Protéger l’accès à la messagerie Exchange sur site et Exchange Online Dedicated (environnement hérité) avec IntuneProtect email access to Exchange on-premises and legacy Exchange Online Dedicated with Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Vous pouvez configurer l’accès conditionnel pour contrôler l’accès à la messagerie Exchange sur site ou Exchange Online Dedicated (environnement hérité) avec Microsoft Intune.You can configure conditional access control email access to Exchange on-premises or to legacy Exchange Online Dedicated by using Microsoft Intune. Pour en savoir plus sur le fonctionnement de l’accès conditionnel, lisez l’article Protéger l’accès à la messagerie et aux services O365.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Note

Si vous disposez d’un environnement Exchange Online Dedicated et que vous ne savez pas s’il s’agit de la nouvelle configuration ou d’une configuration héritée, contactez votre responsable de compte.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Avant de commencerBefore you begin

Vérifiez les éléments suivants :Make sure to verify the following:

  • Votre version d’Exchange doit être Exchange 2010 ou une version ultérieure.Your Exchange version must be Exchange 2010 or later. Les groupes de serveurs d’accès au client (CAS) du serveur Exchange sont pris en charge.Exchange Server Client Access Server (CAS) arrays are supported.

  • Vous devez utiliser le connecteur Exchange local d’Intune qui connecte Intune à Exchange sur site.You must use the Intune on-premises Exchange connector, which connects Intune to Exchange on-premises. Ceci vous permet de gérer les appareils avec la console Intune.This lets you manage devices through the Intune console.

    • Le connecteur Exchange local auquel vous avez accès dans la console Intune est propre à votre client Intune et ne peut pas être utilisé avec un autre client.The on-premises Exchange connector that is available to you in the Intune console is specific to your Intune tenant and can't be used with any other tenant. Nous vous recommandons également de vérifier que le connecteur Exchange de votre client est installé sur un seul ordinateur.We recommend that you also ensure that the Exchange connector for your tenant is installed on only one machine.

      Vous pouvez télécharger le connecteur depuis la console d’administration Intune.You can download the connector from the Intune admin console. Pour consulter une procédure pas à pas permettant de configurer le connecteur Exchange sur site, consultez Configurer le connecteur Exchange sur site pour Exchange sur site ou hébergé.For a walkthrough on how to configure the on-premises Exchange connector, see configure Exchange on-premises connector for on-premises or hosted Exchange.

    • Vous pouvez installer le connecteur sur n’importe quel ordinateur, tant que celui-ci peut communiquer avec le serveur Exchange.You can install the connector on any machine as long as that machine can communicate with the Exchange server.

    • Le connecteur prend en charge l’Environnement CAS Exchange.The connector supports the Exchange CAS environment. Vous pouvez techniquement installer directement le connecteur sur le serveur CAS Exchange si vous le souhaitez.You can technically install the connector on the Exchange CAS server directly if you want to. Toutefois, cette option n’est pas recommandée car elle augmente la charge sur le serveur.However, we don't recommend it because it increases the load on the server. Quand vous configurez le connecteur, vous devez faire en sorte qu’il communique avec l’un des serveurs CAS Exchange.When you configure the connector, you must set it up to communicate with one of the Exchange CAS servers.

  • Vous devez configurer Exchange ActiveSync avec l’authentification par certificat ou la saisie des informations d’identification de l’utilisateur.You must configure Exchange ActiveSync with certificate-based authentication or user credential entry.

Exigences de conformité des appareilsDevice compliance requirements

Lorsque vous configurez des stratégies d’accès conditionnel et les ciblez sur un utilisateur, l’appareil dont l’utilisateur se sert pour se connecter à sa messagerie doit :When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Être inscrit auprès d’Intune ou être un PC joint à un domaine.Either a domain-joined PC or enrolled with Intune.

