Accès conditionnel : ConditionsConditional Access: Conditions

Dans une stratégie d’accès conditionnel, un administrateur peut s’aider des signaux des conditions telles que le risque, la plateforme d’appareil ou l’emplacement pour prendre de meilleures décisions en matière de stratégie.Within a Conditional Access policy, an administrator can make use of signals from conditions like risk, device platform, or location to enhance their policy decisions.

Define a Conditional Access policy and specify conditions Define a Conditional Access policy and specify conditions

Il est possible de combiner plusieurs conditions pour créer des stratégies d’accès conditionnel spécifiques parfaitement adaptées aux besoins.Multiple conditions can be combined to create fine-grained and specific Conditional Access policies.

Par exemple, pour prendre ses décisions quant à l’accès à une application sensible, un administrateur peut tenir compte de l’emplacement et des informations sur le risque à la connexion fournies par Identity Protection en plus d’autres contrôles comme l’authentification multifacteur.For example, when accessing a sensitive application an administrator may factor sign-in risk information from Identity Protection and location into their access decision in addition to other controls like multi-factor authentication.

Risque à la connexionSign-in risk

Pour les clients ayant accès à Identity Protection, le risque à la connexion peut être évalué dans le cadre d’une stratégie d’accès conditionnel.For customers with access to Identity Protection, sign-in risk can be evaluated as part of a Conditional Access policy. Le risque à la connexion reflète la probabilité qu’une requête d’authentification donnée soit rejetée par le propriétaire de l’identité.Sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner. Pour plus d’informations sur le risque à la connexion, consultez les articles Que sont les risques ? et Configurer et activer des stratégies de risque.More information about sign-in risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Risque de l’utilisateurUser risk

Pour les clients ayant accès à Identity Protection, le risque utilisateur peut être évalué dans le cadre d’une stratégie d’accès conditionnel.For customers with access to Identity Protection, user risk can be evaluated as part of a Conditional Access policy. Un risque utilisateur reflète la probabilité qu’une identité ou un compte donné soit compromis.User risk represents the probability that a given a given identity or account is compromised. Pour plus d’informations sur le risque utilisateur, consultez les articles Qu’est-ce que le risque et Comment : Configurer et activer des stratégies de risque.More information about user risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Plateformes d’appareilsDevice platforms

La plateforme d’appareil se caractérise par le système d’exploitation qui s’exécute sur un appareil.The device platform is characterized by the operating system that runs on a device. Azure AD identifie la plateforme à l’aide des informations fournies par l’appareil, telles que des chaînes d’agent utilisateur.Azure AD identifies the platform by using information provided by the device, such as user agent strings. Étant donné que les chaînes d’agent utilisateur peuvent être modifiées, ces informations ne sont pas vérifiées.Since user agent strings can be modified, this information is unverified. La plateforme d’appareil doit être utilisée conjointement avec des stratégies de conformité d’appareil Microsoft Intune ou dans le cadre d’une instruction de bloc.Device platform should be used in concert with Microsoft Intune device compliance policies or as part of a block statement. Le comportement par défaut est l’application à toutes les plateformes d’appareil.The default is to apply to all device platforms.

L’accès conditionnel Azure AD prend en charge les plateformes d’appareil suivantes :Azure AD Conditional Access supports the following device platforms:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone
  • WindowsWindows
  • macOSmacOS

Si vous bloquez l’authentification héritée à l’aide de la condition Autres clients, vous pouvez également définir la condition de plateforme de l’appareil.If you block legacy authentication using the Other clients condition, you can also set the device platform condition.

Important

Microsoft vous recommande de disposer d’une stratégie d’accès conditionnel pour les plateformes d’appareil non prises en charge.Microsoft recommends that you have a Conditional Access policy for unsupported device platforms. Par exemple, si vous souhaitez bloquer l’accès à vos ressources d’entreprise à partir de Linux ou d’un autre client non pris en charge, vous devez configurer une stratégie avec une condition de plateformes d’appareil incluant n’importe quel appareil et excluant les plateformes d’appareil prises en charge et définir Accorder le contrôle sur Bloquer l’accès.As an example, if you want to block access to your corporate resources from Linux or any other unsupported clients, you should configure a policy with a Device platforms condition that includes any device and excludes supported device platforms and Grant control set to Block access.

