Paramètres de stratégie de protection des applications mobiles iOSiOS mobile app protection policy settings

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Les paramètres de stratégie décrits dans cette rubrique peuvent être configurés pour une stratégie de protection des applications dans le panneau Tous les paramètres dans le portail Azure.The policy settings described in this topic can be configured for an app protection policy on the All Settings blade in the Azure portal.

Il existe deux catégories de paramètres de stratégie : réadressage des données et accès.There are two categories of policy settings: data relocation settings and access settings. Dans cette rubrique, le terme applications gérées par une stratégie fait référence aux applications qui sont configurées avec des stratégies de protection des applications.In this topic, the term policy-managed apps refers to apps that are configured with app protection policies.

Paramètres de réadressage des donnéesData relocation settings

ParamètreSetting Procédure d'utilisationHow to use Valeur par défautDefault value
Interdire les sauvegardes iTunes et iCloudPrevent iTunes and iCloud backups Choisissez Oui pour empêcher cette application de sauvegarder les données professionnelles ou scolaires sur iTunes et iCloud.Choose Yes to prevent this app from backing up work or school data to iTunes and iCloud. Choisissez Non pour permettre à cette application de sauvegarder des données professionnelles ou scolaires dans iTunes et iCloud.Choose No to allow this app to back up of work or school data to iTunes and iCloud. OuiYes
Autoriser l'application à transférer des données vers d'autres applicationsAllow app to transfer data to other apps Spécifiez les applications qui peuvent recevoir des données à partir de cette application :Specify what apps can receive data from this app:
  • Applications gérées par la stratégie : autoriser le transfert uniquement vers d’autres applications gérées par la stratégie.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Toutes les applications : autoriser le transfert vers n’importe quelle application.All apps: Allow transfer to any app.
  • Aucune : interdire le transfert de données vers n’importe quelle application, y compris d’autres applications gérées par la stratégie.None: Do not allow data transfer to any app, including other policy-managed apps.
En outre, si vous affectez à cette option la valeur Applications gérées par la stratégie ou Aucune, la fonctionnalité iOS 9 qui autorise la Recherche Spotlight à rechercher des données dans les applications est bloquée.Additionally, if you set this option to Policy managed apps or None, the iOS 9 feature that allows Spotlight Search to search data within apps will be blocked.

Intune peut toutefois autoriser le transfert de données vers des applications et des services exemptés.There are some exempts apps and services to which Intune may allow data transfer. Pour obtenir la liste complète de ces applications et services, consultez Exemptions au transfert de données.See Data transfer exemptions for a full list of apps and services.
Toutes les applicationsAll apps
Autoriser l'application à recevoir des données d'autres applicationsAllow app to receive data from other apps Spécifiez quelles applications peuvent transférer des données vers cette application :Specify what apps can transfer data to this app:
  • Applications gérées par la stratégie : autoriser le transfert uniquement à partir d’autres applications gérées par la stratégie.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Toutes les applications : autoriser le transfert de données à partir de n’importe quelle application.All apps: Allow data transfer from any app.
  • Aucune : interdire le transfert de données depuis n’importe quelle application, y compris d’autres applications gérées par la stratégie.None: Do not allow data transfer from any app, including other policy-managed apps.
Intune peut toutefois autoriser le transfert de données à partir d’applications et de services exemptés.There are some exempts apps and services from which Intune may allow data transfer. Pour obtenir la liste complète de ces applications et services, consultez Exemptions au transfert de données.See Data transfer exemptions for a full list of apps and services.
Toutes les applicationsAll apps
Empêcher « Enregistrer sous »Prevent "Save As" Sélectionnez Oui pour interdire l’utilisation de l’option Enregistrer sous dans cette application.Choose Yes to disable the use of the Save As option in this app. Choisissez Non pour autoriser l’utilisation de l’option Enregistrer sous.Choose No if you want to allow the use of Save As. NonNo
Restreindre les opérations couper, copier et coller avec d'autres applicationsRestrict cut, copy and paste with other apps Spécifiez quand autoriser les actions couper, copier et coller avec cette application.Specify when cut, copy, and paste actions can be used with this app. Choisissez parmi :Choose from:
  • Bloqué : ne pas autoriser les actions couper, copier et coller entre cette application et une autre application.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • Applications gérées par la stratégie : autoriser seulement les actions couper, copier et coller entre cette application et les autres applications gérées par la stratégie.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • Applications gérées par la stratégie avec Coller dans : autoriser les actions couper et copier entre cette application et les autres applications gérées par la stratégie.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. Autoriser le collage dans cette application de données à partir de n'importe quelle application.Allow data from any app to be pasted into this app.
  • N’importe quelle application : aucune restriction pour les actions couper, copier et coller vers et depuis cette application.Any app: No restrictions for cut, copy, and paste to and from this app.
N’importe quelle applicationAny app
Limiter le contenu web à afficher dans Managed BrowserRestrict web content to display in the Managed Browser Choisissez Oui pour appliquer des liens web dans l’application à ouvrir dans l’application Managed Browser.Choose Yes to enforce web links in the app to be opened in the Managed Browser app.

