Créer et déployer une stratégie de protection d’application Protection des informations Windows (WIP) avec IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

S’applique à : IntuneApplies to: Intune
Cette rubrique s’applique à Intune à la fois dans le portail Azure et dans le portail classique.This topic applies to Intune in both the Azure portal and the classic portal.

À compter d’Intune version 1704, vous pouvez utiliser des stratégies de protection d’application avec Windows 10 dans la gestion des applications mobiles (MAM) sans le scénario d’inscription.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in the mobile application management (MAM) without enrollment scenario.

Avant de commencerBefore you begin

Examinons quelques concepts lors de l’ajout d’une stratégie WIP.Let’s talk about a few concepts when adding a WIP policy.

Liste des applications autorisées et exemptesList of Allowed and Exempt apps

  • Applications autorisées Il s’agit des applications qui doivent se conformer à cette stratégie.Allowed apps: These are the apps that need to adhere to this policy.

  • Applications exemptes Ces applications sont exemptes de cette stratégie et peuvent accéder aux données d’entreprise sans restrictions.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Types d’applicationsTypes of apps

  • Applications recommandées : liste préremplie d’applications (principalement Microsoft Office) que les administrateurs peuvent facilement importer dans la stratégie.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow admins easily import into policy.

  • Applications du Store : l’administrateur peut ajouter n’importe quelle application du Windows Store à la stratégie.Store apps: Admin can add any app from the Windows store to policy.

  • Applications de bureau Windows : l’administrateur peut ajouter n’importe quelle application de bureau Windows traditionnelle à la stratégie (par exemple exe, dll, etc.)Windows desktop apps: Admin can add any traditional Windows desktop apps to the policy (e.g. exe, dll, etc.)

Conditions préalablesPre-requisites

Vous devez configurer le fournisseur MAM avant de pouvoir créer une stratégie de protection d’application WIP.You need to configure the MAM provider before you can create a WIP app protection policy.

Les éléments suivants sont également requis :Additionally, you need to have the following:

Important

WIP ne prend pas en charge les identités multiples, une seule identité gérée peut exister à la fois.WIP does not support multi-identity, only one managed identity can exist at a time.

Pour ajouter une stratégie WIPTo add a WIP policy

Une fois que vous avez configuré Intune dans votre organisation, vous pouvez créer une stratégie propre à WIP via le portail Azure.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Allez dans le Tableau de bord Gestion des applications mobiles Intune, choisissez Tous les paramètres, puis Stratégie d’application.Go to the Intune mobile application management dashboard, choose All settings, and then choose App policy.

  2. Dans le panneau Stratégie d’application, choisissez Ajouter une stratégie, puis entrez les valeurs suivantes :In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Nom : tapez un nom (obligatoire) pour votre nouvelle stratégie.Name: Type a name (required) for your new policy.

    b.b. Description : Tapez une description facultative.Description: Type an optional description.

    c.c. Plateforme : choisissez Windows 10 comme plateforme prise en charge pour votre stratégie de protection d’application.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. État d’inscription : choisissez Sans inscription en tant qu’état d’inscription de votre stratégie.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Choisissez Créer.Choose Create. La stratégie est créée et apparaît dans le tableau du panneau Stratégie d’application.The policy is created and appears in the table on the App Policy blade.

  1. À partir du panneau Stratégie d’application, cliquez sur le nom de votre stratégie, puis cliquez sur Applications autorisées à partir du panneau Ajouter une stratégie.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Le panneau Applications autorisées s’ouvre et affiche toutes les applications qui sont déjà incluses dans la liste pour cette stratégie de protection d’application.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. À partir du panneau Applications autorisées, choisissez Ajouter des applications.From the Allowed apps blade, choose Add apps. Le panneau Ajouter des applications s’ouvre pour afficher toutes les applications qui font partie de cette liste.The Add apps blade opens, showing you all apps that are part of this list.

  3. Sélectionnez chaque application devant accéder à vos données d’entreprise, puis choisissez OK.Select each app you want to access your corporate data, and then choose OK. Le panneau Applications autorisées est mis à jour et vous montre les applications sélectionnées.The Allowed apps blade gets updated showing you all selected apps.

