Forum Aux Questions sur la Gestion des applications mobiles (GAM) et la protection des applicationsFrequently asked questions about MAM and app protection

S’applique à : Intune dans la console classiqueApplies to: Intune in the classic console
Vous recherchez la documentation sur Intune dans Azure ?Looking for documentation about Intune on Azure? Cliquez ici.Go here.

Cet article fournit des réponses à certaines questions fréquemment posées sur la gestion des applications mobiles (MAM) Intune et la protection des applications Intune.This article provides answers to some frequently asked questions on Intune mobile application management (MAM) and Intune app protection.

Notions de base de la MAMMAM Basics

Qu’est-ce-que la MAM ?What is MAM? La gestion des applications mobiles Intune se rapporte à la suite de fonctionnalités de gestion Intune qui vous permettent de publier, d’envoyer des notifications Push, de configurer, de sécuriser, de surveiller et de mettre à jour des applications mobiles pour vos utilisateurs.Intune mobile application management refers to the suite of Intune management features that lets you publish, push, configure, secure, monitor, and update mobile apps for your users.

Quels sont les avantages de la protection des applications MAM ?What are the benefits of MAM app protection? La MAM protège les données d’une organisation au sein d’une application.MAM protects an organization's data within an application. Avec la gestion des applications mobiles MAM sans inscription, une application professionnelle ou scolaire qui contient des données sensibles peuvent être gérées sur pratiquement n’importe quel appareil, notamment les appareils personnels dans les scénarios BYOD (apportez votre propre appareil).With MAM-WE, a work or school-related app that contains sensitive data can be managed on almost any device, including personal devices in bring-your-own-device (BYOD) scenarios. Plusieurs applications de productivité, telles que les applications Microsoft Office, peuvent être gérées par la MAM Intune.Many productivity apps, such as the Microsoft Office apps, are able to be managed by Intune MAM. Consultez la liste officielle des applications compatibles avec Intune accessibles au public.See the official list of Intune-enlightened apps available for public use.

Quelles configurations d’appareil la MAM prend-elle en charge ?What device configurations does MAM support? La MAM Intune prend en charge deux configurations :Intune MAM supports two configurations:

  1. MDM + MAM Intune : c’est la première configuration prise en charge par la MAM à son premier lancement.Intune MDM + MAM: This is the first configuration supported by MAM when it first launched. Les administrateurs informatiques peuvent uniquement gérer des applications à l’aide de la MAM et des stratégies de protection des applications sur des appareils inscrits à la gestion des périphériques mobiles (MDM).IT administrators can only manage apps using MAM and app protection policies on devices that are enrolled with Intune mobile device management (MDM). Pour gérer des applications à l’aide MDM + MAM, les clients doivent utiliser la console Intune autonome à l’adresse https://manage.microsoft.com.To manage apps using MDM + MAM, customers should use the Intune standalone console at https://manage.microsoft.com.

  2. MAM sans inscription d’appareils : la MAM sans inscription d’appareils (ou MAM-WE en anglais), permet aux administrateurs informatiques de gérer des applications à l’aide de la MAM et de stratégies de protection des applications sur les appareils qui ne sont ne pas inscrits à la MDM Intune.MAM without device enrollment: MAM without device enrollment, or MAM-WE, allows IT administrators to manage apps using MAM and app protection policies on devices not enrolled with Intune MDM. Cela signifie que les applications peuvent être gérées par Intune sur des appareils inscrits avec des fournisseurs EMM tiers.This means apps can be managed by Intune on devices enrolled with third-party EMM providers. Pour gérer des applications à l’aide de la MAMsans inscription d’appareils, les clients doivent utiliser la console Intune dans le portail Azure à l’adresse http://portal.azure.com.To manage apps using MAM-WE, customers should use the Intune console in the Azure portal at http://portal.azure.com.