  • Être inscrit dans Azure Active Directory.Registered in Azure Active Directory. En outre, l’ID Exchange ActiveSync du client doit être inscrit auprès d’Azure Active Directory.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Le service d’inscription Azure Active Directory pour appareils est activé automatiquement pour les clients Intune et Office 365.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Les clients qui ont déjà déployé le service d’inscription d’appareils AD FS ne verront pas les appareils inscrits dans l’annuaire Active Directory local.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory. Cela ne s’applique pas aux PC Windows ni aux appareils Windows Phone.This does not apply to Windows PCs and Windows Phone devices.

  • Être conforme à toutes les stratégies de conformité Intune déployées sur cet appareil.Compliant with any Intune compliance policies that are deployed to that device.

Fonctionnement de l’accès conditionnel avec Exchange sur siteHow conditional access works with Exchange on-premises

Le diagramme suivant illustre le flux utilisé par les stratégies d’accès conditionnel d’Exchange sur site pour déterminer s’il faut autoriser ou bloquer des appareils.The following diagram illustrates the flow that conditional access policies for Exchange on-premises use to evaluate whether to allow or block devices.

Diagramme illustrant les points de décision qui déterminent si un appareil est autorisé ou non à accéder à Exchange sur site

Si une stratégie d’accès conditionnel n’est pas remplie, il existe un délai de 10 minutes avant le blocage de l'appareil si l’utilisateur reçoit l'un des messages de mise en quarantaine suivants lorsqu’il se connecte :If a conditional access policy isn't met, there is a 10 minute window between the device being blocked and the user receiving one of the following quarantine messages when they sign in:

  • Si l’appareil n’est pas inscrit auprès d’Intune ni dans Azure Active Directory, l’utilisateur reçoit un message contenant des instructions pour installer l’application Portail d’entreprise, inscrire l’appareil et activer la messagerie.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ce processus associe également l’ID Exchange ActiveSync de l’appareil à l’enregistrement de l’appareil dans Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Si l’appareil n’est pas conforme, l’utilisateur reçoit un message le dirigeant vers l’application Portail d’entreprise ou le site web du portail d’entreprise Intune, où il peut trouver des informations sur le problème et des solutions pour y remédier.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Prise en charge des appareils mobilesSupport for mobile devices

Les éléments suivants sont pris en charge :The following are supported:

  • Windows Phone 8.1 et ultérieur.Windows Phone 8.1 and later.

  • Application de messagerie native sur iOS.The native email app on iOS.

  • Clients de messagerie Exchange ActiveSync, comme Gmail sur Android 4 ou ultérieur.Exchange ActiveSync mail clients, such as Gmail on Android 4 or later.

  • Clients de messagerie Exchange ActiveSync sur les appareils Android for Work : seules les applications Gmail et Nine Work dans le profil professionnel sont prises en charge sur les appareils Android for Work.Exchange ActiveSync mail clients on Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Pour que l’accès conditionnel fonctionne avec Android for Work, vous devez déployer un profil de messagerie pour l’application Gmail ou Nine Work et également déployer ces applications comme installation obligatoire.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required installation.

Note

L’application Microsoft Outlook pour Android et iOS n’est pas prise en charge.The Microsoft Outlook app for Android and iOS isn't supported.

Prise en charge des PCSupport for PCs

Les éléments suivants sont pris en charge :The following is supported:

  • Application Courrier sur Windows 8.1 et versions ultérieures (quand le PC est inscrit auprès d’Intune).The Mail application on Windows 8.1 and later (when the PC is enrolled with Intune).

Configurer une stratégie d’accès conditionnelConfigure a conditional access policy

  1. Dans la console d’administration Microsoft Intune, choisissez Stratégie > Accès conditionnel > Stratégie Exchange sur site.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange on-premises policy. IntuneSA5aSelectExchOnPremPolicyIntuneSA5aSelectExchOnPremPolicy

  2. Configurez la stratégie avec les paramètres nécessaires : Capture d’écran de la page Stratégie Exchange sur siteConfigure the policy with the settings that you require: Screenshot of the Exchange on-premises policy page

    • Empêcher les applications de messagerie d’accéder à Exchange sur site si l’appareil n’est pas conforme ou n’est pas inscrit à Microsoft Intune : Quand vous sélectionnez cette option, les appareils qui ne sont pas gérés par Intune ou qui ne sont pas conformes à une stratégie de conformité n’ont pas accès aux services Exchange.Block email apps from accessing Exchange on-premises if the device isn't compliant or isn't enrolled with Microsoft Intune: When you select this option, devices that aren't managed by Intune or aren't compliant with a compliance policy are blocked from accessing Exchange services.