Ajout d’une application du Windows Store à votre liste d’applications autoriséesAdd a Store app to your Allowed apps list

Pour ajouter une application du Windows StoreTo add a Store app

  1. À partir du panneau Stratégie d’application, cliquez sur le nom de votre stratégie, puis choisissez Applications autorisées dans le menu qui s’affiche avec toutes les applications qui sont déjà incluses dans la liste pour cette stratégie de protection d’application.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. À partir du panneau Applications autorisées, choisissez Ajouter des applications.From the Allowed apps blade, choose Add apps.

  3. Dans le panneau Ajouter des applications, choisissez Applications du Windows Store dans la liste déroulante.On the Add apps blade, choose Store apps from the dropdown list. Le panneau change pour afficher des zones vous permettant d’ajouter un éditeur et un nom d’application.The blade changes to show boxes for you to add a publisher and app name.

  4. Tapez le nom de l’application et le nom de son éditeur, puis choisissez OK.Type the name of the app and the name of its publisher, and then choose OK.

    Conseil

    Voici un exemple d’application, où l’éditeur est CN = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = Washington, C = US et le nom du produit est Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Une fois que vous avez entré les informations dans les champs, choisissez OK pour ajouter l’application à votre liste Applications autorisées.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Note

Pour ajouter plusieurs applications du Windows Store en même temps, vous pouvez cliquer sur le menu (...) à la fin de la ligne de l’application, puis continuer à ajouter des applications.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Quand vous avez terminé, choisissez OK.Once you’re done, choose OK.

Ajout d’une application de bureau à votre liste d’applications autoriséesAdd a Desktop app to your Allowed apps list

Pour ajouter une application de bureauTo add a Desktop app

  1. À partir du panneau Stratégie d’application, cliquez sur le nom de votre stratégie, puis cliquez sur Applications autorisées.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Le panneau Applications autorisées s’ouvre et affiche toutes les applications qui sont déjà incluses dans la liste pour cette stratégie de protection d’application.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. À partir du panneau Applications autorisées, choisissez Ajouter des applications.From the Allowed apps blade, choose Add apps.

  3. Dans le panneau Ajouter des applications, choisissez Applications de bureau dans la liste déroulante.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Une fois que vous avez entré les informations dans les champs, choisissez OK pour ajouter l’application à votre liste Applications autorisées.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Note

Pour ajouter plusieurs applications de bureau en même temps, vous pouvez cliquer sur le menu (...) à la fin de la ligne de l’application, puis continuer à ajouter des applications.To add multiple Desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Quand vous avez terminé, choisissez OK.Once you’re done, choose OK.

Windows Information Protection (WIP) LearningWindows Information Protection (WIP) Learning

Après avoir ajouté les applications que vous souhaitez protéger avec WIP, vous devez appliquer un mode de protection à l’aide de WIP Learning.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Avant de commencerBefore you begin

Windows Information Protection (WIP) Learning est un rapport qui permet aux administrateurs de surveiller leurs applications WIP inconnues.Windows Information Protection (WIP) Learning is a report that allows admins to monitor their WIP unknown apps. Les applications inconnues sont celles non déployées par le département informatique de votre organisation.The unknown apps are the ones not deployed by your organization’s IT department. L’administrateur peut exporter ces applications à partir du rapport et les ajouter aux stratégies WIP pour éviter une perturbation de la productivité avant l’application de WIP en mode « Masquer les substitutions ».The admin can export these apps from the report and add them to their WIP policies to avoid productivity disruption before they enforce WIP in “Hide Override” mode.

Nous vous recommandons de commencer avec Silencieux ou Autoriser les substitutions lors de la vérification avec un petit groupe que vous avez les bonnes applications dans votre liste d’applications autorisées.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Une fois cela fait, vous pouvez passer sur votre stratégie d’application finale, Masquer les substitutions.After you're done, you can change to your final enforcement policy, Hide Overrides.

Que sont les modes de protection ?What the protection modes are?