Stratégies de protection des applicationsApp protection policies

Que sont les stratégies de protection des applications ?What are app protection policies? Les stratégies de protection des applications sont des règles qui garantissent que les données d’une organisation sont sécurisées ou restent dans une application managée.App protection policies are rules that ensure an organization's data remains safe or contained in a managed app. Une stratégie peut être une règle qui est appliquée lorsque l’utilisateur tente d’accéder à des données « d’entreprise » ou de les déplacer, ou s’il tente un ensemble d’actions interdites ou surveillées lorsqu’il se trouve dans l’application.A policy can be a rule that is enforced when the user attempts to access or move "corporate" data, or a set of actions that are prohibited or monitored when the user is inside the app.

Des exemples de stratégies de protection des applications sont-ils disponibles ?What are examples of app protection policies? Consultez les paramètres de stratégie de protection des applications Android et les paramètres de stratégie de protection des applications iOS pour plus d’informations sur chaque paramètre de stratégie de protection des applications.See the Android app protection policy settings and iOS app protection policy settings for detailed information on each app protection policy setting.

Applications que vous pouvez gérer avec des stratégies de protection des applicationsApps you can manage with app protection policies

Quelles sont les applications qui peuvent être gérées par des stratégies de protection des applications ?Which apps can be managed by app protection policies? Toute application compatible avec le Kit de développement logiciel (SDK) d’application Intune ou encapsulée par l’outil de création de package de restrictions d’application Intune peut être gérée à l’aide de stratégies de protection des applications Intune.Any app that has been enlightened by the Intune App SDK or wrapped by the Intune App Wrapping Tool can be managed using Intune app protection policies. Consultez la liste officielle des applications compatibles avec Intune accessibles au public.See the official list of Intune-enlightened apps available for public use.

Quelles sont les exigences de base pour l’utilisation de stratégies de protection des applications sur une application compatibles avec Intune ?What are the baseline requirements to use app protection policies on an Intune-enlightened app?

  1. L’utilisateur final doit avoir un compte Azure Active Directory (AAD).The end-user must have an Azure Active Directory (AAD) account. Consultez la page Ajouter des utilisateurs et accorder une autorisation d’administration à Intune pour apprendre à créer des utilisateurs Intune dans Azure Active Directory.See Add users and give administrative permission to Intune to learn how to create Intune users in Azure Active Directory.

  2. L’utilisateur final doit disposer d’une licence pour Microsoft Intune attribuée à son compte Azure Active Directory.The end-user must have a license for Microsoft Intune assigned to their Azure Active Directory account. Consultez la page Gérer les licences Intune pour apprendre à attribuer des licences Intune à des utilisateurs finaux.See Manage Intune licenses to learn how to assign Intune licenses to end-users.

  3. L’utilisateur final doit appartenir à un groupe de sécurité qui est ciblé par une stratégie de protection des applications.The end-user must belong to a security group that is targeted by an app protection policy. La même stratégie de protection des applications doit cibler l’application spécifique utilisée.The same app protection policy must target the specific app being used. Des stratégies de protection des applications peuvent être créées et déployées dans la console Intune dans le portail Azure.App protection policies can be created and deployed in the Intune console in the Azure portal. Des groupes de sécurité peuvent actuellement être créés dans le portail Office.Security groups can currently be created in the Office portal.

  4. L’utilisateur final doit se connecter à l’application à l’aide de son compte AAD.The end-user must sign into the app using his or her AAD account.

Quelles sont les exigences supplémentaires pour utiliser l’application mobile Outlook ?What are the additional requirements to use the Outlook mobile app?

  1. L’utilisateur final doit avoir installé l’application mobile Outlook sur son appareil.The end-user must have the Outlook mobile app installed to their device.

  2. L’utilisateur final doit disposer d’une boîte aux lettres Office 365 Exchange Online et d’une licence associée à son compte Azure Active Directory.The end-user must have an Office 365 Exchange Online mailbox and license linked to their Azure Active Directory account.

    Note

    L’application mobile Outlook prend actuellement en charge uniquement Microsoft Exchange Online et ne prend pas en charge Exchange sur site ou Exchange dédié à Office 365.The Outlook mobile app currently only supports Microsoft Exchange Online and does not support Exchange on-premises or Exchange in Office 365 Dedicated.

