, mobile device apps, and security settings that Basic Mobility and Security supports. Voir fonctionnalités de la mobilité et de la sécurité de base.See Capabilities of Basic Mobility and Security.
  • Créez des groupes de sécurité qui incluent Microsoft 365 utilisateurs sur qui vous souhaitez déployer des stratégies et pour les utilisateurs que vous souhaitez peut-être exclure du blocage de l’accès Microsoft 365.Create security groups that include Microsoft 365 users that you want to deploy policies to and for users that you might want to exclude from being blocked access to Microsoft 365. Avant de déployer une nouvelle stratégie vers votre organisation, nous vous recommandons de la tester en la déployant vers un petit nombre d'utilisateurs.We recommend that before you deploy a new policy to your organization, you test the policy by deploying it to a small number of users. Vous pouvez créer et utiliser un groupe de sécurité qui inclut uniquement vous-même ou un petit nombre Microsoft 365 utilisateurs qui peuvent tester la stratégie pour vous.You can create and use a security group that includes just yourself or a small number Microsoft 365 users that can test the policy for you. Pour en savoir plus sur les groupes de sécurité, voir Créer, modifier ou supprimer un groupe de sécurité.To learn more about security groups, see Create, edit, or delete a security group.
  • Pour créer et déployer des stratégies de mobilité et de sécurité de base dans Microsoft 365, vous devez être un administrateur Microsoft 365 globale. Pour plus d’informations, voir Autorisations dans le Centre de sécurité & conformité.To create and deploy Basic Mobility and Security policies in Microsoft 365, you need to be a Microsoft 365 global admin. For more info, see Permissions in the Security & Compliance Center.
  • Avant de déployer des stratégies, faites savoir à votre organisation les impacts potentiels de l’inscription d’un appareil dans Basic Mobility and Security.Before you deploy policies, let your organization know the potential impacts of enrolling a device in Basic Mobility and Security. En fonction de la façon dont vous définissez les stratégies, les appareils non conformes peuvent être bloqués pour accéder aux Microsoft 365 et aux données, y compris les applications installées, les photos et les informations personnelles sur un appareil inscrit, et les données peuvent être supprimées.Depending on how you set up the policies, noncompliant devices can be blocked from accessing Microsoft 365 and data, including installed applications, photos, and personal information on an enrolled device, and data can be deleted.

Notes

Les stratégies et règles d’accès créées dans Basic Mobility and Security pour Microsoft 365 Business Standard remplacent Exchange ActiveSync stratégies de boîte aux lettres d’appareil mobile et les règles d’accès aux appareils créées dans Exchange centre d’administration Exchange.Policies and access rules created in Basic Mobility and Security for Microsoft 365 Business Standard override Exchange ActiveSync mobile device mailbox policies and device access rules created in the Exchange admin center. Une fois qu’un appareil est inscrit à Basic Mobility and Security pour Microsoft 365 Business Standard, toute stratégie de boîte aux lettres d’appareil mobile Exchange ActiveSync ou règle d’accès à l’appareil appliquée à l’appareil est ignorée.After a device is enrolled in Basic Mobility and Security for Microsoft 365 Business Standard, any Exchange ActiveSync mobile device mailbox policy or device access rule applied to the device is ignored. Pour en savoir plus sur Exchange ActiveSync, voir Exchange ActiveSync dans Exchange Online.To learn more about Exchange ActiveSync, see Exchange ActiveSync in Exchange Online.

Étape 1 : Créer une stratégie d’appareil et déployer sur un groupe de testStep 1: Create a device policy and deploy to a test group

Avant de commencer, assurez-vous que vous avez activé et installé Basic Mobility and Security.Before you can start, make sure you have activated and set up Basic Mobility and Security. Pour obtenir des instructions, voir Vue d’ensemble de la mobilité et de la sécurité de base.For instructions, see Overview of Basic Mobility and Security.

