Procédure : Exiger des appareils gérés pour accéder aux applications cloud avec l’accès conditionnelHow To: Require managed devices for cloud app access with Conditional Access

Dans un monde où la mobilité et le cloud occupent le premier plan, Azure Active Directory (Azure AD) vous permet de vous authentifier à l’aide de l’authentification unique sur les applications et les services, où que vous soyez.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to apps, and services from anywhere. Les utilisateurs autorisés peuvent accéder à vos applications cloud à partir d’un large éventail d’appareils, y compris les appareils mobiles et personnels.Authorized users can access your cloud apps from a broad range of devices including mobile and also personal devices. Toutefois, de nombreux environnements comprennent des applications qui ne doivent être accessibles que par des appareils répondant à vos standards de conformité et de sécurité.However, many environments have at least a few apps that should only be accessed by devices that meet your standards for security and compliance. Ces appareils sont également appelés « appareils gérés ».These devices are also known as managed devices.

Cet article explique comment vous pouvez configurer des stratégies d’accès conditionnel qui exigent des appareils gérés pour accéder à certaines applications cloud de votre environnement.This article explains how you can configure Conditional Access policies that require managed devices to access certain cloud apps in your environment.

PrérequisPrerequisites

Le fait d’exiger des appareils gérés pour accéder aux applications cloud associe l’accès conditionnel Azure AD et la gestion des appareils Azure AD.Requiring managed devices for cloud app access ties Azure AD Conditional Access and Azure AD device management together. Si l’un de ces aspects vous est inconnu, consultez d’abord les rubriques suivantes :If you are not familiar with one of these areas yet, you should read the following topics, first:

Notes

Nous vous recommandons d’utiliser une stratégie d’accès conditionnel en fonction de l’appareil d’Azure AD pour obtenir la meilleure mise en œuvre après l’authentification initiale de l’appareil.We recommend using Azure AD device based Conditional Access policy to get the best enforcement after initial device authentication. Cela comprend la fermeture de sessions si l’appareil devient non conforme et sort du flux de code d’appareil.This includes closing sessions if the device falls out of compliance and device code flow.

Description du scénarioScenario description

Il n’est pas facile de trouver le bon équilibre entre sécurité et productivité.Mastering the balance between security and productivity is a challenge. L’augmentation du nombre d’appareils pris en charge pour accéder aux ressources cloud permet d’améliorer la productivité de vos utilisateurs.The proliferation of supported devices to access your cloud resources helps to improve the productivity of your users. Toutefois, il est probable que vous ne souhaitiez pas que certaines ressources de votre environnement soient accessibles par des appareils dont le niveau de protection est inconnu.On the flip side, you probably don't want certain resources in your environment to be accessed by devices with an unknown protection level. Pour ce type de ressources, vous devez exiger que les utilisateurs y accèdent uniquement à l’aide d’un appareil géré.For the affected resources, you should require that users can only access them using a managed device.

L’accès conditionnel Azure AD permet de répondre à cette exigence avec une seule stratégie qui accorde l’accès :With Azure AD Conditional Access, you can address this requirement with a single policy that grants access:

  • à certaines applications cloud ;To selected cloud apps
  • pour certains utilisateurs et groupes ;For selected users and groups
  • Exiger un appareil géréRequiring a managed device

Appareils gérésManaged devices

En termes simples, les appareils gérés sont ceux que l’organisation peut contrôler d’une manière ou d’une autre.In simple terms, managed devices are devices that are under some sort of organizational control. Dans Azure AD, les prérequis pour un appareil géré implique son inscription auprès d’Azure AD.In Azure AD, the prerequisite for a managed device is that it has been registered with Azure AD. L’inscription d’un appareil crée une identité pour lui sous la forme d’un objet appareil.Registering a device creates an identity for the device in form of a device object. Cet objet est utilisé par Azure pour effectuer le suivi des informations d’état relatives à un appareil.This object is used by Azure to track status information about a device. En tant qu’administrateur Azure AD, vous pouvez déjà utiliser cet objet pour permuter (activer/désactiver) l’état d’un appareil.As an Azure AD administrator, you can already use this object to toggle (enable/disable) the state of a device.

Capture d’écran du volet Appareil dans Azure AD. Les éléments Activer et Désactiver sont mis en évidence.