Pour les appareils non inscrits dans Intune, les liens web contenus dans les applications gérées par la stratégie peuvent s’ouvrir uniquement dans l’application Managed Browser.For devices not enrolled in Intune, the web links in policy-managed apps can open only in the Managed Browser app.

Si vous utilisez Intune pour gérer vos appareils, consultez Gérer l’accès à Internet à l’aide de stratégies Managed Browser avec Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.
NonNo
Chiffrer les données de l'applicationEncrypt app data Pour les applications gérés par la stratégie, les données sont chiffrées au repos à l'aide du schéma de chiffrement au niveau de l'appareil fourni par iOS.For policy-managed apps, data is encrypted at rest using the device-level encryption scheme provided by iOS. Quand un code confidentiel est nécessaire, les données sont chiffrées selon les paramètres de la stratégie de protection des applications.When a PIN is required, the data is encrypted according to the settings in the app protection policy.

Accédez à la documentation officielle Apple ici pour savoir quels modules de chiffrement iOS sont certifiés FIPS 140-2 ou en attente de la certification FIPS 140-2.Go to the official Apple documentation here to see which iOS encryption modules are FIPS 140-2 certified or pending FIPS 140-2 certification.

Spécifiez quand les données professionnelles ou scolaires de cette application sont chiffrées.Specify when work or school data in this app is encrypted. Choisissez parmi :Choose from:
  • Quand l’appareil est verrouillé : toutes les données d’application associées à cette stratégie sont chiffrées pendant que l’appareil est verrouillé.When device is locked: All app data that is associated with this policy is encrypted while the device is locked.
  • Quand l'appareil est verrouillé et que des fichiers sont ouverts : toutes les données d’application associées à cette stratégie sont chiffrées pendant que l’appareil est verrouillé, à l’exception des données figurant dans les fichiers qui sont ouverts dans l’application.When device is locked and there are open files: All app data associated with this policy is encrypted while the device is locked, except for data in the files that are currently open in the app.
  • Après le redémarrage de l’appareil : toutes les données d’application associées à cette stratégie sont chiffrées quand l’appareil est redémarré, jusqu’à ce que l’appareil soit déverrouillé pour la première fois.After device restart:All app data associated with this policy is encrypted when the device is restarted, until the device is unlocked for the first time.
  • Utiliser les paramètres de l’appareil : les données d’application sont chiffrées conformément aux paramètres par défaut de l’appareil.Use device settings: App data is encrypted based on the default settings on the device.
Quand vous activez ce paramètre, l’utilisateur peut être invité à définir et à utiliser un code PIN pour accéder à son appareil.When you enable this setting, the user may be required to set up and use a PIN to access their device. Si l’appareil n’a pas de code PIN alors que le chiffrement est obligatoire, les applications ne s’ouvrent pas et le message « Votre entreprise vous demande d’activer d’abord un code PIN sur l’appareil pour accéder à cette application. » invite l’utilisateur à définir un code PIN.If there is no device PIN and encryption is required, the apps will not open and the user will be prompted to set a PIN with the message “Your organization has required you to first enable a device PIN to access this app.”
Quand l’appareil est verrouilléWhen device is locked
Désactiver la synchronisation des contactsDisable contact sync Choisissez Oui pour empêcher l’application d'enregistrer les données vers l’application Contacts native sur l'appareil.Choose Yes to prevent the app from saving data to the native Contacts app on the device. Si vous choisissez Non, l’application peut enregistrer des données vers l’application Contacts native sur l'appareil.If you choose No, the app can save data to the native Contacts app on the device.

