Protéger l’accès à la messagerie Exchange Online et Exchange Online Dedicated (nouvel environnement) avec IntuneProtect email access to Exchange Online and new Exchange Online Dedicated with Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Vous pouvez configurer l’accès conditionnel pour Exchange Online et Exchange Online Dedicated à l’aide de Microsoft Intune.You can configure conditional access for Exchange Online or Exchange Online Dedicated by using Microsoft Intune. Pour en savoir plus sur le fonctionnement de l’accès conditionnel, lisez l’article Protéger l’accès à la messagerie, à Office 365 et à d’autres services.To learn more about how conditional access works, read the Protect access to email, O365, and other services article.

Note

Si vous disposez d’un environnement Exchange Online Dedicated et que vous ne savez pas s’il s’agit de la nouvelle configuration ou d’une configuration héritée, contactez votre responsable de compte.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Avant de commencerBefore you begin

Pour configurer l’accès conditionnel, vous devez :To configure conditional access, you must:

  • Disposer d’un abonnement Office 365 qui inclut Exchange Online (comme E3) ; les utilisateurs doivent disposer d’une licence pour Exchange Online.Have an Office 365 subscription that includes Exchange Online (such as E3), and users must be licensed for Exchange Online.

  • Avoir un abonnement Enterprise Mobility + Security (EMS) ou un abonnement Azure Active Directory (Azure AD) Premium, et les utilisateurs doivent disposer d’une licence EMS ou Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Pour plus d’informations, consultez la page de tarification d’Enterprise Mobility ou la page de tarification d’Azure Active Directory.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

  • Il est possible de configurer le connecteur de service à service Intune facultatif, qui connecte Intune à Exchange Online et vous aide à gérer les informations sur les appareils avec la console Intune.Consider configuring the optional Intune service-to-service connector, which connects Intune to Exchange Online and helps you manage device information through the Intune console. Il n’est pas nécessaire d’utiliser le connecteur pour utiliser des stratégies de conformité ou d’accès conditionnel, mais il est obligatoire pour exécuter les rapports qui aident à évaluer l’impact de l’accès conditionnel.You don't need to use the connector to use compliance policies or conditional access policies—but it's required to run reports that help evaluate the impact of conditional access.

    Note

    Ne configurez pas le connecteur service à service si vous prévoyez d’utiliser l’accès conditionnel à la fois pour Exchange Online et Exchange sur site.Do not configure the Intune service-to-service connector if you intend to use conditional access for both Exchange Online and Exchange on-premises.

Exigences de conformité des appareilsDevice compliance requirements

Lorsque vous configurez des stratégies d’accès conditionnel et les ciblez sur un utilisateur, l’appareil dont l’utilisateur se sert pour se connecter à sa messagerie doit :When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Être inscrit auprès d’Intune ou être un PC joint à un domaine.A domain-joined PC or enrolled with Intune.

  • Être inscrit dans Azure Active Directory.Registered in Azure Active Directory. Cela se produit automatiquement quand l’appareil est inscrit auprès d’Intune.This happens automatically when the device is enrolled with Intune. En outre, l’ID Exchange ActiveSync du client doit être inscrit auprès d’Azure Active Directory.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Le service d’inscription Azure Active Directory pour appareils est activé automatiquement pour les clients Intune et Office 365.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Les clients qui ont déjà déployé le service d’inscription d’appareils AD FS ne verront pas les appareils inscrits dans l’annuaire Active Directory local.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

  • Être compatible avec n’importe quelle stratégie de conformité Intune déployée sur cet appareil ou joint à un domaine local.Compliant with any Intune compliance policies that are deployed to that device or domain joined to an on-premises domain.

Lorsque l'appareil n’est pas conformeWhen the device is not compliant

Si une stratégie d’accès conditionnel n’est pas remplie, l’appareil est immédiatement placé en quarantaine. L’utilisateur reçoit un e-mail et l’une des notifications de mise en quarantaine suivantes lorsqu’il se connecte :If a conditional access policy isn't met, the device gets immediately quarantined, and the user receives an e-mail and sees one of the following quarantine notifications when they sign in:

  • Si l’appareil n’est pas inscrit auprès d’Intune ni dans Azure Active Directory, l’utilisateur reçoit un message contenant des instructions pour installer l’application Portail d’entreprise, inscrire l’appareil et activer la messagerie.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ce processus associe également l’ID Exchange ActiveSync de l’appareil à l’enregistrement dans Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the record in Azure Active Directory.