EmplacementsLocations

Lors de la configuration de l’emplacement comme condition, les organisations peuvent choisir d’inclure ou d’exclure des emplacements.When configuring location as a condition, organizations can choose to include or exclude locations. Ces emplacements nommés peuvent inclure les informations du réseau IPv4 public, le pays ou la région, ou même les zones inconnues qui ne correspondent pas à des pays ou régions spécifiques.These named locations may include the public IPv4 network information, country or region, or even unknown areas that don't map to specific countries or regions. Seules les plages d’adresses IP peuvent être marquées comme emplacement approuvé.Only IP ranges can be marked as a trusted location.

Si vous incluez n’importe quel emplacement, cette option inclut toutes les adresses IP sur Internet, et pas seulement les emplacements nommés qui ont été configurés.When including any location, this option includes any IP address on the internet not just configured named locations. Quand l’option N’importe quel emplacement est sélectionnée, les administrateurs peuvent choisir d’exclure tous les emplacements approuvés ou les emplacements sélectionnés.When selecting any location, administrators can choose to exclude all trusted or selected locations.

Par exemple, certaines organisations ne souhaitent pas exiger l’authentification multifacteur quand leurs utilisateurs sont connectés au réseau à un emplacement approuvé, comme leur siège social.For example, some organizations may choose to not require multi-factor authentication when their users are connected to the network in a trusted location such as their physical headquarters. Dans ce cas, les administrateurs créent une stratégie qui inclut n’importe quel emplacement, mais qui exclut les emplacements sélectionnés pour leurs réseaux de siège social.Administrators could create a policy that includes any location but excludes the selected locations for their headquarters networks.

Pour plus d’informations sur les emplacements, consultez l’article Qu’est-ce que la condition d’emplacement de l’accès conditionnel Azure Active Directory ?.More information about locations can be found in the article, What is the location condition in Azure Active Directory Conditional Access.

Applications clientesClient apps

Par défaut, toutes les stratégies d’accès conditionnel nouvellement créées s’appliquent à tous les types d’applications clientes, même si la condition des applications clientes n’est pas configurée.By default, all newly created Conditional Access policies will apply to all client app types even if the client apps condition is not configured.

Notes

Le comportement de la condition des applications clientes a été mis à jour en août 2020.The behavior of the client apps condition was updated in August 2020. Si vous disposez de stratégies d’accès conditionnel, elles restent inchangées.If you have existing Conditional Access policies, they will remain unchanged. Toutefois, si vous cliquez sur une stratégie, le bouton bascule de configuration a été supprimé et les applications clientes auxquelles la stratégie s’applique sont sélectionnées.However, if you click on an existing policy, the configure toggle has been removed and the client apps the policy applies to are selected.

Important

Les connexions à partir des clients d’authentification hérités ne prennent pas en charge MFA ni ne transmettent d’informations relatives à l’état de l’appareil à Azure AD. Elles seront donc bloquées par les contrôles d’octroi d’accès conditionnel, comme MFA ou la conformité des appareils.Sign-ins from legacy authentication clients don’t support MFA and don’t pass device state information to Azure AD, so they will be blocked by Conditional Access grant controls, like requiring MFA or compliant devices. Si vous avez des comptes qui doivent utiliser l’authentification héritée, vous devez soit exclure ces comptes de la stratégie, soit configurer la stratégie pour qu’elle s’applique uniquement aux clients d’authentification modernes.If you have accounts which must use legacy authentication, you must either exclude those accounts from the policy, or configure the policy to only apply to modern authentication clients.

Lorsqu’il est réglé sur Oui, le bouton bascule Configuration s’applique aux éléments cochés, tandis que lorsqu’il est réglé sur Non, il s’applique à toutes les applications clientes, y compris les clients d’authentification modernes et hérités.The Configure toggle when set to Yes applies to checked items, when set to No it applies to all client apps, including modern and legacy authentication clients. Ce bouton bascule n’apparaît pas dans les stratégies créées avant août 2020.This toggle does not appear in policies created before August 2020.

