Procédure : Exiger des applications clientes approuvées pour l’accès aux applications cloud avec l’accès conditionnelHow to: Require approved client apps for cloud app access with Conditional Access

Les appareils mobiles sont régulièrement utilisés pour effectuer des tâches aussi bien personnelles que professionnelles.People regularly use their mobile devices for both personal and work tasks. Tout en veillant à ce que le personnel puisse être productif, les organisations veulent également empêcher la perte de données depuis des applications potentiellement non sécurisées.While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. Avec l’accès conditionnel, les organisations peuvent limiter l’accès aux seules applications clientes approuvées (avec une authentification moderne).With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps.

Cet article présente deux scénarios permettant de configurer des stratégies d’accès conditionnel pour des ressources comme Microsoft 365, Exchange Online et SharePoint Online.This article presents two scenarios to configure Conditional Access policies for resources like Microsoft 365, Exchange Online, and SharePoint Online.

Dans l’accès conditionnel, on parle de nécessité d’une application cliente approuvée pour cette fonctionnalité.In Conditional Access, this functionality is known as requiring an approved client app. Pour obtenir la liste des applications clientes approuvées, consultez Spécification d’application cliente approuvée.For a list of approved client apps, see approved client app requirement.

Notes

Pour exiger des applications clientes approuvées pour les appareils iOS et Android, ces derniers doivent d’abord s’inscrire auprès d'Azure AD.In order to require approved client apps for iOS and Android devices, these devices must first register in Azure AD.

Scénario 1 : Les applications Microsoft 365 demandent une application cliente approuvéeScenario 1: Microsoft 365 apps require an approved client app

Dans ce scénario, Contoso a décidé que les utilisateurs se servant d’appareils mobiles peuvent accéder à tous les services Microsoft 365, à condition qu’ils utilisent des applications clientes approuvées, comme Outlook Mobile, OneDrive et Microsoft Teams.In this scenario, Contoso has decided that users using mobile devices can access all Microsoft 365 services as long as they use approved client apps, like Outlook mobile, OneDrive, and Microsoft Teams. Tous les utilisateurs de Contoso se connectent déjà à l’aide d’informations d’identification Azure AD et disposent des licences qui leur sont attribuées, notamment Azure AD Premium P1 ou P2 et Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Les organisations doivent effectuer les trois étapes suivantes pour exiger l’utilisation d’une application cliente approuvée sur des appareils mobiles.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices.

Étape 1 : Stratégie pour les clients à authentification moderne basés sur Android et iOS, nécessitant l’utilisation d’une application cliente approuvée lors de l’accès à Exchange OnlineStep 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access.
  3. Sélectionnez Nouvelle stratégie.Select New policy.
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations, sélectionnez Utilisateurs et groupesUnder Assignments, select Users and groups
    1. Sous Inclure, sélectionnez Tous les utilisateurs ou les Utilisateurs et groupes particuliers auxquels vous souhaitez appliquer cette stratégie.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Sélectionnez Terminé.Select Done.
  6. Sous Applications cloud ou actions > Inclure, sélectionnez Office 365.Under Cloud apps or actions > Include, select Office 365.
  7. Sous Conditions, sélectionnez Plateformes d’appareils.Under Conditions, select Device platforms.
    1. Définissez Configurer sur Oui.Set Configure to Yes.
    2. Incluez Android et iOS.Include Android and iOS.
  8. Sous Conditions, sélectionnez Applications clientes (préversion) .Under Conditions, select Client apps (preview).
    1. Définissez Configurer sur Oui.Set Configure to Yes.
    2. Sélectionnez Applications mobiles et clients de bureau et Clients de l’authentification moderne.Select Mobile apps and desktop clients and Modern authentication clients.
  9. Sous Contrôles d’accès > Octroyer, sélectionnez Accorder l’accès, Demander une application cliente approuvée et sélectionnez Sélectionner.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.Confirm your settings and set Enable policy to On.
  11. Sélectionnez Créer pour créer et activer votre stratégie.Select Create to create and enable your policy.

Étape 2 : Configurer une stratégie d’accès conditionnel Azure AD pour Exchange Online avec ActiveSync (EAS)Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

  1. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access.
  2. Sélectionnez Nouvelle stratégie.Select New policy.
  3. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Sous Affectations, sélectionnez Utilisateurs et groupesUnder Assignments, select Users and groups
    1. Sous Inclure, sélectionnez Tous les utilisateurs ou les Utilisateurs et groupes particuliers auxquels vous souhaitez appliquer cette stratégie.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Sélectionnez Terminé.Select Done.
  5. Sous Applications cloud ou actions > Inclure, sélectionnez Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Sous Conditions :Under Conditions:
    1. Applications clientes (préversion)  :Client apps (preview):
      1. Définissez Configurer sur Oui.Set Configure to Yes.
      2. Sélectionnez Applications mobiles et clients de bureau et Clients Exchange ActiveSync.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. Sous Contrôles d’accès > Octroyer, sélectionnez Accorder l’accès, Demander une application cliente approuvée et sélectionnez Sélectionner.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.Confirm your settings and set Enable policy to On.
  9. Sélectionnez Créer pour créer et activer votre stratégie.Select Create to create and enable your policy.