Lorsque vous effectuez une réinitialisation sélective pour supprimer des données professionnelles ou scolaires à partir de l’application, les contacts directement synchronisés à partir de l’application vers l'application Contacts native sont supprimés.When you perform a selective wipe to remove work or school data from the app, contacts synced directly from the app to the native Contacts app are removed. Les contacts synchronisés à partir du carnet d’adresses natif vers une autre source externe ne peuvent pas être effacés.Any contacts synced from the native address book to another external source cannot be wiped. Ceci s’applique uniquement à l’application Microsoft Outlook.Currently this applies only to the Microsoft Outlook app.
NonNo
Désactiver l’impressionDisable printing Choisissez Oui pour empêcher l’application d'imprimer des données professionnelles ou scolaires.Choose Yes to prevent the app from printing work or school data. NonNo
Sélectionnez dans quels services de stockage les données d'entreprise peuvent être enregistréesSelect which storage services corporate data can be saved to Les utilisateurs peuvent enregistrer dans les services sélectionnés (OneDrive Entreprise, SharePoint et le stockage local).Users are able to save to the selected services (OneDrive for Busines, SharePoint and Local Storage). Tous les autres services seront bloqués.All other services will be blocked. 0 Sélectionné0 Selected

Note

Aucun des paramètres de réadressage des données ne contrôle la fonctionnalité Open In d'Apple sur les appareils iOS.None of the data relocation settings controls the Apple managed open-in feature on iOS devices. Pour gérer la fonctionnalité « Open In », consultez Gérer les transferts de données entre applications iOS avec Microsoft Intune.To use manage Apple open-in, see Manage data transfer between iOS apps with Microsoft Intune.

Exemptions au transfert de donnéesData transfer exemptions

La stratégie de protection des applications Intune peut autoriser le transfert de données à destination et à partir d’applications et de services de plateforme exemptés dans certains scénarios.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from in certain scenarios. Cette liste, qui est susceptible d’être modifiée, reflète les services et les applications considérés comme utiles pour sécuriser la productivité.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Nom(s) de l’application ou du serviceApp/service name(s) DescriptionDescription
tel ; telprompttel; telprompt Application de téléphone nativeNative phone app
Skypeskype SkypeSkype
paramètres de l’applicationapp-settings Paramètres de l’appareilDevice settings
itms ; itmss ; itms-apps ; itms-appss ; itms-servicesitms; itmss; itms-apps; itms-appss; itms-services App StoreApp Store
calshowcalshow Calendrier natifNative Calendar

Paramètres d’accèsAccess settings

ParamètreSetting Procédure d'utilisationHow to use Valeur par défautDefault value
Exiger un code confidentiel d’accèsRequire PIN for access Choisissez Oui afin d'exiger un code confidentiel pour utiliser cette application.Choose Yes to require a PIN to use this app. L’utilisateur est invité à définir ce code lors de la première exécution de l’application dans un contexte professionnel ou scolaire.The user is prompted to set up this PIN the first time they run the app in a work or school context. Valeur par défaut = Oui.Default value = Yes.