  • Clients d’authentification moderneModern authentication clients
    • BrowserBrowser
      • Cette option inclut les applications web qui utilisent des protocoles comme SAML, WS-Federation, OpenID Connect, ou les services inscrits en tant que clients confidentiels OAuth.These include web-based applications that use protocols like SAML, WS-Federation, OpenID Connect, or services registered as an OAuth confidential client.
    • Applications mobiles et clients de bureauMobile apps and desktop clients
      • Cette option inclut les applications comme les applications de bureau et de téléphone Office.This option includes applications like the Office desktop and phone applications.
  • Clients d’authentification héritésLegacy authentication clients
    • Clients Exchange ActiveSyncExchange ActiveSync clients
      • Cela inclut toute utilisation du protocole EAS (Exchange ActiveSync).This includes all use of the Exchange ActiveSync (EAS) protocol.
      • Si une stratégie bloque l’utilisation d’Exchange ActiveSync, l’utilisateur concerné reçoit un e-mail de mise en quarantaine.When policy blocks the use of Exchange ActiveSync the affected user will receive a single quarantine email. Cet e-mail contient des informations sur la raison du blocage et fournit éventuellement des instructions de correction.This email with provide information on why they are blocked and include remediation instructions if able.
      • Les administrateurs peuvent appliquer la stratégie uniquement aux plateformes prises en charge (par exemple, iOS, Android et Windows) via l’API MS Graph d’accès conditionnel.Administrators can apply policy only to supported platforms (such as iOS, Android, and Windows) through the Conditional Access MS Graph API.
    • Autres clientsOther clients
      • Cette option inclut les clients qui utilisent des protocoles d’authentification de base/hérités qui ne prennent pas en charge l’authentification moderne.This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
        • SMTP authentifié : utilisé par les clients POP et IMAP pour envoyer des e-mails.Authenticated SMTP - Used by POP and IMAP client's to send email messages.
        • Découverte automatique : utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
        • Exchange Online PowerShell : utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance.Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
        • Exchange Web Services (EWS) : interface de programmation utilisée par Outlook, Outlook pour Mac et des applications tierces.Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
        • IMAP4 : utilisé par les clients de messagerie IMAP.IMAP4 - Used by IMAP email clients.
        • MAPI sur HTTP (MAPI/HTTP) : utilisé par Outlook 2010 et versions ultérieures.MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
        • Carnet d’adresses hors connexion (OAB) : copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook.Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
        • Outlook Anywhere (RPC sur HTTP) : utilisé par Outlook 2016 et antérieur.Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
        • Service Outlook : utilisé par l’application Courrier et calendrier pour Windows 10.Outlook Service - Used by the Mail and Calendar app for Windows 10.
        • POP3 : utilisé par les clients de messagerie POP.POP3 - Used by POP email clients.
        • Reporting Web Services : utilisé pour récupérer des données de rapports dans Exchange Online.Reporting Web Services - Used to retrieve report data in Exchange Online.

Ces conditions sont généralement utilisées pour exiger l’utilisation d’un appareil managé, bloquer l’authentification héritée ou encore bloquer les applications web et autoriser les applications mobiles ou de bureau.These conditions are commonly used when requiring a managed device, blocking legacy authentication, and blocking web applications but allowing mobile or desktop apps.

Navigateurs pris en chargeSupported browsers

Ce paramètre fonctionne avec tous les navigateurs.This setting works with all browsers. Toutefois, pour satisfaire à une stratégie d’appareil, telle qu’une exigence d’appareil conforme, les systèmes d’exploitation et navigateurs suivants sont pris en charge :However, to satisfy a device policy, like a compliant device requirement, the following operating systems and browsers are supported:

Système d''exploitationOS NavigateursBrowsers
Windows 10Windows 10 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows 8 / 8.1Windows 8 / 8.1 Internet Explorer, ChromeInternet Explorer, Chrome
Windows 7Windows 7 Internet Explorer, ChromeInternet Explorer, Chrome
iOSiOS Microsoft Edge, Intune Managed Browser, SafariMicrosoft Edge, Intune Managed Browser, Safari
AndroidAndroid Microsoft Edge, Intune Managed Browser, ChromeMicrosoft Edge, Intune Managed Browser, Chrome
Windows PhoneWindows Phone Microsoft Edge, Internet ExplorerMicrosoft Edge, Internet Explorer
Windows Server 2019Windows Server 2019 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows Server 2016Windows Server 2016 Internet ExplorerInternet Explorer
Windows Server 2012 R2Windows Server 2012 R2 Internet ExplorerInternet Explorer
Windows Server 2008 R2Windows Server 2008 R2 Internet ExplorerInternet Explorer
macOSmacOS Chrome, SafariChrome, Safari

Notes

Edge 85 ou version ultérieure exige que l’utilisateur soit connecté au navigateur pour transmettre correctement l’identité de l’appareil.Edge 85+ requires the user to be signed in to the browser to properly pass device identity. Dans le cas contraire, il se comporte comme Chrome sans l’extension Comptes.Otherwise, it behaves like Chrome without the accounts extension. Cette connexion peut ne pas se produire automatiquement dans un scénario de jonction Azure AD Hybride.This sign-in might not occur automatically in a Hybrid Azure AD Join scenario.