Pour inscrire un appareil auprès d’Azure AD, vous avez trois possibilités :To get a device registered with Azure AD, you have three options:

  • Appareils inscrits sur Azure AD : pour inscrire un appareil personnel auprès d’Azure ADAzure AD registered devices - to get a personal device registered with Azure AD
  • Appareils joints à Azure AD : pour inscrire auprès d’Azure AD un appareil Windows 10 professionnel qui n’est pas joint à une version locale d’AD.Azure AD joined devices - to get an organizational Windows 10 device that is not joined to an on-premises AD registered with Azure AD.
  • Appareils joints à une version Azure AD Hybride : pour inscrire auprès d’Azure AD un appareil Windows 10 ou de bas niveau pris en charge joint à un AD local.Hybrid Azure AD joined devices - to get a Windows 10 or supported down-level device that is joined to an on-premises AD registered with Azure AD.

Ces trois options sont décrites dans l’article Qu’est-ce qu’une identité d’appareil ?These three options are discussed in the article What is a device identity?

Pour avoir le statut d’appareil géré, un appareil inscrit doit être soit un appareil hybride joint à Azure AD , soit un appareil marqué comme conforme.To become a managed device, a registered device must be either a Hybrid Azure AD joined device or a device that has been marked as compliant.

Capture d’écran du volet Octroi d’Azure AD. Accorder l’accès est sélectionné, tout comme les cases à cocher pour que les appareils soient conformes et aient une jointure hybride Azure AD.

Exiger un appareil joint à une version hybride d’Azure ADRequire Hybrid Azure AD joined devices

Dans votre stratégie d’accès conditionnel, vous pouvez sélectionner Exiger un appareil joint à une version Azure AD Hybride pour indiquer que les applications cloud sélectionnées sont uniquement accessibles à l’aide d’un appareil géré.In your Conditional Access policy, you can select Require Hybrid Azure AD joined device to state that the selected cloud apps can only be accessed using a managed device.

Capture d’écran du volet Octroi d’Azure AD. Accorder l’accès est sélectionné. Une case à cocher exigeant que les appareils aient une jointure hybride Azure AD est également sélectionnée.

Ce paramètre s’applique uniquement à Windows 10 ou aux appareils de bas niveau tels que Windows 7 ou Windows 8 qui sont joints à un AD local.This setting only applies to Windows 10 or down-level devices such as Windows 7 or Windows 8 that are joined to an on-premises AD. Vous pouvez uniquement inscrire ces appareils auprès d’Azure AD en utilisant une jointure à une version hybride d’Azure AD, ce qui correspond à un processus automatisé pour inscrire un appareil Windows 10.You can only register these devices with Azure AD using a Hybrid Azure AD join, which is an automated process to get a Windows 10 device registered.

Table répertoriant le nom, l’état activé, le système d’exploitation, la version, le type de jointure, le propriétaire, le système MDM et l’état de conformité d’un appareil. L’état de conformité est Non.

Qu’est-ce qui transforme un appareil joint à une version hybride d’Azure AD en appareil géré ?What makes a Hybrid Azure AD joined device a managed device? Pour les appareils joints à une version locale d’Active Directory, le contrôle est supposé être appliqué à l’aide de solutions de gestion comme Configuration Manager ou une stratégie de groupe.For devices that are joined to an on-premises AD, it is assumed that the control over these devices is enforced using management solutions such as Configuration Manager or group policy (GP) to manage them. Étant donné qu’il n’existe aucune méthode permettant à Azure AD de déterminer si une de ces méthodes a été appliquée à un appareil, exiger un appareil joint à une version hybride d’Azure AD constitue un mécanisme relativement faible pour exiger un appareil géré.Because there is no method for Azure AD to determine whether any of these methods has been applied to a device, requiring a hybrid Azure AD joined device is a relatively weak mechanism to require a managed device. Il vous appartient en tant qu’administrateur de déterminer si les méthodes appliquées à vos appareils joints au domaine local sont suffisamment fortes pour constituer un appareil géré si ces appareils sont également joints à une version hybride d’Azure AD.It is up to you as an administrator to judge whether the methods that are applied to your on-premises domain-joined devices are strong enough to constitute a managed device if such a device is also a Hybrid Azure AD joined device.

Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant

L’option Exiger que l’appareil soit marqué comme conforme est la façon la plus forte de demander un appareil géré.The option to require a device to be marked as compliant is the strongest form to request a managed device.

Capture d’écran du volet Octroi d’Azure AD. Accorder l’accès est sélectionné. Une case à cocher exigeant qu’un appareil soit marqué comme conforme est également sélectionnée.

Cette option exige qu’un appareil soit inscrit auprès d’Azure AD et qu’il soit marqué comme conforme par :This option requires a device to be registered with Azure AD, and also to be marked as compliant by:

  • IntuneIntune
  • Système MDM tiers qui gère les appareils Windows 10 via l’intégration d’Azure AD.A third-party mobile device management (MDM) system that manages Windows 10 devices via Azure AD integration. Les systèmes MDM tiers pour les systèmes d’exploitation autres que Windows 10 ne sont pas pris en charge.Third-party MDM systems for device OS types other than Windows 10 are not supported.

