Protéger l’accès à SharePoint Online avec Microsoft IntuneProtect access to SharePoint Online with Microsoft Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Utilisez l’accès conditionnel Microsoft Intune pour contrôler l’accès aux fichiers situés sur SharePoint Online.Use Microsoft Intune conditional access to control access to files that are located on SharePoint Online. L’accès conditionnel comprend deux composants :Conditional access has two components:

  • Une stratégie de conformité des appareils que l’appareil doit respecter pour être considéré comme conforme.A device compliance policy that the device must comply with in order to be considered compliant.
  • Une stratégie d’accès conditionnel dans laquelle vous spécifiez les conditions que l’appareil doit remplir pour accéder au service.A conditional access policy where you specify the conditions that the device must meet in order to access the service. Pour en savoir plus sur le fonctionnement de l’accès conditionnel, lisez la rubrique Protéger l’accès à la messagerie, à Office 365 et à d’autres services.To learn more about how conditional access works, read the Protect access to email, O365, and other services topic.

Vous déployez les stratégies de conformité et d’accès conditionnel sur les utilisateurs.You deploy the compliance and conditional access policies to users. La conformité avec les stratégies de chaque appareil qu’un utilisateur utilise pour accéder aux services est contrôlée.Any device that a user uses to access the services is checked for compliance with the policies.

Quand un utilisateur tente de se connecter à un fichier à l’aide d’une application prise en charge, par exemple OneDrive, sur son appareil, l’évaluation suivante se produit :When a user attempts to connect to a file by using a supported app such as OneDrive on their device, the following evaluation occurs:

Diagramme illustrant les points de décision qui déterminent si un appareil est autorisé ou non à accéder à SharePoint

Avant de configurer une stratégie d’accès conditionnel à SharePoint Online, vous devez :Before configuring a conditional access policy for SharePoint Online, you must:

  • Disposer d’un abonnement SharePoint Online ; les utilisateurs doivent disposer d’une licence pour SharePoint Online.Have a SharePoint Online subscription, and users must be licensed for SharePoint Online.
  • Avoir un abonnement Enterprise Mobility + Security (EMS) ou un abonnement Azure Active Directory (Azure AD) Premium, et les utilisateurs doivent disposer d’une licence EMS ou Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Pour plus d’informations, consultez la page de tarification d’Enterprise Mobility ou la page de tarification d’Azure Active Directory.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

Pour se connecter aux fichiers obligatoires, un appareil doit être :To connect to the required files, a device must be:

  • Inscrit auprès d’Intune ou d’un PC joint à un domaine.Enrolled with Intune or a domain-joined PC.

  • Inscrit dans Azure Active Directory (cela se produit automatiquement quand l’appareil est inscrit auprès d’Intune).Registered in Azure Active Directory (this happens automatically when the device is enrolled with Intune).

  • Conforme à toutes les stratégies de conformité Intune déployées.Compliant with any deployed Intune compliance policies.

L’état de l’appareil est stocké dans Azure Active Directory, qui autorise ou bloque l’accès aux fichiers en fonction des conditions spécifiées.The device state is stored in Azure Active Directory, which grants or blocks access to the files, based on the conditions that you specify.

Si une condition n’est pas remplie, l’utilisateur reçoit l’un des messages suivants quand il tente de se connecter :If a condition isn't met, the user sees one of the following messages when they sign in:

  • Si l’appareil n’est pas inscrit auprès d’Intune ni dans Azure Active Directory, l’utilisateur reçoit un message contenant des instructions pour installer l’application Portail d’entreprise et inscrire l’appareil.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Si l’appareil n’est pas conforme, l’utilisateur reçoit un message le dirigeant vers le site web du portail d’entreprise Intune, où il peut trouver des informations sur le problème et des solutions pour y remédier.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website, where they can find information about the problem and how to remediate it.

L’accès conditionnel ne s’applique pas au partage externe.Conditional access doesn't apply to external sharing. Pour découvrir comment empêcher le partage externe dans votre locataire ou collection de sites, consultez Gérer le partage externe pour votre environnement SharePoint Online.To learn how to prevent external sharing in your tenant or site collection, see Manage external sharing for your SharePoint Online environment.

Note

Si vous activez l’accès conditionnel pour SharePoint Online, nous vous recommandons de désactiver le domaine dans la liste, comme décrit dans la rubrique Remove-SPOTenantSyncClientRestriction.If you enable conditional access for SharePoint Online, we recommend that you disable the domain on the list, as described in the Remove-SPOTenantSyncClientRestriction topic.

