Ajouter une stratégie de conformité des appareils pour les appareils Android dans IntuneAdd a device compliance policy for Android devices in Intune

Une stratégie de conformité de l’appareil Intune pour Android spécifie les règles et les paramètres que les appareils Android doivent satisfaire pour être considérés comme conformes.An Intune device compliance policy for Android specifies the rules and settings that Android devices must meet to be considered compliant. Vous pouvez utiliser ces stratégies avec un accès conditionnel pour autoriser ou bloquer l’accès aux ressources de l’organisation.You can use these policies with conditional access to allow or block access to organiational resources. Vous pouvez également obtenir des rapports sur les appareils et prendre des mesures en cas de non-conformité.You can also get device reports and take actions for non-compliance.

Pour en savoir plus sur les stratégies de conformité et sur les prérequis, consultez Bien démarrer avec la conformité des appareils.To learn more about compliance policies, and any prerequisites, see Get started with device compliance.

Cette rubrique liste les paramètres que vous pouvez utiliser dans une stratégie de conformité pour les appareils Android.This topic lists the settings you can use within a compliance policy for Android devices.

Non-conformité et accès conditionnelNon-compliance and conditional access

La table suivante décrit la façon dont les paramètres non conformes sont gérés quand une stratégie de conformité est utilisée avec une stratégie d’accès conditionnel.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Paramètre de stratégiePolicy setting Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieuresAndroid 4.0 and later, Samsung Knox Standard 4.0 and later
Configuration d’un code confidentiel ou mot de passePIN or password configuration En quarantaineQuarantined
Chiffrement de l’appareilDevice encryption En quarantaineQuarantined
Appareil jailbroken ou rootéJailbroken or rooted device En quarantaine (pas un paramètre)Quarantined (not a setting)
profil de messagerieemail profile Non applicableNot applicable
Version minimale du système d’exploitationMinimum OS version En quarantaineQuarantined
Version maximale du système d’exploitationMaximum OS version En quarantaineQuarantined
Attestation de l’intégrité WindowsWindows health attestation Non applicableNot applicable

Corrigé : le système d’exploitation de l’appareil applique la conformité.Remediated = The device operating system enforces compliance. Par exemple, l’utilisateur est obligé de définir un code PIN.For example, the user is forced to set a PIN.

En quarantaine : le système d’exploitation de l’appareil n’applique pas la conformité.Quarantined = The device operating system doesn't enforce compliance. Par exemple, les appareils Android ne forcent pas l’utilisateur à chiffrer l’appareil.For example, Android devices don't force the user to encrypt the device. Quand l’appareil n’est pas conforme, les actions suivantes se produisent :When the device is not compliant, the following actions take place:

  • L’appareil est bloqué si une stratégie d’accès conditionnel s’applique à l’utilisateur.The device is blocked if a conditional access policy applies to the user.
  • Le portail d’entreprise informe l’utilisateur des problèmes de conformité.The company portal notifies the user about any compliance problems.

Créer une stratégie de conformité des appareilsCreate a device compliance policy

  1. Dans le Portail Azure, sélectionnez Tous les services, filtrez sur Intune, puis sélectionnez Microsoft Intune.In the Azure portal, select All services, filter on Intune, and select Microsoft Intune.
  2. Sélectionnez Conformité de l’appareil > Stratégies > Créer une stratégie.Select Device compliance > Policies > Create Policy.
  3. Entrez un Nom et une Description.Enter a Name and Description.
  1. Pour l’option Plateforme, sélectionnez Android.For Platform, select Android.
  2. ChoisissezParamètres Configurer.Choose Settings Configure. Entrez les paramètres nécessaires pour les options Intégrité de l’appareil, Propriétés de l’appareil et Sécurité du système, comme décrit dans cet article.Enter the Device Health, Device Properties, and System Security settings, as described in this article.

Device healthDevice health

  • Appareils rootés : choisissez Bloquer pour marquer les appareils rootés (jailbreakés) comme étant non conformes.Rooted devices: Choose Block to mark rooted (jailbroken) devices as not compliant. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Exiger que l’appareil se situe au niveau de menace d’appareil ou en dessous : utilisez ce paramètre pour considérer l’évaluation des risques de la solution Lookout MTP comme une condition de conformité.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance. Pour utiliser ce paramètre, choisissez le niveau de menace autorisé :To use this setting, choose the allowed threat level:

    • Sécurisé : cette option est la plus sécurisée, car l’appareil ne doit présenter aucune menace.Secured: This option is the most secure, as the device can't have any threats. Si le moindre niveau de menace est détecté sur l’appareil, celui-ci est considéré comme non conforme.If the device is detected with any level of threats, it's evaluated as noncompliant.
    • Faible : l’appareil est évalué comme conforme uniquement si les menaces détectées sont de niveau faible.Low: The device is evaluated as compliant if only low-level threats are present. La présence de menaces de niveau supérieur rend l’appareil non conforme.Anything higher puts the device in a noncompliant status.
    • Moyen : l’appareil est jugé conforme si les menaces présentes sur celui-ci sont de niveau faible ou moyen.Medium: The device is evaluated as compliant if existing threats on the device are low or medium level. Si des menaces de niveau élevé sont détectées sur l’appareil, celui-ci est considéré comme non conforme.If the device is detected to have high-level threats, it's determined to be noncompliant.
    • Élevé : cette option est la moins sécurisée, elle autorise tous les niveaux de menace.High: This option is the least secure, and allows all threat levels. Elle peut s’avérer utile si vous utilisez cette solution uniquement à des fins de création de rapports.It may be useful if you're using this solution only for reporting purposes.
  • Google Play Services est configuré : l’application Google Play Services doit être impérativement installée et activée.Google Play Services is configured: Require that the Google Play services app is installed and enabled. Google Play Services autorise les mises à jour de sécurité et constitue une dépendance de niveau de base pour de nombreuses fonctionnalités de sécurité sur les appareils Google certifiés.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Fournisseur de sécurité à jour : un fournisseur de sécurité à jour doit protéger l’appareil contre les vulnérabilités connues.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities. Quand vous choisissez Non configuré (option par défaut), ce paramètre n’est pas évalué pour déterminer la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Analyse des menaces sur les applications : la fonctionnalité Android Vérifier les applications doit être impérativement activée.Threat scan on apps: Require that the Android Verify Apps feature is enabled. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

    Notes

    Sur la plateforme Android héritée, cette fonctionnalité constitue un paramètre de conformité.On the legacy Android platform, this feature is a compliance setting. Intune ne peut que vérifier si ce paramètre est activé au niveau de l’appareil.Intune can only check whether this setting is enabled at the device level.

  • Attestation d’appareil SafetyNet : entrez le niveau d’attestation SafetyNet à respecter.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. Les options disponibles sont les suivantes :Your options:

    • Non configuré (par défaut) : le paramètre n’est pas évalué pour la conformité ou la non-conformité.Not configured (default): Setting isn't evaluated for compliance or non-compliance.
    • Vérifier l’intégrité de baseCheck basic integrity
    • Vérifier l’intégrité de base et les appareils certifiésCheck basic integrity & certified devices

Paramètres de propriétés d’appareilsDevice property settings

  • Version minimale du système d’exploitation : quand un appareil ne répond pas aux exigences minimales relatives à la version du système d’exploitation, il est signalé comme non conforme.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Un lien avec des informations sur la mise à niveau s’affiche.A link with information about how to upgrade is shown. L’utilisateur final peut choisir de mettre à niveau son appareil pour pouvoir accéder aux ressources de l’entreprise.The end user can choose to upgrade their device, and then get access to company resources.
  • Version maximale du système d’exploitation : quand un appareil utilise une version du système d’exploitation postérieure à la version spécifiée dans la règle, l’accès aux ressources de l’entreprise est bloqué.Maximum OS version: When a device is using an OS version later than the version specified in the rule, access to company resources is blocked. L’utilisateur est invité à contacter son administrateur informatique. Tant que la règle autorisant la version du système d’exploitation reste inchangée, cet appareil ne peut pas accéder aux ressources de l’entreprise.The user is asked to contact their IT admin. Until a rule is changed to allow the OS version, this device can't access company resources.

Paramètres de sécurité systèmeSystem security settings

Mot de passePassword

  • Exiger un mot de passe pour déverrouiller les appareils mobiles : permet d’obliger les utilisateurs à entrer un mot de passe pour pouvoir accéder à leur appareil.Require a password to unlock mobile devices: Require users to enter a password before they can access their device. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Longueur minimale du mot de passe : entrez le nombre minimal de chiffres ou de caractères du mot de passe de l’utilisateur.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.

