Guide pratique de gestion et affectation des stratégies de protection des applications

Découvrez comment créer et affecter des stratégies de protection d’applications Microsoft Intune pour les utilisateurs de votre organisation. Cette rubrique décrit également comment modifier des stratégies existantes.

Avant de commencer

Vous pouvez appliquer les stratégies de protection des applications aux applications qui s’exécutent sur des appareils gérés ou non par Intune. Pour obtenir une description plus détaillée du fonctionnement des stratégies de protection des applications, ainsi que les scénarios pris en charge par des stratégies de protection des applications Intune, consultez Vue d’ensemble des stratégies de protection des applications.

Les choix disponibles dans les stratégies de protection des applications (APP) permettent aux organisations de personnaliser la protection en fonction de leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.

Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

  • La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
  • La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
  • La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Si vous recherchez une liste des applications qui ont intégré le SDK Intune, consultez Applications protégées par Microsoft Intune.

Pour plus d’informations sur l’ajout d’applications métier professionnelles à Microsoft Intune dans le but de préparer des stratégies de protection d’applications, voir Ajouter des applications à Microsoft Intune.

Stratégies de protection d’applications pour les applications iOS/iPadOS et Android

Lorsque vous créez une stratégie de protection d’applications pour les applications iOS/iPadOS et Android, vous suivez un flux de processus Intune moderne qui génère une nouvelle stratégie de protection d’applications. Pour plus d’informations sur la création de stratégies de protection des applications pour des applications Windows, consultez Créer et déployer une stratégie Protection des informations Windows (WIP) avec Intune.

Créer une stratégie de protection d’applications pour les applications iOS/iPadOS ou Android

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.

  2. Sélectionnez Applications > Stratégies de protection des applications. Cette sélection ouvre les informations des Stratégies de protection des applications, où vous pouvez créer des stratégies et modifier les stratégies existantes.

  3. Sélectionnez Créer une stratégie et sélectionnez iOS/iPadOS ou Android. Le volet Créer une stratégie s’affiche.

  4. Dans la page De base, ajoutez les valeurs suivantes :

    Valeur Description
    Nom Nom de cette stratégie de protection d’applications.
    Description [Facultatif] Description de cette stratégie de protection d’applications.

    La valeur de Plateforme est définie en fonction de votre choix ci-dessus.

    Capture d’écran de la page De base du volet Créer une stratégie

  5. Cliquez sur Suivant pour afficher la page Applications.
    La page Applications vous permet de choisir la façon dont vous souhaitez appliquer cette stratégie aux applications sur différents appareils. Vous devez ajouter au moins une application.

    Valeur/Option Description
    Cibler sur les applications figurant sur tous les types d’appareils Utilisez cette option pour cibler votre stratégie sur les applications figurant sur des appareils présentant un état de gestion quelconque. Choisissez Non pour cibler des applications sur des types d’appareils spécifiques. Pour plus d’informations, consultez Cibler les stratégies de protection d’applications en fonction de l’état de la gestion des périphériques.
    Types d’appareils Utilisez cette option pour indiquer si cette stratégie s’applique aux appareils gérés par MDM ou aux appareils non gérés. Dans le cas des stratégies de protection d’applications iOS/iPadOS, sélectionnez Appareils non gérés ou Appareils gérés. Pour les stratégies de protection des applications Android, sélectionnez Appareils non gérés, Administrateur d’appareil Android et Android Entreprise.
    Applications publiques Cliquez sur Sélectionner des applications publiques pour choisir les applications à cibler.
    Applications personnalisées Cliquez sur Sélectionner des applications personnalisées pour sélectionner les applications personnalisées à cibler en fonction d’un ID d’offre groupée.

    La ou les applications que vous avez sélectionnées s’affichent dans la liste des applications publiques et personnalisées.

  6. Cliquez sur Suivant pour afficher la page Protection des données.
    Cette page fournit des paramètres pour les contrôles de protection contre la perte de données (DLP), dont notamment les restrictions d’opérations Couper, Copier, Coller et Enregistrer sous. Ces paramètres déterminent la manière dont les utilisateurs interagissent avec les données dans les applications auxquelles cette stratégie de protection d’applications s’applique.

    Paramètres de protection des données :

  7. Cliquez sur Suivant pour afficher la page Conditions d’accès.
    Cette page fournit des paramètres qui vous permettent de configurer les exigences en matière de code confidentiel et d’informations d’identification que les utilisateurs doivent remplir pour accéder aux applications dans un contexte professionnel.

    Paramètres des conditions d’accès :

  8. Cliquez sur Suivant pour afficher la page Lancement conditionnel.
    Cette page fournit des paramètres permettant de définir les exigences de sécurité de connexion pour votre stratégie de protection d’applications. Sélectionnez un Paramètre et entrez la Valeur que les utilisateurs doivent satisfaire pour se connecter à votre application d’entreprise. Ensuite, sélectionnez l’action à effectuer si les utilisateurs ne satisfont pas vos exigences. Dans certains cas, vous pouvez configurer plusieurs actions pour un même paramètre.