Prise en charge des appareils mobilesSupport for mobile devices

Les éléments suivants sont pris en charge :The following are supported:

  • iOS 8.0 et versions ultérieuresiOS 8.0 and later
  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 ou versions ultérieuresAndroid 4.0 and later, Samsung Knox Standard 4.0 or later
  • Windows Phone 8.1 et versions ultérieuresWindows Phone 8.1 and later

Vous pouvez protéger l’accès à SharePoint Online quand les appareils iOS et Android y accèdent à partir d’un navigateur.You can protect access to SharePoint Online when iOS and Android devices access it from a browser. L’accès est autorisé uniquement à partir des navigateurs pris en charge sur les appareils conformes :Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS et Android versions 5.0 et ultérieures)Intune Managed Browser (iOS and Android 5.0 and later)

Les navigateurs non pris en charge sont bloqués.Unsupported browsers are blocked.

Prise en charge des PCSupport for PCs

Les éléments suivants sont pris en charge :The following are supported:

  • Windows 8.1 et versions ultérieures (quand les PC sont inscrits auprès de Microsoft Intune)Windows 8.1 and later (when PCs are enrolled with Intune)
  • Windows 7.0, Windows 8.1 ou Windows 10 (quand les PC sont joints au domaine)Windows 7.0, Windows 8.1, or Windows 10 (when PCs are domain joined),

    Note

    Pour utiliser l’accès conditionnel avec des PC Windows 10, vous devez mettre à jour ces PC avec la Mise à jour anniversaire Windows 10.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    • Vous devez configurer les PC joints à un domaine pour qu’ils s’inscrivent automatiquement dans Azure Active Directory.You must set up domain-joined PCs to automatically register with Azure Active Directory. Le service d’inscription Azure Active Directory pour appareils sera activé automatiquement pour les clients Intune et Office 365.The Azure AD Device Registration service will be activated automatically for Intune and Office 365 customers. Les clients qui ont déjà déployé le service d’inscription d’appareils AD FS ne verront pas les appareils inscrits dans l’annuaire Active Directory local.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

    • Si la stratégie est définie pour exiger l’appartenance à un domaine et que le PC n’est pas joint à un domaine, un message invitant l’utilisateur à contacter l’administrateur informatique s’affiche.If the policy is set to require a domain join and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Si la stratégie définie exige l’appartenance à un domaine ou la conformité et que le PC ne remplit aucune de ces conditions, un message contenant des instructions sur la façon d’installer l’application Portail d’entreprise et d’inscrire l’appareil s’affiche.If the policy is set to require a domain join or compliance, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

      Note

      L’accès conditionnel n’est pas pris en charge sur les PC qui exécutent le client Intune.Conditional access is not supported on PCs that are running the Intune computer client.

L’authentification moderne Office 365 doit être activée et toutes les mises à jour Office les plus récentes doivent être installées.Office 365 modern authentication must be enabled and have all the latest Office updates.

L’authentification moderne permet aux clients Windows Office 2013 d’utiliser une connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library) et permet de bénéficier d’une sécurité accrue, comme l’authentification multifacteur et l’authentification basée sur certificat.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013 Windows clients and enables better security, like multi-factor authentication and certificate-based authentication.

Configurer l’accès conditionnel à SharePoint OnlineConfigure conditional access for SharePoint Online

Étape 1 : configurer les groupes de sécurité Active DirectoryStep 1: Configure Active Directory security groups

Avant de commencer, configurez les groupes de sécurité Azure Active Directory pour la stratégie d'accès conditionnel.Before you start, configure Azure Active Directory security groups for the conditional access policy. Vous pouvez configurer ces groupes dans le Centre d’administration Office 365ou dans le Portail de compte Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal. Vous utilisez ces groupes pour cibler les utilisateurs avec la stratégie ou les exempter de la stratégie.You use these groups to target or exempt users from the policy. Quand un utilisateur est ciblé par une stratégie, chaque appareil qu’il utilise doit être conforme à cette stratégie pour qu’il puisse accéder aux ressources.When a user is targeted by a policy, each device that they use must be compliant in order to access resources.

Vous pouvez spécifier deux types de groupes dans une stratégie SharePoint Online :You can specify two group types in a SharePoint Online policy:

  • Groupes ciblés : contient les groupes d’utilisateurs auxquels la stratégie s’applique.Targeted groups: Contains groups of users that the policy applies to.

  • Groupes exemptés : contient les groupes d’utilisateurs exempts de la stratégie.Exempted groups: Contains groups of users that are exempt from the policy.

Si un utilisateur se trouve dans les deux groupes, il est exempt de la stratégie.If a user is in both groups, they are exempt from the policy.