  • Si l’appareil est considéré comme non conforme aux règles de stratégie de conformité, l’utilisateur est dirigé vers l’application Portail d’entreprise ou le site web du portail d’entreprise Intune, où il peut trouver des informations sur le problème et des solutions pour y remédier.If the device is evaluated as not compliant with the compliance policy rules, the user is directed to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Fonctionnement de l’accès conditionnel avec Exchange OnlineHow conditional access works with Exchange Online

Le diagramme ci-dessous illustre le flux utilisé par les stratégies d’accès conditionnel à Exchange Online.The following diagram illustrates the flow that is used by conditional access policies for Exchange Online.

Diagramme illustrant les points de décision qui déterminent si l’accès est autorisé ou non à un appareil

Prise en charge des appareils mobilesSupport for mobile devices

Vous pouvez protéger l’accès à la messagerie Exchange Online à partir d’Outlook et d’autres applications qui utilisent l’authentification moderne.You can protect access to Exchange Online email from Outlook and other apps that use modern authentication. Les éléments suivants sont pris en charge :The following are supported:

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieures et Android for WorkAndroid 4.0 and later, Samsung Knox Standard 4.0 and later, and Android for Work
  • iOS 8.0 et versions ultérieuresiOS 8.0 and later

L’authentification moderne permet aux clients Microsoft Office de bénéficier de la connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Microsoft Office clients.

  • L'authentification ADAL permet aux clients Office de procéder à une authentification basée sur un navigateur (également appelée authentification passive).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Pour s'authentifier, un utilisateur est dirigé vers une page web de connexion.To authenticate, a user is directed to a sign-in web page.
  • Cette nouvelle méthode d’authentification améliore la sécurité, avec par exemple l’authentification multifacteur et l’authentification par certificat.This new sign-in method enables better security like multi-factor authentication and certificate-based authentication. Pour plus d’informations, consultez la rubrique Fonctionnement de l’authentification moderne.For more detailed information, see How modern authentication works. Vous pouvez configurer des règles de revendications AD FS pour bloquer les protocoles autres que l’authentification moderne.You can set up ADFS claim rules to block non-modern authentication protocols. Des instructions détaillées sont fournies dans le scénario 3 : bloquer tout accès à O365, à l’exception des applications basées sur un navigateur.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser-based applications.

Vous pouvez protéger l’accès à Outlook Web Access (OWA) sur Exchange Online quand un utilisateur y accède depuis un navigateur sur les appareils iOS et Android.You can protect access to Outlook Web Access (OWA) on Exchange Online when a user accesses it from a browser on iOS and Android devices. L’accès est autorisé uniquement à partir des navigateurs pris en charge sur les appareils conformes :Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS, Android versions 5.0 et ultérieures)Intune Managed Browser (iOS, Android 5.0 and later)

    Important

    Les navigateurs non pris en charge sont bloqués.Unsupported browsers are blocked.

L’application OWA pour iOS et Android peut être modifiée pour ne pas utiliser l’authentification moderne et n’est pas prise en charge. L’accès à partir de l’application OWA doit être bloqué par le biais de règles de revendication AD FS.The OWA app for iOS and Android can be modified not to use modern authentication, and it isn't supported. Access from the OWA app must be blocked through ADFS claim rules.

Vous pouvez protéger l’accès à la messagerie Exchange à partir du client de messagerie Exchange ActiveSync intégré sur les plateformes suivantes :You can protect access to Exchange email from the built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieuresAndroid 4.0 and later, Samsung Knox Standard 4.0 and later

  • iOS 8.0 et versions ultérieuresiOS 8.0 and later

  • Windows Phone 8.1 et versions ultérieuresWindows Phone 8.1 and later

Prise en charge des PCSupport for PCs

Vous pouvez configurer l'accès conditionnel pour les PC qui exécutent des applications de bureau Office pour accéder à Exchange Online et SharePoint Online pour les PC qui répondent aux exigences suivantes :You can set up conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • Le PC doit exécuter Windows 7.0, Windows 8.1 ou Windows 10.The PC must be running Windows 7.0, Windows 8.1, or Windows 10.

    Note

    Pour utiliser l’accès conditionnel avec des PC Windows 10, vous devez mettre à jour ces PC avec la Mise à jour anniversaire Windows 10.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    Le PC doit être joint à un domaine ou conforme aux règles de stratégie de conformité.The PC must either be domain joined or compliant with the compliance policy rules.