  1. À partir de votre navigateur, tapez https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Sélectionnez Créer une stratégie.Select Create a policy.

    Paramètres de stratégie de mobilité et de sécurité de base

  3. Dans la page Paramètres de stratégie, spécifiez les exigences que vous souhaitez appliquer aux appareils mobiles de votre organisation.On the Policy settings page, specify the requirements you want applied to mobile devices in your organization.

  4. Exiger la gestion du profil de messagerie : lorsqu’il est activé, les appareils qui n’ont pas de profil de messagerie géré par Basic Mobility and Security sont considérés comme non conformes.Require managing email profile: When enabled, devices that don't have an email profile managed by Basic Mobility and Security are considered not compliant. Un appareil ne peut pas avoir de profil de messagerie géré lorsqu’il n’est pas correctement ciblé ou si l’utilisateur a manuellement installé le compte de messagerie sur l’appareil.A device can't have a managed email profile when it's not correctly targeted, or if the user manually set up the email account on the device. Lorsque vous ne l’activez pas (valeur par défaut), ce paramètre n’est pas évalué en matière de conformité ou de non-conformité.When you leave it Not Enabled (default), this setting isn't evaluated for compliance or non-compliance. Pour obtenir des instructions sur la façon dont les utilisateurs peuvent obtenir la conformité lorsque cette option est sélectionnée, voir Un compte de messagerie existant a été trouvé.For instructions on how users can get compliant when this option is selected, see An existing email account was found.

  5. Dans la page Voulez-vous appliquer cette stratégie maintenant ? Choisissez les groupes à appliquer à cette stratégie.On the Do you want to apply this policy now? page, choose the groups that you want to apply this policy to.

  6. Sélectionnez Créer cette stratégie.Select Create this policy.

La stratégie est poussée vers l’appareil de chaque utilisateur que la stratégie applique à la prochaine fois qu’il se connecte Microsoft 365 à l’aide de son appareil mobile.The policy is pushed to the device of each user the policy applies to the next time they sign in to Microsoft 365 using their mobile device. Si aucune stratégie n’a été appliquée à l’appareil mobile des utilisateurs auparavant, après avoir déployé la stratégie, ils obtiennent une notification sur leur appareil qui inclut les étapes d’inscription et d’activation de Basic Mobility and Security.If users haven't had a policy applied to their mobile device before, after you deploy the policy, they get a notification on their device that includes the steps to enroll and activate Basic Mobility and Security. Pour plus d’informations, voir Inscrire votre appareil mobile à l’aide de Basic Mobility and Security.For more info, see Enroll your mobile device using Basic Mobility and Security. Jusqu’à ce qu’ils terminent l’inscription dans Basic Mobility and Security hébergé par le service Intune, l’accès à la messagerie, OneDrive et à d’autres services est restreint.Until they complete enrollment in Basic Mobility and Security hosted by the Intune Service, access to email, OneDrive, and other services is restricted. Une fois l’inscription terminée à l’aide Portail d’entreprise Intune’application, ils peuvent utiliser les services et la stratégie est appliquée à leur appareil.After they complete enrollment by using the Intune Company Portal app, they can use the services and the policy is applied to their device.

Étape 2 : Vérifier que votre stratégie fonctionneStep 2: Verify that your policy works

Une fois que vous avez créé une stratégie d’appareil, vérifiez que la stratégie fonctionne comme prévu avant de la déployer dans votre organisation.After you’ve created a device policy, check that the policy works as you expect before you deploy it to your organization.

  1. À partir de votre navigateur, tapez https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.
  2. Sélectionnez Afficher la liste des appareils gérés.Select View the list of managed devices.
  3. Vérifiez le statut des appareils utilisateur auxquels la stratégie est appliquée.Check the status of user devices that have the policy applied. Vous souhaitez que l’état des appareils soit géré.You want the State of devices to be Managed.
  4. Vous pouvez également faire une réinitialisation complète ou sélective sur un appareil en cliquant sur réinitialiser aux usine ou supprimer les données d’entreprise du bouton Gérer après avoir sélectionné un appareil. You can also do a full or selective wipe on a device by clicking on Factory reset or Remove company data from Manage button after selecting a device. Pour obtenir des instructions, voir [Effacer un appareil mobile dans Microsoft 365.For instructions, see [Wipe a mobile device in Microsoft 365.