Quelles sont les exigences supplémentaires pour utiliser les applications Word, Excel et PowerPoint ?What are the additional requirements to use the Word, Excel, & PowerPoint apps?

  1. L’utilisateur final doit disposer d’une licence pour Office 365 Business ou Entreprise associée à son compte Azure Active Directory.The end-user must have a license for Office 365 Business or Enterprise linked to their Azure Active Directory account. L’abonnement doit inclure les applications Office sur des appareils mobiles et un compte de stockage cloud avec OneDrive Entreprise.The subscription must include the Office apps on mobile devices and a cloud storage account with OneDrive for Business. Des licences Office 365 peuvent être attribuées dans le portail Office en tenant compte des instructions suivantes.Office 365 licenses can be assigned in the Office portal following these instructions.

  2. L’utilisateur final doit avoir installé l’application OneDrive sur son appareil et se connecter avec son compte AAD.The end-user must have the OneDrive app installed to their device and sign in with their AAD account.

  3. L’application OneDrive doit être ciblée par la stratégie de protection des applications déployée pour l’utilisateur final.The OneDrive app must be targeted by the app protection policy deployed to the end-user.

    Note

    Les applications mobiles Office prennent actuellement en charge uniquement SharePoint Online et SharePoint on-premises.The Office mobile apps currently only support SharePoint Online and not SharePoint on-premises.

Pourquoi OneDrive est-il nécessaire pour Office ?Why is OneDrive needed for Office? Intune marque toutes les données de l’application en tant que données « d’entreprise » ou « personnelles ».Intune marks all data in the app as either "corporate" or "personal." Les données sont considérées comme « d’entreprise » lorsqu’elles proviennent d’un emplacement de l’entreprise.Data is considered "corporate" when it originates from a business location. Pour les applications Office, Intune considère les sites d’entreprise suivants : e-mail (Exchange) ou stockage cloud (application OneDrive avec un compte OneDrive Entreprise).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account).

Quelles sont les exigences supplémentaires pour utiliser Skype Entreprise ?What are the additional requirements to use Skype for Business? Voir les conditions requises pour les licences de Skype Entreprise.See Skype for Business license requirements.

Note

L’application mobile Skype Entreprise prend actuellement uniquement en charge Skype Entreprise Online.The Skype for Business mobile app currently only supports Skype for Business Online.

Fonctionnalités de protection des applicationsApp protection features

Qu’est-ce-que la prise en charge de la multi-identité ?What is multi-identity support? La prise en charge de la multi-identité est la capacité pour le Kit de développement logiciel (SDK) d’application Intune d’appliquer des stratégies de protection des applications uniquement au compte professionnel ou scolaire connecté à l’application.Multi-identity support is the ability for the Intune App SDK to only apply app protection policies to the work or school account signed into the app. Si un compte personnel est connecté à l’application, les données restent intactes.If a personal account is signed into the app, the data is untouched.

Quel est l’objectif de la prise en charge de la multi-identité ?What is the purpose of multi-identity support? La prise en charge de la multi-identité permet aux applications dédiées aux entreprises et au grand public (par exemple, les applications Office) d’être publiées publiquement avec des fonctionnalités de protection des applications Intune pour les comptes « d’entreprise ».Multi-identity support allows apps with both "corporate" and consumer audiences (ie. the Office apps) to be released publicly with Intune app protection capabilities for the "corporate" accounts.

Quand l’écran de code PIN apparaît-il ?When does the PIN screen show up? L’écran de code PIN Intune s’affiche uniquement lorsque l’utilisateur tente d’accéder aux données « d’entreprise » dans l’application.The Intune PIN screen only appears when the user is trying to access "corporate" data in the app. Par exemple, dans les applications Word/Excel/PowerPoint, il apparaît lorsque l’utilisateur final tente d’ouvrir un document à partir de OneDrive Entreprise (en supposant que vous avez déployé une stratégie de protection des applications appliquant un code PIN).For example, in the Word/Excel/PowerPoint apps, it would appear when the end-user attempts to open a document from OneDrive for Business (assuming you successfully deployed an app protection policy enforcing PIN).