  • Type de mot de passe obligatoire : choisissez si un mot de passe doit inclure uniquement des caractères numériques, ou s’il doit comporter un mélange de caractères numériques et d’autres caractères.Required password type: Choose if a password should include only numeric characters, or a mix of numerals and other characters. Les options disponibles sont les suivantes :Your options:

    • Paramètre par défaut de l’appareilDevice Default
    • Sécurité biométrique faibleLow security biometric
    • Au moins numérique (par défaut)At least numeric (default)
    • Chiffres complexes : les chiffres répétés ou consécutifs, comme 1111 ou 1234, ne sont pas autorisés.Numeric complex: Repeated or consecutive numerals, such as 1111 or 1234, aren't allowed.
    • Au moins alphabétiqueAt least alphabetic
    • Au moins alphanumériqueAt least alphanumeric
    • Au moins alphanumérique avec des symbolesAt least alphanumeric with symbols
  • Nombre maximal de minutes d’inactivité avant demande du mot de passe : entrez la durée d’inactivité après laquelle l’utilisateur doit rentrer son mot de passe.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Expiration du mot de passe (jours)  : sélectionnez le nombre de jours avant que le mot de passe n’expire et que l’utilisateur ne doive en créer un autre.Password expiration (days): Select the number of days before the password expires and the user must create a new password.

  • Nombre de mots de passe précédents avant d’autoriser leur réutilisation : entrez le nombre de mots de passe récents qui ne peuvent pas être réutilisés.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Utilisez ce paramètre pour empêcher l’utilisateur de créer des mots de passe déjà utilisés.Use this setting to restrict the user from creating previously used passwords.

ChiffrementEncryption

  • Chiffrement du stockage de données sur l’appareil (Android 4.0 et versions ultérieures ou KNOX 4.0 et versions ultérieures) : choisissez Exiger pour chiffrer le stockage des données sur vos appareils.Encryption of data storage on a device (Android 4.0 and above, or KNOX 4.0 and above): Choose Require to encrypt data storage on your devices. Les appareils sont chiffrés quand vous choisissez le paramètre Exiger un mot de passe pour déverrouiller les appareils mobiles.Devices are encrypted when you choose the Require a password to unlock mobile devices setting. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

Sécurité du périphériqueDevice Security

  • Bloquer les applications provenant de sources inconnues : choisissez de bloquer les appareils où « Sécurité > Sources inconnues » est activé (pris en charge par Android 4.0 - Android 7.x ; non pris en charge par Android 8.0 et les versions ultérieures).Block apps from unknown sources: Choose to block devices with "Security > Unknown Sources" enabled sources (supported on Android 4.0 – Android 7.x; not supported by Android 8.0 and later). Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

    Pour effectuer un chargement indépendant des applications, vous devez autoriser les sources inconnues.To side-load apps, unknown sources must be allowed. Si vous n’effectuez pas de chargement indépendant des applications Android, configurez la fonctionnalité sur Bloquer pour activer cette stratégie de conformité.If you're not side-loading Android apps, then set this feature to Block to enable this compliance policy.

    Important

    Pour permettre le chargement indépendant des applications, le paramètre Bloquer les applications provenant de sources inconnues doit être activé.Side-loading applications require that the Block apps from unknown sources setting is enabled. Appliquez cette stratégie de conformité uniquement si vous n’effectuez aucun chargement indépendant d’applications Android sur les appareils.Enforce this compliance policy only if you're not side-loading Android apps on devices.

  • Intégrité du runtime de l’application Portail d’entreprise : choisissez Exiger pour vérifier que l’application Portail d’entreprise remplit toutes les conditions suivantes :Company portal app runtime integrity: Choose Require to confirm the Company Portal app meets all the following requirements:

    • Comporte l’installation de l’environnement d’exécution par défautHas the default runtime environment installed
    • Est signée correctementIs properly signed
    • N’est pas en mode de débogageIsn't in debug-mode
    • Est installée à partir d’une source connueIs installed from a known source

    Quand vous choisissez Non configuré (option par défaut), ce paramètre n’est pas évalué pour déterminer la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Bloquer le débogage USB sur l’appareil (Android 4.2 ou version ultérieure) : choisissez Bloquer pour empêcher les appareils d’utiliser la fonctionnalité de débogage USB.Block USB debugging on device (Android 4.2 or later): Choose Block to prevent devices from using the USB debugging feature. Quand vous choisissez Non configuré (par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.When you choose Not configured (default), this setting isn't evaluated for compliance or non-compliance.

  • Niveau minimal du correctif de sécurité (Android 6.0 ou version ultérieure) : sélectionnez le niveau le plus ancien possible pour le correctif de sécurité d’un appareil.Minimum security patch level (Android 6.0 or later): Select the oldest security patch level a device can have. Les appareils qui ne sont pas au moins à ce niveau de correctif sont non conformes.Devices that aren't at least at this patch level are noncompliant. Vous devez entrer la date au format YYYY-MM-DD.The date must be entered in the YYYY-MM-DD format.