Étape 3 : Déployer une stratégie pour votre organisationStep 3: Deploy a policy to your organization

Une fois que vous avez créé une stratégie d’appareil et vérifié qu’elle fonctionne comme prévu, déployez-la dans votre organisation.After you’ve created a device policy and verified that it works as expected, deploy it to your organization.

  1. À partir de votre type de navigateur https://protection.office.com/devicev2 : .From your browser type: https://protection.office.com/devicev2.
  2. Sélectionnez la stratégie que vous souhaitez déployer, puis sélectionnez Modifier en plus des groupes appliqués.Select the policy you want to deploy, and choose Edit next to Groups applied to.
  3. Recherchez un groupe à ajouter et cliquez sur Sélectionner.Search for a group to add and click on Select.
  4. Sélectionnez Fermer et modifier le paramètre.Select Close and Change setting.
  5. Sélectionnez Fermer et modifier la stratégie.Select Close and Edit policy.

La stratégie est poussée vers l’appareil mobile de chaque utilisateur à la prochaine fois qu’elle s’applique à la Microsoft 365 à partir de son appareil mobile.The policy is pushed to the mobile device of each user the policy applies to the next time they sign in to Microsoft 365 from their mobile device. Si aucune stratégie n’a été appliquée à leur appareil mobile, les utilisateurs obtiennent une notification sur leur appareil avec les étapes nécessaires pour l’inscrire et l’activer pour Basic Mobility and Security.If users haven't had a policy applied to their mobile device, they get a notification on their device with steps to enroll and activate it for Basic Mobility and Security. Une fois l’inscription terminée, la stratégie est appliquée à son appareil.After they’ve completed the enrollment, the policy is applied to their device. Pour plus d’informations, voir Inscrire votre appareil mobile à l’aide de Basic Mobility and Security.For more info, see Enroll your mobile device using Basic Mobility and Security.

Étape 4 : Bloquer l’accès à la messagerie pour les appareils non pris en compteStep 4: Block email access for unsupported devices

Pour sécuriser les informations de votre organisation, vous devez bloquer l’accès de l’application à Microsoft 365 courrier électronique pour les appareils mobiles qui ne sont pas pris en charge par Basic Mobility and Security.To help secure your organization information, you should block app access to Microsoft 365 email for mobile devices that aren't supported by Basic Mobility and Security. Pour obtenir la liste des appareils pris en charge, voir Appareils pris en charge.For a list of supported devices, see Supported devices.

Pour bloquer l’accès à l’application :To block app access:

  1. À partir de votre navigateur, tapez https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Sélectionnez Gérer les paramètres d’accès aux appareils à l’échelle de l’organisation.Select Manage organization-wide device access settings.

  3. Pour bloquer les appareils non pris en charge, sélectionnez Bloquer sous Si un appareil n’est pas pris en charge par Basic Mobility and Security pour Microsoft 365, puis sélectionnez Enregistrer.To block unsupported devices, choose Block under If a device isn't supported by Basic Mobility and Security for Microsoft 365, and then select Save.

    Option d’accès de blocage de la mobilité et de la sécurité de base

Étape 5 : Choisir les groupes de sécurité à exclure des vérifications d’accès conditionnelStep 5: Choose security groups to be excluded from conditional access checks

Si vous souhaitez exclure certaines personnes des vérifications d’accès conditionnel sur leur appareil mobile et que vous avez créé un ou plusieurs groupes de sécurité pour ces personnes, ajoutez les groupes de sécurité ici.If you want to exclude some people from conditional access checks on their mobile devices and you've created one or more security groups for those people, add the security groups here. Aucune stratégie n’est appliquée aux personnes de ces groupes pour leurs appareils mobiles pris en charge.The people in these groups won't have any policies enforced for their supported mobile devices. Il s’agit de l’option recommandée si vous ne souhaitez plus utiliser la mobilité et la sécurité de base dans votre organisation.This is the recommended option if you no longer want to use Basic Mobility and Security in your organization.