Qu’en est-il d’Outlook et de la multi-identité ?What about Outlook and multi-identity? Étant donné qu’Outlook a une vue combinée des e-mails personnels et professionnels, l’application Outlook demande le PIN Intune à son lancement.Because Outlook has a combined email view of both personal and "corporate" emails, the Outlook app prompts for the Intune PIN on launch.

Qu’est-ce-que le code PIN d’application Intune ?What is the Intune app PIN? Le PIN (numéro d’identification personnel) est un code secret utilisé pour vérifier que l’utilisateur qui accède aux données de l’organisation dans une application y est autorisé.The Personal Identification Number (PIN) is a passcode used to verify that the correct user is accessing the organization's data in an application.

  1. Quand l’utilisateur est-il invité à entrer son code PIN ?When is the user prompted to enter their PIN? Intune ne demande le PIN de l’utilisateur pour l’application que lorsque ce dernier est sur le point d’accès aux données « d’entreprise ».Intune will only prompt for the user's app PIN when the user is about to access "corporate" data. Dans les applications multi-identité telles que Word/Excel/PowerPoint, l’utilisateur est invité à entrer son code PIN lorsqu’il tente d’ouvrir un fichier ou un document « d’entreprise ».In multi-identity apps such as Word/Excel/PowerPoint, the user is prompted for their PIN when they try to open a "corporate" document or file. Dans les applications à identité unique, telles que les applications métier compatibles grâce à l’outil de création de package de restrictions d’application Intune, le code PIN est demandé au lancement, car le Kit de développement logiciel (SDK) d’application Intune sait que l’expérience utilisateur dans l’application est toujours « d’entreprise ».In single-identity apps, such as line-of-business apps enlightened using the Intune App Wrapping Tool, the PIN is prompted at launch, because the Intune App SDK knows the user's experience in the app is always "corporate."

  2. Le code PIN est-il sécurisé ?Is the PIN secure? Le code PIN sert à autoriser uniquement les utilisateurs adéquats à accéder aux données de leur organisation dans l’application.The PIN serves to allow only the correct user to access their organization's data in the app. Par conséquent, un utilisateur final doit se connecter avec son compte professionnel ou scolaire avant de pouvoir définir ou réinitialiser son PIN d’application Intune.Therefore, an end-user must sign in with their work or school account before they can set or reset their Intune app PIN. Cette authentification est gérée par Active Directory Azure par le biais d’un échange de jeton sécurisé et n’est pas transparente pour le Kit de développement logiciel (SDK) d’application Intune.This authentication is handled by Azure Active Directory via secure token exchange and is not transparent to the Intune App SDK. Du point de vue de la sécurité, la meilleure manière de protéger les données professionnelles ou scolaires consiste à les chiffrer.From a security perspective, the best way to protect work or school data is to encrypt it. Le chiffrement n’est pas lié au code PIN de l’application, mais constitue sa propre stratégie de protection des applications.Encryption is not related to the app PIN, but is its own app protection policy.

  3. Comment Intune protège-t-il le code PIN contre les attaques en force brute ?How does Intune protect the PIN against brute force attacks? Dans le cadre de la stratégie de code PIN d’application, l’administrateur peut définir un nombre maximal de tentatives d’authentification de son code PIN avant le verrouillage de l’application.As part of the app PIN policy, the IT administrator can set the maximum number of times a user can try to authenticate their PIN before locking the app. Une fois que le nombre de tentatives atteint, le Kit de développement logiciel (SDK) d’application Intune peut réinitialiser les données « d’entreprise » dans l’application.After the number of attempts has been met, the Intune App SDK can wipe the "corporate" data in the app.

Qu’en est-il du chiffrement ?What about encryption? Les administrateurs informatiques peuvent déployer une stratégie de protection des applications nécessitant un chiffrement des données d’application.IT administrators can deploy an app protection policy that requires app data to be encrypted. Dans le cadre de la stratégie, l’administrateur informatique peut également spécifier quand le contenu est chiffré.As part of the policy, the IT administrator can also specify when the content is encrypted.