    Pour être considéré comme conforme, le PC doit être inscrit dans Intune et être conforme aux stratégies.In order to be considered compliant, the PC must be enrolled in Intune and comply with the policies.

    Pour les PC joints à un domaine, vous devez configurer l'accès conditionnel pour inscrire automatiquement l’appareil auprès d’Azure Active Directory.For domain-joined PCs, you must set up conditional access to automatically register the device with Azure Active Directory.

    Note

    L’accès conditionnel n’est pas pris en charge sur les PC qui exécutent le client Intune.Conditional access isn't supported on PCs that are running the Intune computer client.

  • L’authentification moderne Office 365 doit être activée et toutes les mises à jour Office les plus récentes doivent être installées.Office 365 modern authentication must be enabled and have all the latest Office updates.

    L’authentification moderne permet aux clients Office 2013/Windows de bénéficier de la connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013/Windows clients. Elle améliore la sécurité, avec par exemple l’authentification multifacteur et l’authentification par certificat.It enables better security like multi-factor authentication and certificate-based authentication.

  • Des règles de revendications AD FS sont configurées pour bloquer les protocoles autres que l’authentification moderne.ADFS claim rules are set up to block non-modern authentication protocols. Des instructions détaillées sont fournies dans le scénario 3 : bloquer tout accès à O365, à l’exception des applications basées sur un navigateur.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser based applications.

Configurer l’accès conditionnelConfigure conditional access

Étape 1 : Configurer et déployer une stratégie de conformitéStep 1: Configure and deploy a compliance policy

Assurez-vous de créer et de déployer une stratégie de conformité pour les groupes d’utilisateurs qui recevront également la stratégie d’accès conditionnel.Make sure you create and deploy a compliance policy to the user groups that will also get the conditional access policy.

Important

Si vous n’avez pas déployé de stratégie de conformité, les appareils sont considérés comme conformes et autorisés à accéder à Exchange.If you haven't deployed a compliance policy, the devices are considered compliant and are allowed access to Exchange.

Étape 2 : Évaluer l’impact de la stratégie d’accès conditionnelStep 2: Evaluate the effect of the conditional access policy

Vous pouvez utiliser les Rapports d’inventaire des appareils mobiles pour identifier les appareils qui sont susceptibles de ne pas pouvoir accéder à Exchange quand vous aurez configuré la stratégie d’accès conditionnel.You can use the Mobile Device Inventory Reports to identify the devices that might be blocked from accessing Exchange after you configure the conditional access policy.

Pour ce faire, configurez une connexion entre Intune et Exchange avec le connecteur de service à service Microsoft Intune.To do this, configure a connection between Intune and Exchange by using the Microsoft Intune service-to-service connector.

  1. Accédez à Rapports > Rapports d’inventaire des appareils mobiles.Navigate to Reports > Mobile Device Inventory Reports. Capture d’écran de la page du rapport d’inventaire des appareils mobilesScreenshot of the Mobile Device Inventory Reports page

  2. Dans les paramètres de rapport, sélectionnez le groupe Intune à évaluer et, si nécessaire, les plateformes d’appareils auxquelles la stratégie sera appliquée.In the report parameters, select the Intune group that you want to evaluate and, if required, the device platforms that the policy will apply to.

  3. Une fois que vous avez sélectionné les critères qui répondent aux besoins de votre organisation, choisissez Afficher le rapport.After you’ve selected the criteria that meets your organization’s needs, choose View Report. La visionneuse de rapports s’ouvre dans une nouvelle fenêtre.The Report Viewer opens in a new window. Capture d’écran d’un exemple de rapport d’inventaire des appareils mobilesScreenshot of an sample mobile device inventory report

Après avoir exécuté le rapport, examinez ces quatre colonnes pour déterminer si un utilisateur sera bloqué :After you run the report, examine these four columns to determine whether a user will be blocked:

  • Canal de gestion : indique si l'appareil est géré par Intune, Exchange ActiveSync ou les deux.Management Channel: Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Enregistré avec AAD : indique si l'appareil est inscrit auprès d'Azure Active Directory (ce qui s'appelle une « jonction d'espace de travail »).AAD Registered: Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Conforme : indique si l'appareil est conforme aux stratégies de conformité que vous avez déployées.Compliant: Indicates whether the device is compliant with any compliance policies that you deployed.