    Paramètres de lancement conditionnel :

  9. Cliquez sur Suivant pour afficher la page Affectations.
    La page Attributions vous permet d’attribuer la stratégie de protection des applications à des groupes d’utilisateurs. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet.

  10. Cliquez sur Suivant : Vérifier + créer pour vérifier les valeurs et les paramètres que vous avez entrés pour cette stratégie de protection des applications.

  11. Après avoir terminé, cliquez sur Créer pour créer la stratégie de protection des applications dans Intune.

    Conseil

    Ces paramètres de stratégie sont appliqués uniquement quand vous utilisez des applications dans le contexte de travail. Quand l’utilisateur final utilise l’application pour effectuer une tâche personnelle, il n’est pas affecté par ces stratégies. Notez que quand vous créez un fichier, ce dernier est considéré comme étant un fichier personnel.

    Important

    Les stratégies de protection des applications peuvent prendre du temps pour s’appliquer à des appareils existants. Les utilisateurs finaux verront une notification sur l’appareil lors de l’application de la stratégie de protection des applications. Appliquez vos stratégies de protection des applications aux appareils avant d’appliquer les règles d’accès conditionnel.

Les utilisateurs finaux peuvent télécharger les applications à partir de l’App Store ou de Google Play. Pour plus d'informations, voir :

Modifier des stratégies existantes

Vous pouvez modifier une stratégie existante et l’appliquer aux utilisateurs ciblés. Toutefois, quand vous changez des stratégies existantes, les utilisateurs déjà connectés aux applications ne voient pas ces changements pendant une période de huit heures.

Pour voir immédiatement l’effet des changements, l’utilisateur final doit se déconnecter de l’application, puis se reconnecter.

Pour modifier la liste des applications associées à la stratégie

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie à changer.

  2. Dans le volet Intune App Protection, sélectionnez Propriétés.

  3. En regard de la section intitulée Applications, sélectionnez Modifier.

  4. La page Applications vous permet de choisir la façon dont vous souhaitez appliquer cette stratégie aux applications sur différents appareils. Vous devez ajouter au moins une application.

    Valeur/Option Description
    Cibler sur les applications figurant sur tous les types d’appareils Utilisez cette option pour cibler votre stratégie sur les applications figurant sur des appareils présentant un état de gestion quelconque. Choisissez Non pour cibler des applications sur des types d’appareils spécifiques. Une configuration d’application supplémentaire peut être nécessaire pour ce paramètre. Pour plus d’informations, consultez Cibler des stratégies de protection des applications en fonction de l’état de gestion des appareils.
    Types d’appareils Utilisez cette option pour indiquer si cette stratégie s’applique aux appareils gérés par MDM ou aux appareils non gérés. Dans le cas des stratégies de protection d’applications iOS/iPadOS, sélectionnez Appareils non gérés ou Appareils gérés. Pour les stratégies de protection des applications Android, sélectionnez Appareils non gérés, Administrateur d’appareil Android et Android Entreprise.
    Applications publiques Cliquez sur Sélectionner des applications publiques pour choisir les applications à cibler.
    Applications personnalisées Cliquez sur Sélectionner des applications personnalisées pour sélectionner les applications personnalisées à cibler en fonction d’un ID d’offre groupée.

    La ou les applications que vous avez sélectionnées s’affichent dans la liste des applications publiques et personnalisées.

  5. Cliquez sur Vérifier + créer pour passer en revue les applications sélectionnées pour cette stratégie.

  6. Lorsque vous avez terminé, cliquez sur Enregistrer pour mettre à jour la stratégie de protection des applications.

Pour modifier la liste des groupes d’utilisateurs

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie à changer.

  2. Dans le volet Intune App Protection, sélectionnez Propriétés.

  3. En regard de la section intitulée Attributions, sélectionnez Modifier.

  4. Pour ajouter un nouveau groupe d’utilisateurs à la stratégie, sous l’onglet Inclure, choisissez Sélectionner les groupes à inclure, puis sélectionnez le groupe d’utilisateurs. Choisissez Sélectionner pour ajouter le groupe.

  5. Pour exclure un groupe d’utilisateurs, sous l’onglet Exclure, choisissez Sélectionner les groupes à exclure, puis sélectionnez le groupe d’utilisateurs. Choisissez Sélectionner pour supprimer le groupe d’utilisateurs.

  6. Pour supprimer des groupes qui ont été ajoutés précédemment, dans l’onglet Inclure ou l’onglet Exclure, sélectionnez les points de suspension (...) et sélectionnez Supprimer.