  1. Comment Intune chiffre-t-il des données ?How does Intune encrypt data? Consultez les paramètres de stratégie de protection des applications Android et les paramètres de stratégie de protection des applications iOS pour plus d’informations sur le paramètre de chiffrement de stratégie de protection des applications.See the Android app protection policy settings and iOS app protection policy settings for detailed information on the encryption app protection policy setting.

  2. Quelles sont les données chiffrées ?What gets encrypted? Seules les données marquées comme « d’entreprise » sont chiffrées en fonction de la stratégie de protection des applications de l’administrateur.Only data marked as "corporate" is encrypted according to the IT administrator's app protection policy. Les données sont considérées comme « d’entreprise » lorsqu’elles proviennent d’un emplacement de l’entreprise.Data is considered "corporate" when it originates from a business location. Pour les applications Office, Intune considère les sites d’entreprise suivants : e-mail (Exchange) ou stockage cloud (application OneDrive avec un compte OneDrive Entreprise).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account). Pour les applications métier rendues compatibles par l’outil de création de package de restrictions d’application Intune, toutes les données d’application sont considérées comme « d’entreprise ».For line-of-business apps enlightened by the Intune App Wrapping Tool, all app data is considered "corporate."

Comment Intune réinitialise-t-il des données à distance ?How does Intune remotely wipe data? Intune peut effacer des données d’application de trois manières différentes : réinitialisation complète de l’appareil, réinitialisation sélective pour la gestion des appareils mobiles et réinitialisation sélective pour la gestion des applications mobiles.Intune can wipe app data in three different ways: full device wipe, selective wipe for MDM, and MAM selective wipe. Pour plus d’informations sur la réinitialisation à distance pour la gestion des appareils mobiles, consultez Protégez vos données avec la réinitialisation complète ou sélective à l’aide de Microsoft Intune.For more information about remote wipe for MDM, see Help protect your data with full or selective wipe using Microsoft Intune. Pour plus d’informations sur la réinitialisation sélective à l’aide de la gestion des applications mobiles, consultez Réinitialiser les données d’applications d’entreprise managées avec Microsoft IntuneFor more information about selective wipe using MAM, see Wipe managed company app data with Microsoft Intune

  1. Qu’est-ce-que la réinitialisation complète ?What is full wipe? La réinitialisation complète supprime toutes les données et paramètres utilisateur de l’appareil en restaurant les paramètres d’usine par défaut de l’appareil.Full wipe removes all user data and settings from the device by restoring the device to its factory default settings. L’appareil est supprimé d’Intune.The device is removed from Intune.

    Note

    La réinitialisation complète est possible uniquement sur les appareils inscrits dans la gestion des périphériques mobiles (GPM).Full wipe can only be achieved on devices enrolled with Intune mobile device management (MDM).

  2. Qu’est-ce que la réinitialisation sélective pour la gestion des appareils mobiles ?What is selective wipe for MDM? Consultez la rubrique Protégez vos données avec la réinitialisation complète ou sélective à l’aide de Microsoft Intune pour en savoir plus sur la réinitialisation sélective.See Help protect your data with full or selective wipe using Microsoft Intune to read about selective wipe.

  3. Qu’est-ce que la réinitialisation sélective pour la gestion des applications mobiles ?What is selective wipe for MAM? La réinitialisation sélective pour la gestion des applications mobiles supprime simplement les données d’applications d’entreprise à partir d’une application.Selective wipe for MAM simply removes company app data from an app. La requête est lancée à l’aide du portail Intune Azure.The request is initiated using the Intune Azure portal. Pour savoir comment lancer une requête de réinitialisation, consultez Réinitialiser les données d’applications d’entreprise managées avec Microsoft IntuneTo learn how to initiate a wipe request, see Wipe managed company app data with Microsoft Intune

  4. Quelle est la vitesse de la réinitialisation sélective pour la gestion des applications mobiles ?How quickly does selective wipe for MAM happen? Si l’utilisateur utilise l’application lorsque la réinitialisation sélective est lancée, le Kit de développement logiciel (SDK) d’application Intune contrôle toutes les 30 minutes la présence d’une requête de réinitialisation sélective du service de GAM Intune.If the user is using the app when selective wipe is initiated, the Intune App SDK checks every 30 minutes for a selective wipe request from the Intune MAM service. Il vérifie également la présence d’une réinitialisation sélective lorsque l’utilisateur lance l’application pour la première fois et se connecte avec son compte professionnel ou scolaire.It also checks for selective wipe when the user launches the app for the first time and signs in with their work or school account.