  • ID Exchange ActiveSync : l'ID ActiveSync Exchange des appareils iOS et Android doit être associé à l'enregistrement d'inscription de l'appareil dans Azure Active Directory.Exchange ActiveSync ID: iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Ceci se produit quand un utilisateur choisit le lien Activer la messagerie dans l’e-mail de mise en quarantaine.This happens when a user chooses the Activate Email link in the quarantine email.

    Note

    Les appareils Windows Phone affichent toujours une valeur dans cette colonne.Windows Phone devices always display a value in this column.

Les appareils qui font partie d'un groupe ciblé voient leur accès à Exchange bloqué, sauf si les valeurs de colonne correspondent à celles répertoriés dans le tableau suivant :Devices that are part of a targeted group are blocked from accessing Exchange unless the column values match those listed in the following table:


Canal de gestionManagement Channel Enregistré avec AADAAD Registered ConformeCompliant ID Exchange ActiveSyncExchange ActiveSync ID Action résultanteResulting action
Géré par Microsoft Intune et Exchange ActiveSyncManaged by Microsoft Intune and Exchange ActiveSync OuiYes OuiYes Valeur affichéeA value is displayed Accès à la messagerie accordéEmail access is allowed
Toute autre valeurAny other value NonNo NonNo Aucune valeur affichéeNo value is displayed Accès à la messagerie bloquéEmail access is blocked

Vous pouvez exporter le contenu du rapport et utiliser la colonne Adresse de messagerie pour informer les utilisateurs qu’ils ne pourront pas accéder à la messagerie.You can export the contents of the report and use the Email Address column to tell your users that they will be blocked.

Étape 3 : Configurer des groupes d’utilisateurs pour la stratégie d’accès conditionnelStep 3: Configure user groups for the conditional access policy

Les stratégies d’accès conditionnel ciblent différents groupes de sécurité Azure Active Directory.Conditional access policies are targeted to different Azure Active Directory security groups of users. Vous pouvez également exclure certains groupes d’utilisateurs d'une stratégie d'accès conditionnel.You can also exempt certain user groups from a conditional access policy. Quand un utilisateur est ciblé par une stratégie, chaque appareil qu'il utilise doit être conforme à cette stratégie pour qu'il puisse accéder à la messagerie.When a user is targeted by a policy, each device that they use must be compliant in order to access email.

Vous pouvez configurer ces groupes dans le Centre d’administration Office 365ou dans le Portail de compte Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal.

Vous pouvez spécifier deux types de groupes dans chaque stratégie :You can specify two group types in each policy:

  • Groupes ciblés : groupes d’utilisateurs auxquels la stratégie est appliquée.Targeted groups: User groups that the policy is applied to.

  • Groupes exemptés : groupes d'utilisateurs exempts de la stratégie (facultatif).Exempted groups: User groups that are exempt from the policy (optional).

Si un utilisateur se trouve dans les deux groupes, il est exempt de la stratégie.If a user is in both groups, they are exempt from the policy.

Seuls les groupes qui sont ciblés par la stratégie d’accès conditionnel sont évalués.Only the groups that are targeted by the conditional access policy are evaluated.

Étape 4 : Configurer la stratégie d’accès conditionnelStep 4: Configure the conditional access policy

Note

Vous pouvez également créer une stratégie d’accès conditionnel dans la console de gestion Azure AD.You can also create a conditional access policy in the Azure AD management console. La console de gestion Azure AD permet de créer une stratégie d’accès conditionnel d’appareils Intune (appelée stratégie d’accès conditionnel en fonction de l’appareil dans Azure AD) en plus des autres stratégies d’accès conditionnel, comme l’authentification multifacteur.The Azure AD management console lets you create an Intune device conditional access policy (referred to as the device-based conditional access policy in Azure AD), in addition to other conditional access policies like multi-factor authentication.

Vous pouvez aussi définir des stratégies d’accès conditionnel pour des applications d’entreprise tierces prises en charge par Azure AD, comme Salesforce et Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Pour plus d’informations, consultez Comment définir la stratégie d’accès conditionnel en fonction de l’appareil Azure Active Directory pour contrôler l’accès aux applications connectées Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory-connected applications.

  1. Dans la console d’administration Microsoft Intune, choisissez Stratégie > Accès conditionnel > Stratégie Exchange Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange Online Policy.