    • Substitution de règle par défaut - Toujours autoriser les appareils inscrits et conformes pour l’accès à Exchange : Quand vous activez cette option, les appareils inscrits dans Intune et conformes aux stratégies de conformité sont autorisés à accéder à Exchange.Default rule override - Always allow enrolled and compliant devices to access Exchange: When you select this option, devices that are enrolled in Intune and are compliant with the compliance policies are allowed to access Exchange. Cette règle se substitue à la Règle par défaut, ce qui signifie que même si vous définissez la mise en quarantaine ou un blocage de l’accès par le biais de la Règle par défaut, les appareils inscrits et conformes peuvent toujours accéder à Exchange.This rule overrides the Default Rule, which means that even if you set the Default Rule to quarantine or block access, enrolled and compliant devices are still able to access Exchange.

    • Groupes ciblés : Sélectionnez les groupes d’utilisateurs Intune qui doivent inscrire leurs appareils auprès d’Intune pour pouvoir accéder à Exchange.Targeted Groups: Select the Intune user groups that must enroll their device with Intune before they can access Exchange.

    • Groupes exemptés : Sélectionnez les groupes d’utilisateurs Intune qui sont exempts de la stratégie d’accès conditionnel.Exempted Groups: Select the Intune user groups that are exempt from the conditional access policy. Les utilisateurs de cette liste sont exemptés même s’ils se trouvent également dans la liste Groupes ciblés.Users in this list are exempt even if they're also in the Targeted Groups list.

    • Exceptions de plateforme : Choisissez Ajouter une règle pour configurer une règle qui définit des niveaux d’accès pour les familles et modèles d’appareils mobiles spécifiés.Platform Exceptions: Choose Add Rule to configure a rule that defines access levels for specified mobile device families and models. Étant donné que ces appareils peuvent être de n’importe quel type, vous pouvez également configurer des types d’appareils non pris en charge par Intune.Because these devices can be of any type, you can also configure device types that aren't supported by Intune.

    • Règle par défaut : Si vous avez un appareil qui n’est pas couvert par d’autres règles, vous pouvez choisir de l’autoriser à accéder à Exchange, de le bloquer ou de le mettre en quarantaine.Default Rule: For a device that isn't covered by any of the other rules, you can choose to allow it to access Exchange, block it, or quarantine it. Quand vous définissez la règle de façon à autoriser l’accès aux appareils inscrits et conformes, l’accès à la messagerie est accordé automatiquement aux appareils iOS, Windows et Samsung KNOX.When you set the rule to allow access, for devices that are enrolled and compliant, email access is granted automatically for iOS, Windows, and Samsung KNOX devices. L’utilisateur n’a pas besoin de suivre un processus quelconque pour accéder à sa messagerie électronique.The user doesn't have to go through any process to get their email.