Table répertoriant le nom, l’état activé, le système d’exploitation, la version, le type de jointure, le propriétaire, le système MDM et l’état de conformité d’un appareil. L’état de conformité est mis en évidence.

Pour un appareil marqué comme conforme, vous pouvez partir du principe que :For a device that is marked as compliant, you can assume that:

  • Les appareils mobiles que votre personnel utilise pour accéder aux données d’entreprise sont gérés.The mobile devices your workforce uses to access company data are managed
  • Les appareils mobiles que votre personnel utilise sont gérés.Mobile apps your workforce uses are managed
  • Les informations de votre entreprise sont protégées grâce au contrôle de la manière dont votre personnel y accède et les partage.Your company information is protected by helping to control the way your workforce accesses and shares it
  • L’appareil et ses applications sont conformes aux exigences de sécurité de l’entreprise.The device and its apps are compliant with company security requirements

Scénario : Exiger l’inscription des appareils iOS et AndroidScenario: Require device enrollment for iOS and Android devices

Dans ce scénario, Contoso a décidé que tout accès mobile aux ressources Microsoft 365 doit passer par un appareil inscrit.In this scenario, Contoso has decided that all mobile access to Microsoft 365 resources must use an enrolled device. Tous les utilisateurs de Contoso se connectent déjà à l’aide d’informations d’identification Azure AD et disposent des licences qui leur sont attribuées, notamment Azure AD Premium P1 ou P2 et Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Les organisations doivent suivre les étapes ci-dessous pour exiger l’utilisation d’un appareil mobile inscrit.Organizations must complete the following steps in order to require the use of an enrolled mobile device.

  1. Connectez-vous au portail Microsoft Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur de l’accès conditionnel.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Accédez à Azure Active Directory > Sécurité > Accès conditionnel.Browse to Azure Active Directory > Security > Conditional Access.
  3. Sélectionnez Nouvelle stratégie.Select New policy.
  4. Donnez un nom à votre stratégie.Give your policy a name. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Sous Affectations , sélectionnez Utilisateurs et groupesUnder Assignments , select Users and groups
    1. Sous Inclure , sélectionnez Tous les utilisateurs ou les Utilisateurs et groupes particuliers auxquels vous souhaitez appliquer cette stratégie.Under Include , select All users or the specific Users and groups you wish to apply this policy to.
    2. Sélectionnez Terminé.Select Done.
  6. Sous Applications cloud ou actions > Inclure , sélectionnez Office 365.Under Cloud apps or actions > Include , select Office 365.
  7. Sous Conditions , sélectionnez Plateformes d’appareils.Under Conditions , select Device platforms.
    1. Définissez Configurer sur Oui.Set Configure to Yes.
    2. Incluez Android et iOS.Include Android and iOS.
  8. Sous Contrôles d’accès > Octroyer , sélectionnez les options suivantes :Under Access controls > Grant , select the following options:
    • Exiger que l’appareil soit marqué comme conformeRequire device to be marked as compliant
  9. Confirmez vos paramètres et réglez Activer la stratégie sur Activé.Confirm your settings and set Enable policy to On.
  10. Sélectionnez Créer pour créer et activer votre stratégie.Select Create to create and enable your policy.

Comportement connuKnown behavior

Lorsque le flux OAuth de code d’appareil est utilisé, ni le contrôle Exiger une autorisation d’appareil géré ni la condition d’état d’appareil ne sont pris en charge.When using the device-code OAuth flow, the require managed device grant control or a device state condition are not supported. En effet, l’appareil qui effectue l’authentification ne peut pas fournir son état à celui qui fournit un code, et l’état de l’appareil dans le jeton est verrouillé sur celui qui effectue l’authentification.This is because the device performing authentication cannot provide its device state to the device providing a code and the device state in the token is locked to the device performing authentication. Utilisez plutôt le contrôle Exiger l’autorisation d’authentification multifacteur.Use the require multi-factor authentication grant control instead.

Sur des systèmes Windows 7, iOS, Android, macOS, et dans certains navigateurs web tiers, Azure AD identifie l’appareil à l’aide d’un certificat client, qui est provisionné lorsque l’appareil est inscrit auprès d’Azure AD.On Windows 7, iOS, Android, macOS, and some third-party web browsers Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat.When a user first signs in through the browser the user is prompted to select the certificate. L’utilisateur final doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.The end user must select this certificate before they can continue to use the browser.

Étapes suivantesNext steps

Évaluez l’impact des stratégies d’accès conditionnel avant de les activer en mode rapport seul.Evaluate the impact of Conditional Access policies before enabling widely with report-only mode.