  2. Dans la page Stratégie Exchange Online , sélectionnez Activer la stratégie d'accès conditionnel pour Exchange Online.On the Exchange Online Policy page, choose Enable conditional access policy for Exchange Online.

    Note

    Si vous n’avez pas déployé de stratégie de conformité, les appareils sont traités comme étant conformes.If you haven't deployed a compliance policy, devices are treated as compliant.

    Quel que soit l’état de conformité, tous les utilisateurs ciblés par la stratégie doivent inscrire leurs appareils auprès d’Intune.Regardless of the compliance state, all users who are targeted by the policy are required to enroll their devices with Intune.

  3. Sous Accès aux applications, pour les applications qui utilisent l’authentification moderne, vous avez deux moyens de choisir les plateformes auxquelles la stratégie doit s’appliquer.Under Application access, for apps that use modern authentication, you have two ways of choosing which platforms the policy should apply to. Les plateformes prises en charge sont Android, iOS, Windows et Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    • Toutes les plateformesAll platforms

      Cette opération exige que tous les appareils utilisés pour accéder à Exchange Online soient inscrits dans Intune et conformes aux stratégies.This requires that any device that is used to access Exchange Online is enrolled in Intune and compliant with the policies. Toute application cliente qui utilise l’authentification moderne est soumise à la stratégie d’accès conditionnel.Any client application that uses modern authentication is subject to the conditional access policy. Si la plateforme n’est actuellement pas prise en charge par Intune, l’accès à Exchange Online est bloqué.If the platform is currently not supported by Intune, access to Exchange Online is blocked.

      Si vous sélectionnez l’option Toutes plateformes, Azure Active Directory applique cette stratégie à toutes les demandes d’authentification, quelle que soit la plateforme signalée par l’application cliente.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Toutes les plateformes doivent être inscrites et être conformes, sauf dans les cas suivants :All platforms are required to enroll and become compliant, except for:

      • Les appareils Windows doivent être inscrits et conformes et/ou être joints à un domaine avec un annuaire Active Directory local.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Plateformes non prises en charge comme Mac OS.Unsupported platforms like Mac OS. Toutefois, les applications utilisant l’authentification moderne issues de ces plateformes sont toujours bloquées.However, apps that use modern authentication coming from these platforms is still blocked.
    • Plateformes spécifiquesSpecific platforms

      La stratégie d’accès conditionnel s’applique à toutes les applications clientes qui utilisent l’authentification moderne sur les plateformes d'appareils que vous spécifiez.The conditional access policy applies to any client app that is using modern authentication on the device platforms that you specify.

  4. Sous Outlook Web Access (OWA), vous pouvez choisir d’autoriser l’accès à Exchange Online uniquement par le biais des navigateurs pris en charge : Safari (iOS) et Chrome (Android).Under Outlook Web Access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). L’accès à partir d’autres navigateurs est bloqué.Access from other browsers is blocked. Les mêmes restrictions de plateforme que celles que vous avez sélectionnées pour l’accès aux applications pour Outlook s’appliquent également ici.The same platform restrictions that you selected for Application access for Outlook also apply here.

    Sur les appareils Android, les utilisateurs doivent activer l’accès du navigateur.On Android devices, users must enable browser access. Pour ce faire, l’utilisateur doit activer l’option Activer l’accès du navigateur sur l’appareil inscrit comme suit :To do this, the user must enable the Enable Browser Access option on the enrolled device as follows:

    1. Ouvrez l’application Portail d’entreprise.Open the Company Portal app.
    2. Accédez à la page Paramètres à partir des trois points (...) ou du bouton de menu matériel.Go to the Settings page from the ellipsis (…) or the hardware menu button.
    3. Appuyer sur le bouton Activer l’accès du navigateur.Press the Enable Browser Access button.
    4. Dans le navigateur Chrome, se déconnecter d’Office 365 et redémarrer Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Sur les plateformes iOS et Android, pour identifier l’appareil qui est utilisé pour accéder au service, Azure Active Directory délivre un certificat TLS (Transport Layer Security) à l’appareil.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. L’appareil affiche le certificat avec une invite demandant à l’utilisateur de sélectionner le certificat, comme indiqué dans les captures d’écran suivantes.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. L’utilisateur doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.The user must select this certificate before they can continue to use the browser.

