Protéger l’accès à la messagerie avec Microsoft Intune : exemples de scénariosProtect access to email with Microsoft Intune: Example scenarios

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Scénario 1 : Empêcher les utilisateurs d’accéder à Exchange Online avec des appareils non conformesScenario 1: Block users from using noncompliant devices to access Exchange Online

Exigences du scénarioScenario requirements

  • Tous les utilisateurs du groupe de sécurité Azure Active Directory Comptabilité voient leur accès à Exchange Online bloqué si leur appareil n’est pas conforme à une stratégie de conformité que vous avez déployée.All users in the Accounting Azure Active Directory security group must be blocked from accessing Exchange Online if their device is not compliant with a compliance policy that you deployed.
  • S’il existe des utilisateurs dans ce groupe dont les appareils ne sont pas pris en charge par Intune, leur accès à Exchange Online doit être bloqué sur cet appareil.If any users exist in this group whose devices are not supported by Intune, they must be blocked from accessing Exchange Online on that device.
  • Les utilisateurs qui figurent dans le groupe de sécurité Azure Active Directory Finance doivent être exemptés de la stratégie, même s’ils figurent également dans le groupe de sécurité Comptabilité.Users in the Finance Azure Active Directory security group must be exempt from the policy, even if they're also in the Accounting security group.

Pour ce faire, configurez une stratégie d’accès conditionnel à Exchange Online avec les paramètres suivants :To accomplish this, configure a conditional access policy for Exchange Online with the following settings:

  • Choisissez Activer la stratégie d’accès conditionnel.Choose Enable conditional access policy.

  • Choisissez les plateformes auxquelles vous souhaitez autoriser l’accès à partir d’applications avec l’authentification moderne.Choose the platforms that you want to allow access from apps with modern authentication.

  • Pour les applications Exchange ActiveSync, choisissez Bloquer les appareils non conformes sur les plateformes prises en charge par Microsoft Intune et Bloquer tous les autres appareils sur les plateformes non prises en charge par Microsoft Intune.For Exchange ActiveSync apps, choose Block noncompliant devices on platforms supported by Microsoft Intune and Block all other devices on platforms not supported by Microsoft Intune.
  • Dans la section Groupe ciblé, sous Groupes de sécurité sélectionnés, choisissez le groupe d’utilisateurs Comptabilité.In the Targeted group section, under Selected security groups, choose the Accounting user group.

  • Dans la section Groupe exempté, sous Groupes de sécurité sélectionnés, choisissez le groupe d’utilisateurs Finance.In the Exempted group section, under Selected security groups, choose the Finance user group.

Le flux suivant est utilisé dans le scénario pour déterminer quels sont les appareils qui peuvent accéder à Exchange Online :The following flow is used in the scenario to decide which devices can access Exchange Online:

Flux d’accès des appareils

Scénario 2 : Tous les appareils iOS qui accèdent à Exchange sur site doivent être gérés par IntuneScenario 2: All iOS devices that access Exchange on-premises must be managed by Intune

Exigences du scénarioScenario requirements

  • Seuls les appareils qui exécutent iOS doivent pouvoir accéder à Exchange sur site.Only devices that run iOS should be allowed access to Exchange on-premises.
  • Les appareils doivent également être inscrits dans Intune et respecter les règles de stratégie de conformité pour pouvoir être utilisés pour accéder à Exchange.The devices must also be enrolled in Intune and meet the compliance policy rules before they can be used to access Exchange.