Pourquoi les services locaux (on-prem) ne fonctionnent-ils pas avec des applications protégées par Intune ?Why don't On-Premises (on-prem) services work with Intune protected apps? La protection d’applications Intune dépend de la cohérence de l’identité de l’utilisateur entre l’application et le Kit de développement logiciel (SDK) d’application Intune.Intune app protection depends on the identity of the user to be consistent between the application and the Intune App SDK. L’authentification moderne est la seule manière de la garantir.The only way to guarantee that is through modern authentication. Il existe des scénarios dans lesquels les applications peuvent fonctionner avec une configuration locale. Mais elles ne sont ni cohérentes, ni garanties.There are scenarios in which apps may work with an on-prem configuration, but they are neither consistent nor guaranteed.

Existe-t-il un moyen sécurisé d’ouvrir des liens web depuis des applications gérées ?Is there a secure way to open web links from managed apps? Oui !Yes! L’administrateur informatique peut déployer et définir la stratégie de protection des applications pour l’application Intune Managed Browser, un navigateur web développé par Microsoft Intune qui peut être géré facilement avec Intune.The IT administrator can deploy and set app protection policy for the Intune Managed Browser app, a web browser developed by Microsoft Intune that can be managed easily with Intune. L’administrateur informatique peut exiger que tous les liens web dans les applications compatibles avec Intune soient ouverts à l’aide de l’application Managed Browser.The IT administrator can require all web links in Intune-enlightened apps to be opened using the Managed Browser app.

Expérience d'application sur AndroidApp experience on Android

Pourquoi l’application Portail d’entreprise est-elle nécessaire pour que la protection des applications Intune fonctionne sur des appareils Android ?Why is the Company Portal app needed for Intune app protection to work on Android devices? La plupart des fonctionnalités de protection des applications sont intégrées à l’application Portail d’entreprise.Much of app protection functionality is built into the Company Portal app. L’inscription d’appareil n’est pas obligatoire, même si l’application Portail d’entreprise est toujours nécessaire.Device enrollment is not required even though the Company Portal app is always required. Pour la gestion des applications mobiles MAM sans inscription, l’utilisateur final doit simplement disposer de l’application Portail d’entreprise installée sur l’appareil.For MAM-WE, the end-user just needs to have the Company Portal app installed on the device.

Expérience d'application sur iOSApp experience on iOS

Je suis en mesure d’utiliser l’extension de partage iOS pour ouvrir des données professionnelles ou scolaires dans des applications non gérées, même si la stratégie de transfert de données est définie sur les « applications gérées uniquement » ou sur « Aucune application ». Cela ne provoque-t-il pas de fuite de données ?I am able to use the iOS share extension to open work or school data in unmanaged apps, even with the data transfer policy set to "managed apps only" or "no apps." Doesn't this leak data? La stratégie de protection des applications Intune ne peut pas contrôler l’extension de partage iOS sans gérer l’appareil.Intune app protection policy cannot control the iOS share extension without managing the device. Par conséquent, Intune chiffre les données « d’entreprise » avant de les partager à l’extérieur de l’application.Therefore, Intune encrypts "corporate" data before it is shared outside the app. Vous pouvez valider cette action en essayant d’ouvrir le fichier « d’entreprise » en dehors de l’application gérée.You can validate this by attempting to open the "corporate" file outside of the managed app. Le fichier doit être chiffré et ne peut pas être ouvert en dehors de l’application gérée.The file should be encrypted and unable to be opened outside the managed app.

Voir aussiSee also

Pour envoyer vos commentaires sur le produit, consultez Intune Feedback