    iOSiOS

    Capture d’écran de l’invite de certificat sur un iPad

    AndroidAndroid

    Capture d’écran de l’invite de certificat sur un appareil Android

  5. Sous Applications Exchange ActiveSync, vous pouvez choisir d’empêcher les appareils non conformes d’accéder à Exchange Online.Under Exchange ActiveSync apps, you can choose to block noncompliant devices from accessing Exchange Online. Vous pouvez également choisir d’autoriser ou de bloquer l’accès à la messagerie lorsque l’appareil ne fonctionne pas sur une plateforme prise en charge.You can also select whether to allow or block access to email when the device isn't running a supported platform. Les plateformes prises en charge sont Android, iOS, Windows et Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    Appareils Android for Work pour applications Exchange Active Sync :Exchange Active Sync apps on Android for Work devices:

    • Seules les applications Gmail et Nine Work dans le profil professionnel sont prises en charge sur les appareils Android for Work.Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Pour que l’accès conditionnel fonctionne sur les appareils Android for Work, vous devez déployer un profil de messagerie pour l’application Gmail ou Nine Work et également déployer celle-ci comme installation obligatoire.For conditional access to work on Android for Work devices, you must deploy an email profile for the Gmail or Nine Work app, and also deploy it as a required installation.
  6. Sous Groupes ciblés, sélectionnez les groupes de sécurité Active Directory auxquels la stratégie s'applique.Under Targeted Groups, select the Active Directory security groups of users that the policy applies to. Vous pouvez choisir de cibler tous les utilisateurs ou une liste sélectionnée de groupes d’utilisateurs.You can either choose to target all users or a selected list of user groups. Capture d’écran de la page de stratégie d’accès conditionnel à Exchange Online montrant les options Groupe ciblé et Groupe exemptéScreenshot of the Exchange Online conditional access policy page that shows the Targeted and Exempted group options

    Note

    Pour les utilisateurs qui figurent dans les Groupes ciblés, les stratégies Intune remplacent les stratégies et les règles Exchange.For users that are in the Targeted groups, the Intune polices replace Exchange rules and policies.

    Exchange applique les règles d'autorisation, de blocage et de mise en quarantaine d'Exchange, ainsi que les stratégies Exchange, si :Exchange only enforces the Exchange allow, block, and quarantine rules, and Exchange policies if:

    • L'utilisateur n'a pas de licence Intune.A user isn't licensed for Intune.
    • L'utilisateur a une licence Intune, mais n'appartient à aucun groupe de sécurité ciblé dans la stratégie d'accès conditionnel.A user is licensed for Intune, but the user doesn't belong to any security groups that are targeted in the conditional access policy.
  7. Sous Groupes exemptés, sélectionnez les groupes de sécurité Active Directory exemptés de cette stratégie.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Si un utilisateur figure à la fois dans les groupes ciblés et exemptés, il est exempt de la stratégie.If a user is in both the targeted and exempted groups, they are exempt from the policy.

  8. Quand vous avez terminé, choisissez Enregistrer.When you're done, choose Save.

  • La stratégie d’accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Quand un utilisateur crée un compte de messagerie, l’appareil est bloqué immédiatement.After a user creates an email account, the device is blocked immediately.

  • Si un utilisateur bloqué inscrit l’appareil auprès d’Intune et corrige les éventuels problèmes de non-conformité, l’accès à la messagerie est débloqué dans les deux minutes.If a blocked user enrolls the device with Intune and fixes any noncompliance issues, email access is unblocked within two minutes.

  • Si l’utilisateur désinscrit son appareil, la messagerie est bloquée après environ six heures.If the user unenrolls their device, email is blocked after around six hours.

Pour obtenir des exemples de scénarios décrivant comment configurer une stratégie d’accès conditionnel pour protéger l’accès des appareils, consultez Exemples de scénarios de protection d’accès à la messagerie.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

analyser la conformité et les stratégies d'accès conditionnelMonitor the compliance and conditional access policies

Pour afficher les appareils avec accès bloqué à ExchangeTo view devices that are blocked from Exchange

Dans le tableau de bord Intune, choisissez la vignette Appareils avec accès bloqué à Exchange pour afficher le nombre d’appareils bloqués et des liens vers des informations supplémentaires.On the Intune dashboard, choose the Blocked Devices from Exchange tile to show the number of blocked devices and links to more information. Capture d’écran du tableau de bord Intune indiquant le nombre d’appareils dont l’accès à Exchange est bloquéScreenshot of the Intune dashboard showing the number of devices that are blocked from accessing Exchange

Étapes suivantesNext steps