Pour ce faire, configurez la stratégie d’accès conditionnel à Exchange sur site ci-dessous avec les paramètres suivants :To accomplish this, configure the following conditional access policy for Exchange on-premises with the following settings:

  • Choisissez l’option Bloquer l’accès des applications de messagerie à Exchange sur site si l’appareil n’est pas conforme ou n’est pas inscrit dans Microsoft Intune.Choose the option Block email apps from accessing Exchange on-premises if the device is noncompliant or not enrolled in Microsoft Intune. En choisissant cette option, vous activez la stratégie d’accès conditionnel, ce qui implique que tous les appareils doivent être inscrits dans Microsoft Intune et respecter les règles de stratégie de conformité pour pouvoir accéder à Exchange.By choosing this option, you enable the conditional access policy, which requires that all devices must be enrolled in Microsoft Intune and meet the compliancy policy rules before they can access Exchange.

  • Pour les paramètres avancés Exchange ActiveSync, créez :For advanced Exchange Active Sync settings, create:

    • Une exception de plateforme qui permet aux appareils exécutant iOS d'accéder à ExchangeA platform exception that allows devices that run iOS to access Exchange.

    • Une règle par défaut qui spécifie que, si un appareil n’est pas couvert par la règle d’exception de la plateforme, il ne doit pas pouvoir accéder à Exchange.A default rule that specifies that when a device isn't covered by the platform exception rule, it should be blocked from accessing Exchange. Cette règle permet de s’assurer que les appareils qui n’exécutent pas iOS ne peuvent pas accéder à Exchange.This rule makes sure that devices that aren't running iOS are blocked from accessing Exchange.

Vous utilisez le flux suivant pour déterminer quels sont les appareils qui peuvent accéder à Exchange :You use the following flow to decide which devices can access Exchange:

Flux d’accès des appareils

Scénario 3 : Aucun appareil Android ne peut accéder à Exchange sur siteScenario 3: No Android devices can access Exchange on-premises

Exigences du scénarioScenario requirements

  • L’accès à Exchange doit être bloqué pour tous les appareils Android.All Android devices should be blocked from accessing Exchange.
  • Tous les autres appareils pris en charge peuvent accéder à Exchange du moment qu’ils sont gérés par Intune.All other supported devices can access Exchange, as long as they're managed by Intune.

Pour ce faire, configurez une stratégie d’accès conditionnel à Exchange sur site avec les paramètres suivants :To accomplish this, configure a conditional access policy for Exchange on-premises with the following settings:

  • Choisissez l’option Bloquer l’accès des applications de messagerie à Exchange sur site si l’appareil n’est pas conforme ou n’est pas inscrit dans Microsoft Intune.Choose the option Block email apps from accessing Exchange on-premises if the device is noncompliant or not enrolled in Microsoft Intune. En choisissant cette option, vous spécifiez que tous les appareils doivent être inscrits dans Intune et respecter les règles de stratégie de conformité.By choosing this option, you require that any device must be enrolled in Intune and meet the compliance policy rules.

  • Pour les paramètres avancés Exchange ActiveSync, créez :For advanced Exchange Active Sync settings, create:

    • exception de plateforme qui empêche les appareils exécutant Android d'accéder à Exchange ;A platform exception that blocks devices that run Android from accessing Exchange. Cette règle permet de s’assurer que les appareils Android ne peuvent pas être utilisés pour accéder à Exchange.This rule makes sure that Android devices can't be used to access Exchange.

    • Règle par défaut qui spécifie que tout appareil non couvert par d’autres règles doit être autorisé à accéder à Exchange.A default rule that specifies that when a device isn't covered by other rules, it should be allowed to access Exchange. Cette règle par défaut garantit que les appareils exécutant des plateformes autres qu’Android mais prises en charge par Microsoft Intune peuvent être utilisés pour accéder à Exchange.This default rule makes sure that devices that run platforms other than Android, but are supported by Microsoft Intune, can be used to access Exchange. Ils doivent toutefois être inscrits dans Intune et respecter les règles de stratégie de conformité.They must, however, be enrolled in Intune and meet the compliance policy rules.

Vous utilisez le flux suivant pour déterminer quels sont les appareils qui peuvent accéder à Exchange :You use the following flow to decide which devices can access Exchange:

Flux d’accès des appareils