Étape 2 : configurer et déployer une stratégie de conformitéStep 2: Configure and deploy a compliance policy

Si ce n’est pas encore fait, créez une stratégie de conformité et déployez-la sur tous les utilisateurs ciblés par la stratégie d’accès conditionnel SharePoint Online.If you haven't already done so, create a compliance policy, and deploy it to the users that the SharePoint Online policy targets.

Note

Tandis que les stratégies de conformité sont déployées sur les groupes Intune, les stratégies d’accès conditionnel sont destinées aux groupes de sécurité Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Pour plus d’informations sur la façon de configurer la stratégie de conformité, consultez Créer une stratégie de conformité.For details about how to configure the compliance policy, see Create a compliance policy.

Important

Si vous n’avez pas déployé de stratégie de conformité, les appareils sont traités comme étant conformes.If you haven't deployed a compliance policy, the devices are treated as compliant.

Quand vous êtes prêt, passez à l’Étape 3.When you're ready, continue to Step 3.

Étape 3 : configurer la stratégie SharePoint OnlineStep 3: Configure the SharePoint Online policy

Ensuite, configurez la stratégie de manière à restreindre l'accès à SharePoint Online aux appareils gérés et conformes.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Cette stratégie est stockée dans Azure Active Directory.This policy is stored in Azure Active Directory.

Note

Vous pouvez également créer une stratégie d’accès conditionnel pour des appareils Intune dans la console de gestion Azure AD (la stratégie est appelée stratégie d’accès conditionnel basée sur les appareils dans Azure AD).You can also create a conditional access policy for Intune devices in the Azure AD management console (the policy is referred to as the device-based conditional access policy in Azure AD). En outre, vous pouvez créer d’autres stratégies d’accès conditionnel telles que l’authentification multifacteur.In addition, you can create other conditional access policies like multi-factor authentication. Vous pouvez aussi définir des stratégies d’accès conditionnel pour des applications d’entreprise tierces prises en charge par Azure AD, comme Salesforce et Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Pour plus d’informations, consultez Comment définir la stratégie d’accès conditionnel en fonction de l’appareil Azure Active Directory pour contrôler l’accès aux applications connectées Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. Dans la Console d’administration Microsoft Intune, choisissez Stratégie > Accès conditionnel > Stratégie SharePoint Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > SharePoint Online Policy. Capture d’écran de la page de stratégie SharePoint OnlineScreenshot of the SharePoint Online Policy page

  2. Sélectionnez Activer la stratégie d’accès conditionnel pour SharePoint Online.Select Enable conditional access policy for SharePoint Online.

  3. Sous Accès aux applications, vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à :Under Application access, you can choose to apply the conditional access policy to:

    • Toutes les plateformesAll platforms

      Cette opération exige que tous les appareils utilisés pour accéder à SharePoint Online soient inscrits dans Intune et conformes aux stratégies.This requires that any device used to access SharePoint Online is enrolled in Intune and is compliant with the policies. Toute application cliente qui utilise l’authentification moderne est soumise à la stratégie d’accès conditionnel.Any client application that uses modern authentication is subject to the conditional access policy. Si la plateforme n’est pas prise en charge actuellement par Intune, l’accès à SharePoint Online est bloqué.If the platform isn't currently supported by Intune, access to SharePoint Online is blocked.

      Si vous sélectionnez l’option Toutes plateformes, Azure Active Directory applique cette stratégie à toutes les demandes d’authentification, quelle que soit la plateforme signalée par l’application cliente.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Toutes les plateformes doivent être inscrites et être conformes, sauf dans les cas suivants :All platforms are required to be enrolled and become compliant, except for:

      • Les appareils Windows doivent être inscrits et conformes et/ou être joints à un domaine avec un annuaire Active Directory local.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Plateformes non prises en charge comme Mac.Unsupported platforms like Mac. Toutefois, les applications utilisant l’authentification moderne issues de ces plateformes sont toujours bloquées.However, apps using modern authentication that come from these platforms are still blocked.
    • Plateformes spécifiquesSpecific platforms

      La stratégie d’accès conditionnel s’applique à toutes les applications clientes qui utilisent l’authentification moderne sur les plateformes que vous spécifiez.The conditional access policy applies to any client app that is using modern authentication on the platforms that you specify.