  7. Cliquez sur Vérifier + créer pour passer en revue les groupes d’utilisateurs sélectionnés pour cette stratégie.

  8. Une fois vos modifications aux affectations prêtes, sélectionnez Enregistrer pour enregistrer la configuration et déployer la stratégie vers le nouvel ensemble d’utilisateurs. Si vous sélectionnez Annuler avant d’enregistrer votre configuration, vous abandonnez toutes les modifications apportées aux onglets Inclure et Exclure.

Pour modifier les paramètres d’une stratégie

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie à changer.

  2. Dans le volet Intune App Protection, sélectionnez Propriétés.

  3. En regard de la section correspondant aux paramètres que vous souhaitez modifier, sélectionnez Modifier. Affectez ensuite de nouvelles paramètres aux paramètres.

  4. Cliquez sur Vérifier + créer pour passer en revue les paramètres mis à jour pour cette stratégie.

  5. Sélectionnez Enregistrer pour enregistrer vos changements. Répétez le processus pour sélectionner une zone de paramètres, la modifier, puis enregistrer vos changements, jusqu’à ce que vous ayez effectué tous les changements nécessaires. Vous pouvez ensuite fermer le volet Protection d’application Intune - Propriétés.

Cibler les stratégies de protection d’application en fonction de l’état de la gestion des appareils

Dans de nombreuses organisations, il est courant d’autoriser les utilisateurs finaux à se servir à la fois d’appareils gérés par Intune MDM (Mobile Device Management), par exemple les appareils d’entreprise, et d’appareils non gérés, protégés uniquement à l’aide des stratégies de protection des applications Intune. Les appareils non gérés sont souvent appelés appareils BYOD (Apportez votre propre appareil).

Dans la mesure où les stratégies de protection des applications Intune ciblent l’identité d’un utilisateur, les paramètres de protection d’un utilisateur peuvent s’appliquer à la fois aux appareils inscrits (gérés par MDM) et aux appareils non inscrits (non gérés par MDM). Ainsi, vous pouvez cibler une stratégie Intune App Protection sur des appareils iOS/iPadOS et Android inscrits ou non auprès d’Intune. Vous pouvez avoir une stratégie de protection pour les appareils non gérés dans laquelle des contrôles de protection contre la perte de données (DLP) stricts sont en place, et une stratégie de protection distincte pour les appareils gérés par MDM, où les contrôles DLP peuvent être un peu plus souples. Pour plus d’informations sur le fonctionnement de cette stratégie sur les appareils personnels Android Entreprise, consultez Stratégies de protection des applications et profils professionnels.

Pour créer ces stratégies, accédez à Applications > Stratégies de protection des applications dans la console Intune, puis sélectionnez Créer une stratégie. Vous pouvez également modifier une stratégie de protection d’application existante. Pour que la stratégie de protection des applications s’applique aux appareils gérés et non gérés, accédez à la page Applications et vérifiez que l’option Cibler les applications de tous les types d’appareil a la valeur par défaut Oui. Si vous souhaitez effectuer une affectation précise en fonction de l’état de gestion, affectez à l’option Cibler les applications de tous les types d’appareil la valeur Non.

Types d’appareils

  • Non géré : Pour les appareils iOS/iPadOS, un appareil non managé est un appareil pour lequel la gestion MDM Intune (ou une solution MDM/EMM tierce) ne passe pas la clé IntuneMAMUPN. Pour les appareils Android, un appareil non managé est un appareil pour lequel la gestion MDM Intune n’a pas été détectée. cela inclut les appareils gérés par des fournisseurs MDM tiers.
  • Appareils gérés Intune : Les appareils gérés sont gérés par Intune MDM.
  • Administrateur d’appareil Android : appareils gérés par Intune utilisant l’API d’administration des appareils Android.
  • Android Enterprise : appareils gérés par Intune utilisant des profils de travail Android Enterprise ou la gestion complète des appareils Android Enterprise.

Sur Android, les appareils Android vous demandent d’installer l’application Portail d’entreprise Intune, quel que soit le type d’appareil choisi. Par exemple, si vous sélectionnez « Android Enterprise », les utilisateurs avec des appareils Android non gérés reçoivent toujours une invite.

Dans iOS/iPadOS, pour appliquer la sélection « Type d’appareil » aux appareils non managés Intune, des paramètres de configuration d’application supplémentaires sont nécessaires. Ces configurations indiqueront au service APP qu’une application particulière est gérée et que les paramètres APP ne s’appliquent pas :

Notes

Pour plus d’informations sur la prise en charge iOS/iPadOS des stratégies de protection d’applications en fonction de l’état de la gestion des appareils, consultez Stratégies de protection MAM ciblées en fonction de l’état de la gestion.

Paramètres de stratégie

Pour afficher la liste complète des paramètres de stratégie pour iOS/iPadOS et Android, sélectionnez l’un des liens suivants :

Étapes suivantes

Surveiller l’état de la conformité et des utilisateurs

Voir aussi