  • Applications restreintes : entrez le Nom de l’application et l’ID d’ensemble d’applications des applications à restreindre.Restricted apps: Enter the App name and App bundle ID for apps that should be restricted. Choisissez Ajouter.Choose Add. Un appareil doté d’au moins une application limitée est marqué comme non conforme.A device with at least one restricted app installed is marked as non-compliant.

Une fois que vous avez terminé, sélectionnez OK > OK pour enregistrer vos changements.When done, select OK > OK to save your changes.

EmplacementsLocations

Dans votre stratégie, faites votre choix parmi les emplacements existants.In your policy, choose from existing locations. Vous n’avez pas encore d’emplacement ?Don't have a location yet? L’article Utiliser des emplacements (délimitation du réseau) dans Intune fournit quelques conseils.Use Locations (network fence) in Intune provides some guidance.

  1. Choisir Emplacements.Choose Locations.
  2. Dans la liste, vérifiez votre emplacement, puis choisissez Sélectionner.From the list, check your location, and choose Select.
  3. Enregistrez la stratégie.Save the policy.

Actions en cas de non-conformitéActions for noncompliance

Sélectionnez Actions en cas de non-conformité.Select Actions for noncompliance. L’action par défaut marque immédiatement l’appareil comme étant non conforme.The default action marks the device as noncompliant immediately.

Vous pouvez changer la planification quand l’appareil est marqué comme non conforme, par exemple après un jour.You can change the schedule when the device is marked non-compliant, such as after one day. Vous pouvez également configurer une deuxième action qui envoie un e-mail à l’utilisateur quand l’appareil n’est pas conforme.You can also configure a second action that sends an email to the user when the device isn't compliant.

L’article Ajouter des actions pour les appareils non conformes fournit plus d’informations, notamment sur la création d’un e-mail de notification pour vos utilisateurs.Add actions for noncompliant devices provides more information, including creating a notification email to your users.

Par exemple, vous utilisez la fonctionnalité Emplacements et ajoutez un emplacement à une stratégie de conformité.For example, you're using the Locations feature, and add a location in a compliance policy. L’action par défaut en cas de non-conformité s’applique quand vous sélectionnez au moins un emplacement.The default action for noncompliance applies when you select at least one location. Si l’appareil n’est pas connecté aux emplacements sélectionnés, il est immédiatement considéré comme non conforme.If the device isn't connected to the selected locations, it's immediately considered not compliant. Vous pouvez accorder aux utilisateurs une période de grâce, par exemple un jour.You can give your users a grace period, such as one day.

Balises d'étendueScope tags

Les étiquettes de délimitation sont un excellent moyen d’affecter des stratégies à des groupes spécifiques, par exemple Ventes, Ingénierie, Ressources humaines, etc.Scope tags are a great way to assign policies to specific groups, such as Sales, Engineering, HR, and so on. Vous pouvez ajouter des étiquettes de délimitation aux stratégies de conformité.You can add a scope tags to compliance policies. Consultez Utiliser des étiquettes de délimitation pour filtrer les stratégies.See Use scope tags to filter policies.

Affectation de groupes d’utilisateursAssign user groups

Une fois qu’une stratégie est créée, elle ne fait rien tant que vous ne l’avez pas affectée.Once a policy is created, it's not doing anything until you assign the policy. Pour affecter la stratégie :To assign the policy:

  1. Choisissez une stratégie que vous avez configurée.Choose a policy that you've configured. Les stratégies existantes se trouvent dans Conformité de l’appareil > Stratégies.Existing policies are in Device compliance > Policies.
  2. Choisissez la stratégie, puis Affectations.Choose the policy, and choose Assignments. Vous pouvez inclure ou exclure des groupes de sécurité Azure AD (Azure Active Directory).You can include or exclude Azure Active Directory (AD) security groups.
  3. Choisissez Groupes sélectionnés pour voir vos groupes de sécurité Azure AD.Choose Selected groups to see your Azure AD security groups. Sélectionnez les groupes d’utilisateurs auxquels vous souhaitez appliquer cette stratégie, puis choisissez Enregistrer pour déployer la stratégie auprès des utilisateurs.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Vous avez appliqué la stratégie aux utilisateurs.You've applied the policy to users. La conformité des appareils utilisés par les utilisateurs ciblés par la stratégie est évaluée.The devices used by the users targeted by the policy are evaluated for compliance.

Étapes suivantesNext steps

Automatiser l’envoi d’un e-mail et ajouter des actions pour les appareils non conformesAutomate email and add actions for noncompliant devices
Surveiller les stratégies de conformité d’appareils IntuneMonitor Intune Device compliance policies
Paramètres de stratégie de conformité pour Android EntrepriseCompliance policy settings for Android Enterprise