Protéger l’accès à Skype Entreprise Online avec Microsoft IntuneProtect access to Skype for Business Online with Microsoft Intune

S’applique à : Intune dans la console classiqueApplies to: Intune in the classic console
Vous recherchez la documentation sur Intune dans Azure ?Looking for documentation about Intune on Azure? Cliquez ici.Go here.

Vous pouvez utiliser une stratégie d’accès conditionnel à Skype Entreprise Online pour contrôler l’accès à Skype Entreprise Online.You can use a conditional access policy for Skype for Business Online to control access to Skype for Business Online. L’accès conditionnel comprend deux composants :Conditional access has two components:

  • Une stratégie de conformité des appareils que l’appareil doit respecter pour être considéré comme conforme.A device compliance policy that the device must comply with in order to be considered compliant.
  • Une stratégie d’accès conditionnel dans laquelle vous spécifiez les conditions que l’appareil doit remplir pour que vous puissiez accéder au service.A conditional access policy where you specify the conditions that the device must meet in order for you to access the service. Pour en savoir plus sur le fonctionnement de l’accès conditionnel, lisez l’article Protéger l’accès à la messagerie et aux services O365.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Lorsqu’un utilisateur ciblé tente d’utiliser Skype Entreprise Online sur son appareil, l’évaluation suivante se produit :When a targeted user attempts to use Skype for Business Online on their device, the following evaluation occurs:

Diagramme illustrant les points de décision utilisés pour déterminer si un appareil est autorisé ou non à accéder à Skype Entreprise Online

Avant de configurer une stratégie d’accès conditionnel à Skype Entreprise Online, vous devez :Before configuring a conditional access policy for Skype for Business Online, you must:

  • Disposer d’un abonnement Skype Entreprise Online et affecter une licence Skype Entreprise Online aux utilisateurs.Have a Skype for Business Online subscription and assign the Skype for Business Online license to users.
  • Avoir un abonnement Enterprise Mobility + Security (EMS) ou un abonnement Azure Active Directory (Azure AD) Premium, et les utilisateurs doivent disposer d’une licence EMS ou Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and have users be licensed for EMS or Azure AD. Pour plus d’informations, consultez Tarification d’Enterprise Mobility ou Tarification d’Azure Active Directory.For more details, see Enterprise Mobility pricing or Azure Active Directory pricing.

  • Authentification moderne activée pour Skype Entreprise Online.Enable modern authentication for Skype for Business Online.

  • Faire en sorte que tous vos utilisateurs utilisent Skype Entreprise Online.Have all your users using Skype for Business Online. Si votre déploiement comprend à la fois Skype Entreprise Online et Skype Entreprise local, la stratégie d’accès conditionnel n’est pas appliquée aux utilisateurs.If you have a deployment with both Skype for Business Online and Skype for Business on-premises, the conditional access policy will not be applied to users.

Pour accéder à Skype Entreprise Online, un appareil doit être :The device that needs access to Skype for Business Online must:

  • Un appareil Android ou iOS.Be an Android or iOS device.

  • inscrit auprès d’Intune ;Be enrolled with Intune.

  • conforme à toutes les stratégies de conformité Intune déployées.Be compliant with any deployed Intune compliance policies.

L’état de l’appareil est stocké dans Azure Active Directory, qui autorise ou bloque l’accès en fonction des conditions que vous spécifiez.The device state is stored in Azure Active Directory, which grants or blocks access based on the conditions that you specify.

Si une condition n’est pas remplie, l’utilisateur reçoit l’un des messages suivants quand il tente de se connecter :If a condition is not met, the user is presented with one of the following messages when they sign in:

  • Si l’appareil n’est pas inscrit auprès d’Intune ou dans Azure Active Directory, l’utilisateur reçoit un message contenant des instructions pour installer l’application Portail d’entreprise et inscrire l’appareil.If the device is not enrolled with Intune or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Si l’appareil n’est pas conforme, l’utilisateur reçoit un message le dirigeant vers l’application Portail d’entreprise ou le site web du portail d’entreprise Intune, où il peut trouver des informations sur le problème et des solutions pour le résoudre.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website or Company Portal app, where they can find information about the problem and how to fix it.

Configurer l’accès conditionnel à Skype Entreprise OnlineConfigure conditional access for Skype for Business Online

Étape 1 : configurer les groupes de sécurité Azure Active DirectoryStep 1: Configure Azure Active Directory security groups

Avant de commencer, configurez les groupes de sécurité Azure Active Directory pour la stratégie d'accès conditionnel.Before you start, configure Azure Active Directory security groups for the conditional access policy. Vous pouvez configurer ces groupes dans le Centre d’administration Office 365.You can configure these groups in the Office 365 admin center. Ces groupes seront utilisés pour cibler ou exempter les utilisateurs de la stratégie.These groups will be used to target or exempt users from the policy. Quand un utilisateur est ciblé par la stratégie, chaque appareil qu’il utilise doit être conforme à cette stratégie pour qu’il puisse accéder aux ressources.When a user is targeted by the policy, each device they use must be compliant in order to access resources.