  1. À partir de votre navigateur, tapez https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Sélectionnez Gérer les paramètres d’accès aux appareils à l’échelle de l’organisation.Select Manage organization-wide device access settings.

    Mobilité et sécurité de base créent une option de stratégie

  3. Sélectionnez Ajouter pour ajouter le groupe de sécurité dont vous souhaitez exclure les utilisateurs d’un accès Microsoft 365.Select Add to add the security group that has users you want to exclude from having blocked access to Microsoft 365. Lorsqu’un utilisateur a été ajouté à cette liste, il peut accéder à Microsoft 365 courrier électronique lorsqu’il utilise un appareil non pris en compte.When a user has been added to this list, they can access Microsoft 365 email when they are using an unsupported device.

  4. Sélectionnez le groupe de sécurité à utiliser dans le panneau Sélectionner un groupe.Select the security group you want to use in the Select group panel.

  5. Sélectionnez le nom, puis ajoutez > Enregistrer.Select the name, and then Add > Save.

  6. Dans le panneau Paramètres d’accès aux appareils à l’échelle de l’organisation, sélectionnez Enregistrer.On the Organization-wide device access settings panel, choose Save.

    Option d’accès autorisé pour la mobilité et la sécurité de base

Quel est l’impact des stratégies de sécurité sur les différents types d’appareils ?What is the impact of security policies on different device types?

Lorsque vous appliquez une stratégie aux appareils des utilisateurs, l’impact sur chaque appareil varie légèrement d’un type d’appareil à l’autre.When you apply a policy to user devices, the impact on each device varies somewhat among device types. Consultez le tableau suivant pour obtenir des exemples de l’impact des stratégies sur les différents appareils.See the following table for examples of the impact of policies on different devices.

Stratégie de sécuritéSecurity Policy Android 4 et version ultérieureAndroid 4 and later Samsung KNOXSamsung KNOX iOS 6 et les ultérieuresiOS 6 and later NotesNotes
Exiger la sauvegarde chiffréeRequire encrypted backup NonNo OuiYes OuiYes Sauvegarde chiffrée iOS requise.iOS encrypted backup required.
Bloquer la sauvegarde sur le cloudBlock cloud backup OuiYes OuiYes OuiYes Sauvegarde Google bloquée sur Android (grisé), sauvegarde sur le cloud sous iOS.Block Google backup on Android (grayed out), cloud backup on iOS.
Bloquer la synchronisation de documentsBlock document synchronization NonNo NonNo OuiYes iOS : bloquer les documents dans le cloud.iOS: Block documents in the cloud.
Bloquer la synchronisation de photosBlock photo synchronization NonNo NonNo OuiYes iOS (natif) : bloquer le flux de photos.iOS (native): Block Photo Stream.
Bloquer la capture d’écranBlock screen capture NonNo OuiYes OuiYes Bloqué lors de la tentative.Blocked when attempted.
Bloquer la visioconférenceBlock video conference NonNo NonNo OuiYes FaceTime bloqué sur iOS, et non sur Skype ou d’autres.FaceTime blocked on iOS, not on Skype or others.
Bloquer l’envoi de données de diagnosticBlock sending diagnostic data NonNo OuiYes OuiYes Bloquer l’envoi des rapports d’incident Google sur Android.Block sending Google crash report on Android.
Bloquer l’accès au magasin d’applicationsBlock access to app store NonNo OuiYes OuiYes Icône du magasin d’applications manquante sur la page d’accueil Android, désactivée sous Windows, manquante sous iOS.App store icon missing on Android home page, disabled on Windows, missing on iOS.
Exiger le mot de passe pour le magasin d’applicationsRequire password for app store NonNo NonNo OuiYes iOS : Mot de passe requis pour les achats iTunes.iOS: Password required for iTunes purchases.
Bloquer la connexion au stockage amovibleBlock connection to removable storage NonNo OuiYes N/DN/A Android : la carte SD est grisée dans les paramètres, Windows avertit l’utilisateur, les applications installées ne sont pas disponiblesAndroid: SD card is grayed out in settings, Windows notifies user, apps installed aren't available
Bloquer la connexion BluetoothBlock Bluetooth connection Voir les remarquesSee notes Voir les remarquesSee notes OuiYes Nous ne pouvons pas désactiver BlueTooth en tant que paramètre sur Android.We can't disable BlueTooth as a setting on Android. Au lieu de cela, nous désactivons toutes les transactions qui nécessitent BlueTooth : distribution audio avancée, contrôle à distance audio/vidéo, appareils mains libres, casque, accès au carnet d’Téléphone et port série.Instead, we disable all of the transactions that require BlueTooth: Advanced Audio Distribution, Audio/Video Remote Control, hands-free devices, headset, Phone Book Access, and Serial Port. Un petit message flottant apparaît en bas de la page lorsque l’une d’entre elles est utilisée.A small toast message appears at the bottom of the page when any of these are used.