Configurez les paramètres suivants pour le niveau de sécurité du code confidentiel :Configure the following settings for PIN strength:
  • Nombre de tentatives avant réinitialisation du code confidentiel: spécifiez le nombre de fois qu'un utilisateur doit saisir correctement son code confidentiel avant de devoir le réinitialiser.Number of attempts before PIN reset: Specify the number of tries the user has to successfully enter their PIN before they must reset it. Valeur par défaut = 5.Default value = 5.
  • Autoriser un code confidentiel simple : choisissez Oui pour autoriser les utilisateurs à utiliser des séquences de code confidentiel simples telles que 1234 ou 1111.Allow simple PIN: Choose Yes to allow users to use simple PIN sequences like 1234 or 1111. Choisissez Non pour empêcher l’utilisation de séquences simples.Choose No to prevent them from using simple sequences. Valeur par défaut = Oui.Default value = Yes.
  • Longueur du code confidentiel : spécifiez le nombre minimal de chiffres d’une séquence de code confidentiel.PIN length: Specify the minimum number of digits in a PIN sequence. Valeur par défaut = 4.Default value = 4.
  • Autoriser une empreinte digitale à la place du code confidentiel (iOS 8.0 et ultérieur) : choisissez Oui pour autoriser l'utilisateur à se servir de Touch ID à la place d’un code confidentiel pour accéder à l’application.Allow fingerprint instead of PIN (iOS 8.0+): Choose Yes to allow the user to use Touch ID instead of a PIN for app access. Valeur par défaut = OuiDefault value = Yes
Sur les appareils iOS, vous pouvez laisser l’utilisateur prouver son identité à l’aide de Touch ID au lieu d’un code confidentiel.On iOS devices, you can let the user prove their identity by using Touch ID instead of a PIN. Quand l’utilisateur tente d'utiliser l’application à l'aide de son compte professionnel ou scolaire, il est invité à s’identifier par empreinte digitale au lieu d’entrer un code confidentiel.When the user tries use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN. Quand ce paramètre est activé, l’image d’aperçu du sélecteur d’application sera floue lors de l’utilisation d’un compte professionnel ou scolaire.When this setting is enabled, the App-switcher preview image will be blurred while using a work or school account.
Exiger un code confidentiel : OuiRequire PIN: Yes

Tentatives de réinitialisation du code confidentiel : 5PIN reset attempts: 5

Autoriser un code confidentiel : OuiAllow simple PIN: Yes

Longueur du code confidentiel : 4PIN length: 4

Autoriser l'empreinte digitale : OuiAllow fingerprint: Yes
Exiger des informations d'identification d'entreprise pour l'accèsRequire corporate credentials for access Choisissez Oui pour obliger l’utilisateur à se connecter avec son compte professionnel ou scolaire au lieu d’entrer un code confidentiel pour accéder à l’application.Choose Yes to require the user to sign in with their work or school account instead of entering a PIN for app access. Si vous affectez la valeur Oui à ce paramètre, il se substitue à l’obligation de recourir à un code confidentiel ou à un ID tactile.If you set this to Yes, this overrides the requirements for PIN or Touch ID. NonNo
Bloquer l’exécution des applications gérées sur les appareils jailbreakés ou rootésBlock managed apps from running on jailbroken or rooted devices Choisissez Oui pour empêcher l'exécution de cette application sur les appareils jailbreakés ou rootés.Choose Yes to prevent this app from running on jailbroken or rooted devices. L’utilisateur peut encore utiliser cette application pour des tâches personnelles, mais il doit utiliser un autre appareil pour accéder aux données professionnelles ou scolaires dans cette application.The user will continue to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app. OuiYes
Revérifier les exigences d'accès après (minutes)Recheck the access requirements after (minutes) Configurez les paramètres suivants :Configure the following settings:
  • Délai : il s’agit du nombre de minutes qui s’écoulent avant que les conditions d’accès (définies plus haut dans la stratégie) ne soient revérifiées.Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Par exemple, un administrateur active un code confidentiel dans la stratégie, un utilisateur ouvre une application GAM et doit entrer un code confidentiel.For example, an admin turns on PIN in the policy, a user opens a MAM app, and must enter a pin. Quand ce paramètre est employé, l’utilisateur n’a pas à entrer un code confidentiel pour aucune application GAM pendant encore 30 minutes (valeur par défaut).When using this setting, the user would not have to enter a PIN on any MAM app for another 30 minutes (default value)..