      Pour les PC Windows, ceux-ci doivent être joints à un domaine ou inscrits auprès d’Intune et être conformes.For Windows PCs, a PC must either be domain joined, or enrolled with Intune and compliant. Vous pouvez définir les conditions suivantes :You can set the following requirements:

      • Les appareils doivent être joints à un domaine ou conformes.Devices must be domain joined or compliant. Choisissez cette option pour exiger que les PC soient joints à un domaine ou conformes aux stratégies définies dans Intune.Choose this option to require that PCs must either be domain joined or compliant with the policies that are set in Intune. Si un PC ne remplit pas l’une de ces conditions, l’utilisateur est invité à inscrire l’appareil auprès d’Intune.If a PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

      • Les appareils doivent être conformesDevices must be compliant. Choisissez cette option pour exiger que les PC soient inscrits auprès d’Intune et conformes.Choose this option to require that PCs must be enrolled in Intune and compliant. Si un PC n’est pas inscrit, un message contenant des instructions sur la procédure d’inscription à suivre s’affiche.If a PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. Sous Accès du navigateur à SharePoint et à OneDrive Entreprise, vous pouvez choisir d’autoriser l’accès à Exchange Online uniquement par le biais des navigateurs pris en charge : Safari (iOS) et Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). L’accès à partir d’autres navigateurs est bloqué.Access from other browsers is blocked. Les restrictions de plateforme que vous avez sélectionnées pour Accès aux applications pour OneDrive s’appliquent également ici.The same platform restrictions that you selected for Application access for OneDrive also apply here.

    Sur les appareils Android, les utilisateurs doivent activer l’accès du navigateur.On Android devices, users must enable browser access. Pour ce faire, l’utilisateur doit choisir l’option Activer l’accès du navigateur sur l’appareil inscrit comme suit :To do this, a user must choose the Enable Browser Access option on the enrolled device as follows:

    1. Ouvrez l’application Portail d’entreprise.Open the Company Portal app.
    2. Accédez à la page Paramètres à partir des trois points (...) ou du bouton de menu matériel.Go to the Settings page from the ellipsis (…) or hardware menu button.
    3. Appuyer sur le bouton Activer l’accès du navigateur.Press the Enable Browser Access button.
    4. Dans le navigateur Chrome, se déconnecter d’Office 365 et redémarrer Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Sur les plateformes iOS et Android, pour identifier l’appareil qui est utilisé pour accéder au service, Azure Active Directory délivre un certificat TLS (Transport Layer Security) à l’appareil.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. L’appareil affiche le certificat avec une invite demandant à l’utilisateur de sélectionner le certificat, comme indiqué dans les captures d’écran suivantes.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. L’utilisateur doit sélectionner ce certificat pour pouvoir utiliser le navigateur.The user must select this certificate before they can use the browser.

    iOSiOS

    Capture d’écran de l’invite de certificat sur un iPad

    AndroidAndroid

    Capture d’écran de l’invite de certificat sur un appareil Android

  5. Sous Groupes ciblés, choisissez Modifier pour sélectionner les groupes de sécurité Azure Active Directory auxquels la stratégie s’applique.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy applies to. Vous pouvez cibler cette stratégie sur tous les utilisateurs ou seulement sur un groupe d’utilisateurs donné.You can choose to target this to all users or just a select group of users.

  6. Sous Groupes exemptés, vous pouvez éventuellement choisir Modifier pour sélectionner les groupes de sécurité Azure Active Directory exempts de cette stratégie.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Quand vous avez terminé, choisissez Enregistrer.When you're done, choose Save.

La stratégie d’accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.You don't have to deploy the conditional access policy—it takes effect immediately.

Étape 4 : analyser les stratégies d’accès conditionnel et de conformitéStep 4: Monitor the compliance and conditional access policies

Dans l’espace de travail Groupes, vous pouvez afficher l’état de vos appareils.In the Groups workspace, you can view the status of your devices.

Sélectionnez un groupe d’appareils mobiles.Select any mobile device group. Ensuite, sous l’onglet Appareils, choisissez l’un des Filtres suivants :Then, on the Devices tab, choose one of the following Filters:

  • Appareils non enregistrés avec AAD.Devices that are not registered with AAD. Ces appareils ne peuvent pas accéder à SharePoint Online.These devices are blocked from SharePoint Online.

  • Appareils non conformes.Devices that are not compliant. Ces appareils ne peuvent pas accéder à SharePoint Online.These devices are blocked from SharePoint Online.

  • Appareils enregistrés avec AAD et conformes.Devices that are registered with AAD and compliant. Ces appareils peuvent accéder à SharePoint Online.These devices can access SharePoint Online.

Voir aussiSee also

Protéger l’accès à la messagerie et aux services O365 avec Microsoft IntuneProtect access to email and O365 services with Microsoft Intune