Ce qui se passe quand une application est utilisée dans le cadre de l’accès conditionnel basé sur les applicationsWhat to expect when using an app with app-based CA

S’applique à : Intune dans la console classiqueApplies to: Intune in the classic console
Vous recherchez la documentation sur Intune dans Azure ?Looking for documentation about Intune on Azure? Cliquez ici.Go here.

L’accès conditionnel basé sur les applications vérifie l’identité de l’application approuvée au moyen d’une application broker qui doit être présente sur l’appareil :App-based CA verifies the identity of the approved application by means of a broker app that must be present on the device:

  • Sur iOS, l’application Azure Authenticator est l’application broker.On iOS, the Azure Authenticator app is the broker app.
  • Sur Android, l’application Portail d’entreprise Intune est l’application broker.On Android, the Intune Company Portal app is the broker app.

Les utilisateurs finaux qui se connectent pour la première fois à une application prise en charge par l’accès conditionnel basé sur les applications, comme OneDrive ou Outlook, sont invités à installer l’application broker et à inscrire l’appareil auprès d’Azure AD.End-users signing in for the first time, to an app that is supported by app-based CA, like OneDrive or Outlook, are prompted to install the broker app and register the device with Azure AD. L’inscription de l’appareil dans Azure AD (anciennement appelé « jonction d’espace de travail ») entraîne la création d’un enregistrement et d’un certificat d’appareil servant de base à l’émission de jetons.Device registration in Azure AD (previously known as Workplace Join) will create a device record and certificate against which tokens are issued. Cela n’est pas la même chose que l’inscription MDM.This is not the same as MDM enrollment. Aucun profil ou stratégie de gestion n’est appliqué et les applications sur l’appareil ne font l’objet d’aucun inventaire.There are no management profiles or policies that are applied, and there is no inventory taken of apps on the device. Le processus d’installation de l’application broker et d’inscription de l’appareil ne se produit qu’à la première utilisation d’une application gérée.The process of installing the broker app and registering the device will only happen on the first use of a managed app.

Voici une liste de propriétés qui proviennent directement de l’appareil :The following is a list of properties that are directly derived from the device:

  • alternativeSecurityIds (hachage de clé publique et empreinte numérique du certificat Azure Active Directory)alternativeSecurityIds (Azure Active Directory Certificate thumbprint and public key hash)
  • deviceOSTypedeviceOSType
  • deviceOSVersiondeviceOSVersion
  • displayNamedisplayName
Note

Sur les appareils Android :On Android devices:

  • L’application Portail d’entreprise doit être installée sur l’appareil, mais il n’est pas nécessaire que l’utilisateur final se connecte à l’application.It is required that the Company Portal app is installed on the device, but end-user is not required to log in into app.
  • L’inscription de l’appareil doit être effectuée via l’application OneDrive ou Outlook.Device registration must be done through the OneDrive or Outlook app.

Supprimer un appareil de l’inscription dans Azure AD.To remove a device from Azure AD registration.

Vous pouvez supprimer l’inscription de l’appareil par le biais de la console d’administration Azure AD, ce qui est généralement effectué par l’administrateur informatique.You can remove the device registration either through the Azure AD admin console which is typically done by the IT admin. L’utilisateur final peut également le faire lui-même sur l’appareil.It can also be done by the end-user on the device itself.

  • Console d’administration Azure AD : dans la console d’administration Azure AD, supprimez l’appareil que vous voulez retirer.Azure AD admin console: In the Azure AD admin console, delete the device that you want to remove.
  • Appareil iOS : ouvrez l’application Azure Authenticator, faites défiler vers la gauche jusqu’au compte et choisissez d’annuler l’inscription.iOS device: Open the Azure Authenticator app, swipe left on the account, and choose unregister.
  • Appareil Android : désinstallez l’application Portail d’entreprise ou supprimez le compte des paramètres système.Android device: Uninstall the company portal app or remove the account from the System settings.

Accès conditionnel basé sur l’application avec accès conditionnel basé sur l’appareilApp-based CA with Device-based CA

Vous pouvez configurer l’accès conditionnel basé sur la conformité des appareils(L’accès conditionnel basé sur la conformité des appareils) dans la console Administrateur Intune ou la console de gestion Azure AD Premium.You can configure Conditional access based on device compliance (Device CA) on the Intune administrator console or the Azure AD Premium management console. L’accès conditionnel basé sur la conformité des appareils oblige les utilisateurs à se connecter à Exchange Online uniquement via les appareils gérés par Intune qui sont compatibles avec la stratégie de conformité des appareils Intune ou des PC joints au domaine.Device CA require users to connect to Exchange Online only through Intune-managed devices that are compliant with the Intune device compliance policy or domain-joined PCs. Si un utilisateur appartient à un ou plusieurs groupes de sécurité ciblés par des stratégies d’accès conditionnel basé à la fois sur les applications et les appareils, l’utilisateur doit remplir l’une des deux conditions suivantes :If a user belongs to one or more security groups that are targeted for both app-based CA and Device CA policies, the user must meet one of the two requirements:

  • L’application utilisée pour accéder au service est une application mobile prise en charge par l’accès conditionnel basé sur les applications.The app used to access the service is a mobile app that is supported by
  • L’appareil sur lequel l’application s’exécute est doté de l’authentificateur iOS (appareils iOS) ou de l’application Portail d’entreprise (appareils Android)., and the device that the app is running on, has iOS Authenticator (for iOS devices), or the Company Portal app (for Android devices) installed.
  • L’appareil utilisé pour accéder au service est géré par Intune et conforme à la stratégie de conformité des appareils Intune ou est un PC joint au domaine.The device used to access the service is Intune-managed and compliant with the Intune device compliance policy, or it is a domain-joined PC. Voici quelques exemples :Here are some examples to help illustrate this:
    • Si un utilisateur tente de se connecter à partir de l’application de messagerie iOS native, il doit se trouver sur un appareil géré et conforme dans la mesure où l’application de messagerie native n’est pas prise en charge par l’accès conditionnel basé sur les applications.If a user tries to connect from the native iOS email app, he or she will be required to be on a managed and compliant device since the native mail app is not supported by app-based CA.
    • Si un utilisateur tente de se connecter à partir d’un PC de bureau Windows, la stratégie d’accès conditionnel basé sur la conformité des appareils s’applique, l’obligeant à utiliser un ordinateur joint au domaine.If a user tries to connect from a Windows home PC, the Device CA policy will apply, requiring that the he or she must use a domain-joined PC.

Étapes suivantesNext steps

Créer une stratégie Exchange Online pour les applications GAMCreate an Exchange Online Policy for MAM apps

Bloquer les applications sans authentification moderneBlock apps that do not have modern authentication

Voir aussiSee also

Protéger les données d’application à l’aide de stratégies de protection des applicationsProtect app data with app protection policies

Pour envoyer vos commentaires sur le produit, consultez Intune Feedback