    Le délai d’attente pour les conditions d’accès est mesuré en termes de durée d’inactivité entre toutes les applications gérées par la stratégie.Timeout for access requirements is measured in terms of the time of inactivity between any policy-managed application.

  • Période de grâce hors connexion : il s’agit du nombre de minutes pendant lesquelles les applications GAM peuvent être exécutées hors connexion ; spécifiez la durée (en minutes) au bout de laquelle les conditions d’accès à l’application sont revérifiées.Offline grace period: This is the number of minutes that MAM apps can run offline, specify the time (in minutes) before the access requirements for the app are rechecked. Valeur par défaut = 720 minutes (12 heures).Default value = 720 minutes (12 hours). Après l’expiration de cette période, l’application nécessite une authentification utilisateur auprès d’AAD pour poursuivre son exécution.After this period is expired, the app will require user authentication to AAD, so the app can continue to run.
Délai d'expiration : 30Timeout: 30

Hors connexion : 720Offline: 720
Intervalle en mode hors connexion avant la réinitialisation des données d’application (en jours)Offline interval before app data is wiped (days) Après ce nombre de jours (défini par l’administrateur) d’exécution en mode hors connexion, l’application elle-même procède à une réinitialisation sélective.After this many days (defined by the admin) of running offline, the app itself will do a selective wipe. Cette réinitialisation sélective est identique à celle qui peut être lancée par l’administrateur dans le flux de travail de réinitialisation GAM.This selective wipe is the same wipe as the one that can be initiated by the admin in the MAM wipe work-flow.

90 jours90 days
Désactiver le code PIN de l’application quand le code PIN de l’appareil est géréDisable app PIN when device PIN is managed Choisissez Oui pour désactiver le code PIN de l’application lorsqu’un verrouillage d’appareil est détecté sur un appareil inscrit.Choose Yes to disable the app PIN when a device lock is detected on an enrolled device. NonNo
Exiger une version minimale du système d’exploitation iOSRequire minimum iOS operating system Choisissez Oui pour exiger une version minimale du système d’exploitation iOS pour utiliser cette application.Choose Yes to require a minimum iOS operating system to use this app. L’accès de l’utilisateur est bloqué si la version d’iOS sur l’appareil ne répond pas à la condition.The user will be blocked from access if the iOS version on the device does not meet the requirement. NonNo
Exiger une version minimale du système d’exploitation iOS (avertissement uniquement)Require minimum iOS operating system (Warning only) Choisissez Oui pour exiger une version minimale du système d’exploitation iOS pour utiliser cette application.Choose Yes to require a minimum iOS operating system to use this app. Une notification s’affiche à l’intention de l’utilisateur si la version d’iOS sur l’appareil ne répond pas à la condition.The user will see a notification if the iOS version on the device does not meet the requirement. Cette notification peut être ignorée.This notification can be dismissed. NonNo
Exiger une version minimale de l’applicationRequire minimum app version Choisissez Oui pour exiger une version minimale de l’application pour utiliser cette application.Choose Yes to require a minimum app version to use the app. L’accès de l’utilisateur est bloqué si la version de l’application sur l’appareil ne répond pas à la condition.The user will be blocked from access if the app version on the device does not meet the requirement.