      • Sur les appareils Android qui n’exécutent pas Samsung KNOX, les utilisateurs obtiennent un message électronique de mise en quarantaine comprenant une procédure pas à pas guidée qu’ils doivent suivre pour vérifier l’inscription et la conformité avant de pouvoir accéder à la messagerie.On Android devices that don't run Samsung KNOX, users get a quarantine email, which includes a guided walkthrough to verify enrollment and compliance before they can access email. Si vous définissez la règle de blocage d’accès ou de mise en quarantaine des appareils, aucun appareil ne peut accéder à Exchange, qu’il soit ou non déjà inscrit dans Intune.If you set the rule to block access or quarantine devices, all devices are blocked from getting access to Exchange, regardless of whether they're already enrolled in Intune or not. Pour éviter que les appareils inscrits et conformes soient affectés par cette règle, cochez la case Substitution de règle par défaut.To prevent enrolled and compliant devices from being affected by this rule, check the Default Rule Override box. >[!TIP] >Si vous avez l’intention de bloquer au préalable tous les appareils avant de leur accorder l’accès à la messagerie électronique, choisissez la règle de blocage d’accès ou de mise en quarantaine.If your intention is to first block all devices before granting access to email, choose the Block access rule or the Quarantine rule. La règle par défaut s’applique à tous les types d’appareils. Ainsi, les types d’appareils que vous configurez en tant qu’exceptions de plateforme et qui ne sont pas pris en charge par Intune sont également affectés.The default rule applies to all device types—so device types that you configure as platform exceptions that aren't supported by Intune are also affected.
    • Notification utilisateur : en plus du message électronique de notification envoyé par Exchange, Intune envoie un message électronique qui contient les étapes à suivre pour débloquer l’appareil.User Notification: In addition to the notification email that Exchange sends, Intune sends an email that contains steps to unblock the device. Vous pouvez modifier le message par défaut pour le personnaliser selon vos besoins.You can edit the default message to customize it to your needs. Si l’appareil de l’utilisateur est bloqué avant de recevoir le courrier électronique de notification Intune contenant des instructions de correction (ce courrier est envoyé dans la boîte aux lettres Exchange de l’utilisateur), l'utilisateur peut utiliser un appareil non bloqué ou recourir à une autre méthode pour accéder à Exchange et afficher le message.In the event that the user’s device is blocked before they receive the Intune notification email that contains remediation instructions (this email is delivered to the user’s Exchange mailbox), they can use an unblocked device or another method to access Exchange and view the message.

      • Cela est particulièrement vrai quand le blocage ou la mise en quarantaine est défini avec la Règle par défaut.This is especially true when the Default Rule is set to block or quarantine. Dans ce cas, l’utilisateur doit accéder à son magasin d’applications, télécharger l’application du portail d’entreprise Microsoft et inscrire son appareil.In this case, the user has to go to their app store, download the Microsoft Company Portal app, and enroll their device. Cela s’applique aux appareils iOS, Windows et Samsung KNOX.This is applicable to iOS, Windows, and Samsung KNOX devices. Sur les appareils qui n’exécutent pas Samsung KNOX, vous devez envoyer l’e-mail de quarantaine à un autre compte de messagerie.For devices that don't run Samsung KNOX, you need to send the quarantine email to an alternate email account. L’utilisateur doit copier l’e-mail sur l’appareil bloqué pour terminer le processus d’inscription et de mise en conformité.The user has to copy the email to their blocked device to complete the enrollment and compliance process. > [!NOTE] > Pour que le message électronique de notification puisse être envoyé par Exchange, vous devez spécifier le compte à utiliser pour l’envoyer.In order for Exchange to be able to send the notification email, you must specify the account that is used to send the notification email. > > Pour plus d’informations, consultez Configurer le connecteur Exchange sur site pour Exchange sur site ou hébergé.For details, see Configure Exchange on-premises connector for on-premises or hosted Exchange.
  3. Quand vous avez terminé, choisissez Enregistrer.When you're done, choose Save.

  • La stratégie d’accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Une fois qu’un utilisateur a configuré un profil Exchange ActiveSync, le blocage de son appareil peut prendre entre une et trois heures (s’il n’est pas géré par Intune).After a user sets up an Exchange ActiveSync profile, it might take from one to three hours for the device to be blocked (if it isn't managed by Intune).

  • Si un utilisateur bloqué inscrit alors l’appareil auprès d’Intune et corrige la non-conformité, l’accès à la messagerie électronique est débloqué dans les deux minutes.If a blocked user then enrolls the device with Intune and remediates noncompliance, email access will be unblocked within two minutes.

  • Si l’utilisateur annule l’inscription auprès d’Intune, le blocage de son appareil peut prendre entre une et trois heures.If the user unenrolls from Intune, it might take from one to three hours for the device to be blocked.

Pour obtenir des exemples de scénarios décrivant comment configurer une stratégie d’accès conditionnel pour protéger l’accès des appareils, consultez Exemples de scénarios de protection d’accès à la messagerie.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Étapes suivantesNext steps