Étape 3 : Configurer la stratégie Intune App Protection pour les applications clientes iOS et AndroidStep 3: Configure Intune app protection policy for iOS and Android client applications.

Consultez l’article Guide pratique pour créer et assigner des stratégies de protection d’application afin de connaître les étapes de création des stratégies de protection d’application pour Android et iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Scénario 2 : Exchange Online et SharePoint Online demandent une application cliente approuvéeScenario 2: Exchange Online and SharePoint Online require an approved client app

Dans ce scénario, Contoso a décidé que les utilisateurs peuvent uniquement accéder aux e-mails et aux données SharePoint sur les appareils mobiles, à condition qu’ils utilisent une application cliente approuvée comme Outlook Mobile.In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile. Tous les utilisateurs de Contoso se connectent déjà à l’aide d’informations d’identification Azure AD et disposent des licences qui leur sont attribuées, notamment Azure AD Premium P1 ou P2 et Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Les organisations doivent effectuer les trois étapes suivantes pour exiger l’utilisation d’une application cliente approuvée sur des appareils mobiles et des clients ActiveSync.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

Étape 1 : Stratégie pour les clients à authentification moderne basés sur Android et iOS, nécessitant l’utilisation d’une application cliente approuvée lors de l’accès à Exchange Online et SharePoint OnlineStep 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online and SharePoint Online.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access.
  3. Sélectionnez Nouvelle stratégie.Select New policy.
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations, sélectionnez Utilisateurs et groupesUnder Assignments, select Users and groups
    1. Sous Inclure, sélectionnez Tous les utilisateurs ou les Utilisateurs et groupes particuliers auxquels vous souhaitez appliquer cette stratégie.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Sélectionnez Terminé.Select Done.
  6. Sous Applications cloud ou actions > Inclure, sélectionnez Office 365 Exchange Online et Office 365 SharePoint Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. Sous Conditions, sélectionnez Plateformes d’appareils.Under Conditions, select Device platforms.
    1. Définissez Configurer sur Oui.Set Configure to Yes.
    2. Incluez Android et iOS.Include Android and iOS.
  8. Sous Conditions, sélectionnez Applications clientes (préversion) .Under Conditions, select Client apps (preview).
    1. Définissez Configurer sur Oui.Set Configure to Yes.
    2. Sélectionnez Applications mobiles et clients de bureau et Clients de l’authentification moderne.Select Mobile apps and desktop clients and Modern authentication clients.
  9. Sous Contrôles d’accès > Octroyer, sélectionnez Accorder l’accès, Demander une application cliente approuvée et sélectionnez Sélectionner.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.Confirm your settings and set Enable policy to On.
  11. Sélectionnez Créer pour créer et activer votre stratégie.Select Create to create and enable your policy.

Étape 2 : Stratégie pour les clients Exchange ActiveSync nécessitant l’utilisation d’une application cliente approuvéeStep 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access.
  2. Sélectionnez Nouvelle stratégie.Select New policy.
  3. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Sous Affectations, sélectionnez Utilisateurs et groupesUnder Assignments, select Users and groups
    1. Sous Inclure, sélectionnez Tous les utilisateurs ou les Utilisateurs et groupes particuliers auxquels vous souhaitez appliquer cette stratégie.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Sélectionnez Terminé.Select Done.
  5. Sous Applications cloud ou actions > Inclure, sélectionnez Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Sous Conditions :Under Conditions:
    1. Applications clientes (préversion)  :Client apps (preview):
      1. Définissez Configurer sur Oui.Set Configure to Yes.
      2. Sélectionnez Applications mobiles et clients de bureau et Clients Exchange ActiveSync.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. Sous Contrôles d’accès > Octroyer, sélectionnez Accorder l’accès, Demander une application cliente approuvée et sélectionnez Sélectionner.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.Confirm your settings and set Enable policy to On.
  9. Sélectionnez Créer pour créer et activer votre stratégie.Select Create to create and enable your policy.

Étape 3 : Configurer la stratégie Intune App Protection pour les applications clientes iOS et AndroidStep 3: Configure Intune app protection policy for iOS and Android client applications.

Consultez l’article Guide pratique pour créer et assigner des stratégies de protection d’application afin de connaître les étapes de création des stratégies de protection d’application pour Android et iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Étapes suivantesNext steps

Qu’est-ce que l’accès conditionnel ?What is Conditional Access?

Composants de l’accès conditionnelConditional access components

Stratégies d’accès conditionnel courantesCommon Conditional Access policies