Quand vous sélectionnez les applications à cibler, notez que les applications ont souvent des schémas de contrôle de version différents entre elles.When selecting apps to target, please note that apps often have distinct versioning schemes between them.

NonNo
Exiger une version minimale de l’application (avertissement uniquement)Require minimum app version (Warning only) Choisissez Oui pour recommander une version minimale de l’application pour utiliser cette application.Choose Yes to recommend a minimum app version to use this app. Une notification s’affiche à l’intention de l’utilisateur si la version de l’application sur l’appareil ne répond pas à la condition.The user will see a notification if the app version on the device does not meet the requirement. Cette notification peut être ignorée.This notification can be dismissed.

Quand vous sélectionnez les applications à cibler, notez que les applications ont souvent des schémas de contrôle de version différents entre elles.When selecting apps to target, please note that apps often have distinct versioning schemes between them.

NonNo
Exiger une version minimale du Kit SDK de stratégie de protection d’application IntuneRequire minimum Intune app protection policy SDK version Choisissez Oui pour exiger une version minimale du Kit SDK de stratégie de protection d’application Intune sur l’application à utiliser.Choose Yes to require a minimum Intune app protection policy SDK version on the app to use. L’accès de l’utilisateur est bloqué si la version du Kit SDK de stratégie de protection d’application Intune de l’application ne répond pas à la condition.The user will be blocked from access if the app’s Intune app protection policy SDK version does not meet the requirement.

Pour en savoir plus sur le Kit SDK de stratégie de protection d’application Intune, consultez Présentation du Kit SDK d’application IntuneTo learn more about the Intune app protection policy SDK, see Intune App SDK overview

NonNo

Compléments d’application OutlookAdd-ins for Outlook app

Outlook propose depuis peu des compléments pour Outlook iOS qui vous permettent d’intégrer les applications les plus courantes avec le client de messagerie.Outlook recently brought add-ins to Outlook for iOS which let you integrate popular apps with the email client. Les compléments pour Outlook sont disponibles sur les versions web, Windows, Mac et iOS.Add-ins for Outlook are available on the web, Windows, Mac, and Outlook for iOS. Étant donné que les compléments sont gérés par Microsoft Exchange, vous pourrez partager des données et des messages entre Outlook et les applications complémentaires non gérées, sauf si les compléments sont désactivés pour l’utilisateur par Exchange.Since add-ins are managed via Microsoft Exchange, users will be able to share data and messages across Outlook and unmanaged add-in applications unless add-ins are turned off for the user by their Exchange.

Si vous décidez d’empêcher vos utilisateurs d’accéder à et d’installer des compléments Outlook (cela affecte tous les clients Outlook), assurez-vous que les modifications suivantes sont apportées aux rôles dans le centre d’administration Exchange :If you want to stop your end users from accessing and installing Outlook add-ins (this affects all Outlook clients), make sure you have the following changes to roles in the Exchange admin center:

  • Pour empêcher les utilisateurs d’installer des compléments Office Store, retirez-leur le rôle Mon Marketplace.To prevent users from installing Office Store add-ins, remove the My Marketplace role from them.
  • Pour empêcher les utilisateurs de charger des compléments, retirez-leur le rôle Mes applications personnalisées.To prevent users from side loading add-ins, remove the My Custom Apps role from them.
  • Pour empêcher les utilisateurs d’installer l’ensemble des compléments, retirez-leur les deux rôles, Mes applications personnalisées et Mon Marketplace.To prevent users from installing all add-ins, remove both, My Custom Apps and My Marketplace roles from them.

Ces instructions s’appliquent à Office 365, Exchange 2016, Exchange 2013 pour les versions web, Windows, Mac et mobiles d’Outlook.These instructions apply to Office 365, Exchange 2016, Exchange 2013 across Outlook on the web, Windows, Mac and mobile.