Que se passe-t-il lorsque vous supprimez une stratégie ou un utilisateur de la stratégie ?What happens when you delete a policy or remove a user from the policy?

Lorsque vous supprimez une stratégie ou supprimez un utilisateur d’un groupe sur lequel la stratégie a été déployée, les paramètres de stratégie, le profil de messagerie Microsoft 365 et les e-mails mis en cache peuvent être supprimés de l’appareil de l’utilisateur.When you delete a policy or remove a user from a group to which the policy was deployed, the policy settings, Microsoft 365 email profile and cached emails might be removed from the user's device. Consultez le tableau suivant pour voir ce qui est supprimé pour les différents types d’appareils.See the following table to see what is removed for the different device types.

Qu’est-ce qui est supprimé ?What's removed iOS 6 et les ultérieuresiOS 6 and later Android 4 et version ultérieure (y compris Samsung KNOXAndroid 4 and later (including Samsung KNOX
Profils de messageriegérés 1Managed email profiles1 OuiYes NonNo
Bloquer la sauvegarde sur le cloudBlock cloud backup OuiYes NonNo

1 Si la stratégie a été déployée avec l’option Profil de messagerie géré, le profil de messagerie géré et les e-mails mis en cache dans ce profil sont supprimés de l’appareil de l’utilisateur.1 If the policy was deployed with the option Email profile is managed selected, the managed email profile and cached emails in that profile are deleted from the user device.

La stratégie est supprimée de l’appareil mobile pour chaque utilisateur que la stratégie applique lors de la prochaine vérification de son appareil avec Basic Mobility and Security.The policy is removed from the mobile device for each user the policy applies to the next time their device checks in with Basic Mobility and Security. Si vous déployez une nouvelle stratégie qui s’applique à ces appareils utilisateur, ils sont invités à s’inscrire à nouveau à Basic Mobility and Security.If you deploy a new policy that applies to these user devices, they are prompted to re-enroll in Basic Mobility and Security.

Vous pouvez également effacer complètement un appareil ou effacer de manière sélective les informations organisationnelles de l’appareil.You can also wipe a device either completely, or selectively wipe organizational information from the device. Pour plus d’informations, voir Effacer un appareil mobile dans Basic Mobility and Security.For more info, see Wipe a mobile device in Basic Mobility and Security.

Vue d’ensemble de Basic Mobility and Security (article)Overview of Basic Mobility and Security (article)
Fonctionnalités de la mobilité et de la sécurité de base (article)Capabilities of Basic Mobility and Security (article)