Pourquoi une invite de saisie de certificat s’affiche-t-elle dans mon navigateur ?Why do I see a certificate prompt in the browser

Sur des systèmes Windows 7, iOS, Android et macOS, Azure AD identifie l’appareil à l’aide d’un certificat client, qui est approvisionné lorsque l’appareil est inscrit auprès d’Azure AD.On Windows 7, iOS, Android, and macOS Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat.When a user first signs in through the browser the user is prompted to select the certificate. Il doit sélectionner ce certificat avant d’utiliser le navigateur.The user must select this certificate before using the browser.

Prise en charge ChromeChrome support

Dans Windows 10 Creators Update (version 1703) ou version ultérieure, la prise en charge de Chrome nécessite l’installation de l’extension Comptes Windows 10.For Chrome support in Windows 10 Creators Update (version 1703) or later, install the Windows 10 Accounts extension. Cette extension est nécessaire lorsqu’une stratégie d’accès conditionnel exige des informations concernant l’appareil.This extension is required when a Conditional Access policy requires device-specific details.

Pour déployer automatiquement cette extension sur les navigateurs Chrome, créez la clé de Registre suivante :To automatically deploy this extension to Chrome browsers, create the following registry key:

  • Chemin d’accès HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelistPath HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nom 1Name 1
  • REG_SZ de type (String)Type REG_SZ (String)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crxData ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Pour la prise en charge de Chrome dans Windows 8.1 et 7, créez la clé de Registre suivante :For Chrome support in Windows 8.1 and 7, create the following registry key:

  • Chemin d’accès HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrlsPath HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nom 1Name 1
  • REG_SZ de type (String)Type REG_SZ (String)
  • Data {« pattern » : « https://device.login.microsoftonline.com », « Filter »:{« ISSUER »:{« CN » : « MS-Organization-Access »}}}Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Ces navigateurs prennent en charge l’authentification des appareils, ce qui permet de les identifier et de les valider par rapport à une stratégie.These browsers support device authentication, allowing the device to be identified and validated against a policy. La vérification de l’appareil échoue si le navigateur est en cours d’exécution en mode privé.The device check fails if the browser is running in private mode.

Applications mobiles et clients de bureau pris en chargeSupported mobile applications and desktop clients

Les organisations peuvent sélectionner Applications mobiles et clients de bureau comme application cliente.Organizations can select Mobile apps and desktop clients as client app.

Ce paramètre a un impact sur les tentatives d’accès provenant des applications mobiles et des clients de bureau suivants :This setting has an impact on access attempts made from the following mobile apps and desktop clients:

Applications clientesClient apps Service cibleTarget Service PlateformePlatform
Application Dynamics CRMDynamics CRM app Dynamics CRMDynamics CRM Windows 10, Windows 8.1, iOS et AndroidWindows 10, Windows 8.1, iOS, and Android
Application de messagerie/calendrier/contacts, Outlook 2016, Outlook 2013 (avec l’authentification moderne)Mail/Calendar/People app, Outlook 2016, Outlook 2013 (with modern authentication) Exchange OnlineExchange Online Windows 10Windows 10
Stratégie MFA et d’emplacement pour les applications.MFA and location policy for apps. Les stratégies basées sur les appareils ne sont pas prises en charge.Device-based policies are not supported. Tout service d’application Mes applicationsAny My Apps app service Android et iOSAndroid and iOS
Services Microsoft Teams, soit tous les services qui prennent en charge Microsoft Teams et toutes ses applications clientes : Bureau Windows, iOS, Android, WP et client webMicrosoft Teams Services - this controls all services that support Microsoft Teams and all its Client Apps - Windows Desktop, iOS, Android, WP, and web client Microsoft TeamsMicrosoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android et macOSWindows 10, Windows 8.1, Windows 7, iOS, Android, and macOS
Applications Office 2016, Office 2013 (avec authentification moderne), client de synchronisation OneDriveOffice 2016 apps, Office 2013 (with modern authentication), OneDrive sync client SharePointSharePoint Windows 8.1, Windows 7Windows 8.1, Windows 7
Applications Office 2016, Universal Office, Office 2013 (avec authentification moderne), client de synchronisation OneDriveOffice 2016 apps, Universal Office apps, Office 2013 (with modern authentication), OneDrive sync client SharePoint OnlineSharePoint Online Windows 10Windows 10
Office 2016 (Word, Excel, PowerPoint, OneNote uniquement).Office 2016 (Word, Excel, PowerPoint, OneNote only). SharePointSharePoint macOSmacOS
Office 2019Office 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Applications mobiles OfficeOffice mobile apps SharePointSharePoint Android, iOSAndroid, iOS
Application Yammer OfficeOffice Yammer app YammerYammer Windows 10, iOS, AndroidWindows 10, iOS, Android
Outlook 2019Outlook 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Outlook 2016 (Office pour Mac OS)Outlook 2016 (Office for macOS) Exchange OnlineExchange Online macOSmacOS
Outlook 2016, Outlook 2013 (avec authentification moderne), Skype Entreprise (avec authentification moderne)Outlook 2016, Outlook 2013 (with modern authentication), Skype for Business (with modern authentication) Exchange OnlineExchange Online Windows 8.1, Windows 7Windows 8.1, Windows 7
Application Outlook MobileOutlook mobile app Exchange OnlineExchange Online Android, iOSAndroid, iOS
Application Power BIPower BI app Service Power BIPower BI service Windows 10, Windows 8.1, Windows 7, Android et iOSWindows 10, Windows 8.1, Windows 7, Android, and iOS
Skype EntrepriseSkype for Business Exchange OnlineExchange Online Android, iOSAndroid, iOS
Application Visual Studio Team ServicesVisual Studio Team Services app Visual Studio Team ServicesVisual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS, AndroidWindows 10, Windows 8.1, Windows 7, iOS, and Android