Vous pouvez spécifier deux types de groupes que la stratégie Skype Entreprise pourra utiliser :You can specify two group types to use for the Skype for Business policy:

  • Groupes ciblés : contient les groupes d’utilisateurs auxquels la stratégie s’applique.Targeted groups: Contains groups of users that the policy applies to.

  • Groupes exemptés : contient les groupes d’utilisateurs exempts de la stratégie.Exempted groups: Contains groups of users that are exempt from the policy.

Si un utilisateur se trouve dans les deux groupes, il est exempt de la stratégie.If a user is in both groups, they will be exempt from the policy.

Étape 2 : configurer et déployer une stratégie de conformitéStep 2: Configure and deploy a compliance policy

Créez et déployez une stratégie de conformité pour tous les appareils qui seront affectés par la stratégie.Create and deploy a compliance policy to all devices that will be affected by the policy. Il s’agit de tous les appareils utilisés par les utilisateurs des Groupes ciblés.These will be all the devices that are used by the users in the Targeted groups.

Note

Tandis que les stratégies de conformité sont déployées sur les groupes Intune, les stratégies d’accès conditionnel sont destinées aux groupes de sécurité Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Important

Si vous n’avez pas déployé de stratégie de conformité, les appareils seront traités comme étant conformes.If you haven't deployed a compliance policy, the devices will be treated as compliant.

Quand vous êtes prêt, passez à l’Étape 3.When you're ready, continue to Step 3.

Étape 3: Configurer la stratégie Skype Entreprise OnlineStep 3: Configure the Skype for Business Online policy

Ensuite, configurez la stratégie de manière à restreindre l’accès à Skype Entreprise Online aux appareils gérés et conformes.Next, configure the policy to require that only managed and compliant devices can access Skype for Business Online. Cette stratégie sera stockée dans Azure Active Directory.This policy will be stored in Azure Active Directory.

  1. Dans la Console d’administration Microsoft Intune, choisissez Stratégie > Accès conditionnel > Stratégie Skype Entreprise Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > Skype for Business Online Policy.

    Capture d’écran de la page de stratégie d’accès conditionnel à Skype Entreprise Online

  2. Choisissez Activer la stratégie d’accès conditionnel.Choose Enable conditional access policy.

  3. Sous Accès aux applications, vous pouvez choisir d’appliquer la stratégie d’accès conditionnel à :Under Application access, you can choose to apply conditional access policy to:

    • iOSiOS

    • AndroidAndroid

  4. Sous Groupes ciblés, choisissez Modifier pour sélectionner les groupes de sécurité Azure Active Directory auxquels la stratégie sera appliquée.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy will apply to. Vous pouvez cibler cette stratégie sur tous les utilisateurs ou seulement sur un groupe d’utilisateurs donné.You can choose to target this to all users or just a select group of users.

  5. Sous Groupes exemptés, vous pouvez éventuellement choisir Modifier pour sélectionner les groupes de sécurité Azure Active Directory exempts de cette stratégie.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  6. Quand vous avez terminé, choisissez Enregistrer.When you're done, choose Save.

Vous avez maintenant configuré l’accès conditionnel à Skype Entreprise Online.You have now configured conditional access for Skype for Business Online. La stratégie d’accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.You don't have to deploy the conditional access policy—it takes effect immediately.

analyser la conformité et les stratégies d'accès conditionnelMonitor the compliance and conditional access policies

Dans l'espace de travail Groupes , vous pouvez afficher l'état de l'accès conditionnel de vos appareils.In the Groups workspace, you can view the conditional access status of your devices.

Sélectionnez un groupe d’appareils mobiles.Select any mobile device group. Ensuite, sous l’onglet Appareils, choisissez l’un des Filtres suivants :Then, on the Devices tab, choose one of the following Filters:

  • Appareils non enregistrés avec AAD : l’accès à Skype Entreprise Online est bloqué pour ces appareils.Devices that are not registered with AAD: These devices are blocked from Skype for Business Online.

  • Appareils non conformes : l’accès à Skype Entreprise Online est bloqué pour ces appareils.Devices that are not compliant: These devices are blocked from Skype for Business Online.

  • Appareils enregistrés avec AAD et conformes : ces appareils peuvent accéder à Skype Entreprise Online.Devices that are registered with AAD and compliant: These devices can access Skype for Business Online.

Pour envoyer vos commentaires sur le produit, consultez Intune Feedback