  • Masquer les substitutions :Hide Overrides:

    • WIP recherche des pratiques de partage de données inappropriées et empêche l’utilisateur de terminer l’action.WIP looks for inappropriate data sharing practices and stops the user from completing the action.
    • Cela peut inclure le partage d’informations entre des applications non protégées pas votre entreprise, ou le partage de données d’entreprise entre des personnes et appareils en dehors de votre organisation.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.
  • Autoriser les substitutions :Allow Overrides:

    • WIP recherche les partages de données inappropriés, et avertit les utilisateurs s’ils font quelque chose de potentiellement dangereux.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe.
    • Toutefois, ce mode permet à l’utilisateur de remplacer la stratégie et de partager les données. L’action est alors consignée dans votre journal d’audit.However, this mode lets the user override the policy and share the data, logging the action to your audit log.
  • Silencieux :Silent:
    • WIP s’exécute en mode silencieux, en consignant les partages de données inappropriés, sans bloquer l’utilisateur avec les invites qui s’afficheraient pour le mode Autoriser la substitution.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode.
    • Les actions non autorisées d’applications, comme les tentatives d’accès inappropriées à une ressource réseau ou à des données protégées par WIP sont toujours arrêtées.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
  • Désactivé (Non recommandé) :Off (not recommended):
    • WIP est désactivé et ne permet pas de protéger ou vérifier vos données.WIP is turned off and doesn't help to protect or audit your data.
    • Après avoir désactivé WIP, une tentative est effectuée pour déchiffrer les fichiers marqués par WIP sur les disques connectés localement.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. N’oubliez pas que vos informations de déchiffrement et de stratégie précédentes ne sont pas réappliquées automatiquement si vous réactivez la protection WIP.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Pour ajouter un mode de protectionTo add a protection mode

  1. À partir du panneau Stratégie d’application, cliquez sur le nom de votre stratégie, puis cliquez sur Paramètres requis à partir du panneau Ajouter une stratégie.From the App policy blade, choose the name of your policy, then click Required settings from the Add Policy blade.

    Capture d’écran du mode d’apprentissage

  2. Choisissez Enregistrer.Choose Save.

Pour utiliser WIP LearningTo use WIP Learning

  1. Accédez au tableau de bord Azure.Go to the Azure Dashboard.

  2. Choisissez Autres services dans le menu de gauche, puis tapez Intune dans le filtre de zone de texte.Choose More services from the left menu, then type Intune in the text box filter.

  3. Choisissez Intune, le tableau de bord Intune s’affiche, sélectionnez alors Applications mobiles.Choose Intune, the Intune dashboard opens, choose Mobile Apps.

  4. Choisissez WIP Learning sous la section Surveiller.Choose WIP Learning under Monitor section. Les applications inconnues consignées par WIP Learning s’affichent.You see the unknown apps logged by the WIP Learning.

Important

Une fois que les applications s’affichent dans le rapport de journalisation WIP Learning, vous pouvez ajouter à vos stratégies de protection d’application.Once you have the apps showing up in the WIP Learning logging report, you can them into your app protection policies.

Pour déployer votre stratégie de protection d’application WIPTo deploy your WIP app protection policy

Important

Cela s’applique à WIP avec la gestion des applications mobiles (MAM) sans le scénario d’inscription.This applies for WIP with mobile application management (MAM) without enrollment scenario.

Une fois que vous avez créé votre stratégie de protection d’application WIP, vous devez la déployer dans votre organisation à l’aide de MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Dans le panneau Stratégie d’application, choisissez votre nouvelle stratégie de protection d’application, puis Groupes d’utilisateurs et Ajouter un groupe d’utilisateurs.On the App policy blade, choose your newly-created app protection policy, choose User groups, then choose Add user group.

    Une liste de groupes d’utilisateurs, composée de tous les groupes de sécurité figurant dans Azure Active Directory, s’ouvre dans le panneau Ajouter un groupe d’utilisateurs.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Choisissez le groupe auquel vous souhaitez appliquer votre stratégie, puis cliquez sur Sélectionner pour déployer la stratégie.Choose the group you want your policy to apply to, then click Select to deploy the policy.