Clients Exchange ActiveSyncExchange ActiveSync clients

  • Les organisations peuvent uniquement sélectionner des clients Exchange ActiveSync lors de l’affectation d’une stratégie à des utilisateurs ou groupes.Organizations can only select Exchange ActiveSync clients when assigning policy to users or groups. La sélection des options Tous les utilisateurs, Tous les utilisateurs invités et externes ou Rôles d’annuaire a pour effet de bloquer l’ensemble des utilisateurs.Selecting All users, All guest and external users, or Directory roles will cause all users to become blocked.
  • Quand une stratégie affectée à des clients Exchange ActiveSync est créée, Exchange Online doit être la seule application cloud affectée à la stratégie.When creating a policy assigned to Exchange ActiveSync clients, Exchange Online should be the only cloud application assigned to the policy.
  • Les organisations peuvent limiter l’étendue de cette stratégie à des plateformes spécifiques à l’aide de la condition Plateformes d’appareils.Organizations can narrow the scope of this policy to specific platforms using the Device platforms condition.

Si le contrôle d’accès affecté à la stratégie a l’option Demander une application cliente approuvée activée, l’utilisateur est invité à installer et à utiliser le client mobile Outlook.If the access control assigned to the policy uses Require approved client app, the user is directed to install and use the Outlook mobile client. Si l’authentification multifacteur est exigée pour les utilisateurs, ceux-ci sont bloqués, car l’authentification de base ne prend pas en charge l’authentification multifacteur.In the case that Multi-factor authentication is required, affected users are blocked, because basic authentication does not support multi-factor authentication.

Pour plus d’informations, consultez les articles suivants :For more information, see the following articles:

Autres clientsOther clients

En sélectionnant Autres clients, vous pouvez spécifier une condition affectant les applications qui utilisent l’authentification de base avec des protocoles de messagerie comme IMAP, MAPI, POP et SMTP ainsi que les applications Office plus anciennes qui n’utilisent pas l’authentification moderne.By selecting Other clients, you can specify a condition that affects apps that use basic authentication with mail protocols like IMAP, MAPI, POP, SMTP, and older Office apps that don't use modern authentication.

État de l’appareil (préversion)Device state (preview)

Une organisation peut utiliser la condition État de l’appareil pour exclure de ses stratégies d’accès conditionnel les appareils joints à une version hybride d’Azure AD et/ou les appareils marqués comme conformes à une stratégie de conformité Microsoft Intune.The device state condition can be used to exclude devices that are hybrid Azure AD joined and/or devices marked as compliant with a Microsoft Intune compliance policy from an organization's Conditional Access policies.

Par exemple, Tous les utilisateurs qui accèdent à l’application cloud Microsoft Azure Management, incluant Tous les états d’appareils, mais excluant Appareil joint à une version hybride d’Azure AD et Appareil marqué comme conforme, et pour Contrôles d’accès, Bloquer.For example, All users accessing the Microsoft Azure Management cloud app including All device state excluding Device Hybrid Azure AD joined and Device marked as compliant and for Access controls, Block.

  • Cet exemple crée une stratégie qui autorise l’accès à Microsoft Azure Management uniquement à partir d’appareils joints à une version hybride d’Azure AD et/ou d’appareils marqués comme conformes.This example would create a policy that only allows access to Microsoft Azure Management from devices that are hybrid Azure AD joined and/or devices marked as compliant.

Étapes suivantesNext steps