Paramètres de conformité des appareils pour iOS/iPadOS dans Intune

Cet article répertorie et décrit les différents paramètres de conformité que vous pouvez configurer sur les appareils iOS/iPadOS dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour exiger un e-mail, marquer les appareils rootés (jailbreakés) comme non conformes, définir un niveau de menace autorisé, définir des mots de passe pour expirer, etc.

Cette fonctionnalité s’applique à :

• iOS
• iPadOS

En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger vos ressources organisationnelles. Pour en savoir plus sur les stratégies de conformité et leur action, consultez Prise en main de la conformité des appareils.

Avant de commencer

Create une stratégie de conformité d’appareil iOS/iPadOS pour accéder aux paramètres disponibles.

E-mail

• Impossible de configurer la messagerie sur l’appareil

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : un compte de messagerie managé est requis. Si l’utilisateur dispose déjà d’un compte de messagerie sur l’appareil, le compte de messagerie doit être supprimé pour Intune pouvez en configurer un correctement. S’il n’existe aucun compte de messagerie sur l’appareil, l’utilisateur doit contacter l’administrateur informatique pour configurer un compte de messagerie géré.

  L’appareil est considéré comme non conforme dans les situations suivantes :

  • Le profil de messagerie est affecté à un groupe d’utilisateurs différent du groupe d’utilisateurs ciblé par la stratégie de conformité.
  • L’utilisateur a déjà configuré un compte de messagerie sur l’appareil qui correspond au profil de messagerie Intune déployé sur l’appareil. Intune ne pouvez pas remplacer le profil configuré par l’utilisateur et Intune ne pouvez pas le gérer. Pour être conforme, l’utilisateur final doit supprimer les paramètres de messagerie existants. Ensuite, Intune pouvez installer le profil de messagerie managé.

Pour plus d’informations sur les profils de messagerie, consultez Configurer l’accès à organization e-mail à l’aide de profils de messagerie avec Intune.

Intégrité du périphérique

• Appareils jailbreakés
  Pris en charge pour iOS 8.0 et versions ultérieures

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Bloquer : marquez les appareils rootés (jailbreakés) comme non conformes.

• Exiger que l’appareil soit au niveau de menace pour l’appareil ou en dessous
  Pris en charge pour iOS 8.0 et versions ultérieures

  Utilisez ce paramètre pour prendre l’évaluation des risques comme condition de conformité. Choisissez le niveau de menace autorisé :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Sécurisé : cette option est la plus sécurisée et signifie que l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté avec n’importe quel niveau de menaces, il est évalué comme non conforme.
  • Faible : l’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. Toute valeur supérieure place l’appareil dans un status non conforme.
  • Moyen : l’appareil est évalué comme conforme si les menaces présentes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
  • Élevé : cette option est la moins sécurisée, car elle autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

Propriétés de l’appareil

Version du système d’exploitation

• Version minimale du système d’exploitation
  Pris en charge pour iOS 8.0 et versions ultérieures

  Lorsqu’un appareil ne répond pas à la condition de version minimale du système d’exploitation, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Après cela, ils peuvent accéder aux ressources organization.

• Version maximale du système d’exploitation
  Pris en charge pour iOS 8.0 et versions ultérieures

  Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version de la règle, l’accès aux ressources organization est bloqué. L’utilisateur final est invité à contacter son administrateur informatique. L’appareil ne peut pas accéder aux ressources organization tant qu’une règle n’a pas changé pour autoriser la version du système d’exploitation.

• Version minimale de build du système d’exploitation
  Pris en charge pour iOS 8.0 et versions ultérieures

  Quand Apple publie des mises à jour de sécurité, le numéro de build est généralement mis à jour, et non la version du système d’exploitation. Utilisez cette fonctionnalité pour spécifier un numéro de build minimal autorisé sur l’appareil. Pour les mises à jour de la réponse de sécurité rapide Apple, entrez la version de build supplémentaire, telle que 20E772520a.

• Version maximale de build du système d’exploitation
  Pris en charge pour iOS 8.0 et versions ultérieures

  Quand Apple publie des mises à jour de sécurité, le numéro de build est généralement mis à jour, et non la version du système d’exploitation. Utilisez cette fonctionnalité pour entrer un numéro de build maximal autorisé sur l’appareil. Pour les mises à jour de la réponse de sécurité rapide Apple, entrez la version de build supplémentaire, telle que 20E772520a.

Microsoft Defender pour point de terminaison

• Exiger que l’appareil ait un score inférieur ou égal au score de risque machine

  Sélectionnez le score de risque machine maximal autorisé pour les appareils évalués par Microsoft Defender pour point de terminaison. Les appareils qui dépassent ce score sont marqués comme non conformes.

  • Non configuré (par défaut)
  • Clear
  • Faible
  • Moyenne
  • High

Sécurité système

Mot de passe

Remarque

Une fois qu’une stratégie de conformité ou de configuration est appliquée à un appareil iOS/iPadOS, les utilisateurs sont invités à définir un code secret toutes les 15 minutes. Les utilisateurs sont continuellement invités jusqu’à ce qu’un code secret soit défini. Lorsqu’un code secret est défini pour l’appareil iOS/iPadOS, le processus de chiffrement démarre automatiquement. L’appareil reste chiffré jusqu’à ce que le code secret soit désactivé.

• Exiger un mot de passe pour déverrouiller des appareils mobiles

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil. Les appareils iOS/iPadOS qui utilisent un mot de passe sont chiffrés.

• Mots de passe simples
  Pris en charge pour iOS 8.0 et versions ultérieures

  • Non configuré (valeur par défaut) : les utilisateurs peuvent créer des mots de passe simples tels que 1234 ou 1111.
  • Bloquer : les utilisateurs ne peuvent pas créer de mots de passe simples, tels que 1234 ou 1111.

• Longueur minimale du mot de passe
  Pris en charge pour iOS 8.0 et versions ultérieures

  Entrez le nombre minimal de chiffres ou de caractères que le mot de passe doit contenir.

• Type de mot de passe requis
  Pris en charge pour iOS 8.0 et versions ultérieures

  Choisissez si un mot de passe doit comporter uniquement des caractères numériques , ou s’il doit y avoir une combinaison de nombres et d’autres caractères (alphanumériques).

• Nombre de caractères non alphanumériques dans le mot de passe
  Entrez le nombre minimal de caractères spéciaux, tels que &, #, !%, , et ainsi de suite, qui doivent figurer dans le mot de passe.

  Pour définir un nombre plus élevé, l’utilisateur doit créer un mot de passe plus complexe.

• Nombre maximal de minutes entre le verrouillage de l'écran et la demande du mot de passe
  Pris en charge pour iOS 8.0 et versions ultérieures

  Spécifiez le délai après le verrouillage de l’écran avant qu’un utilisateur ne doit entrer un mot de passe pour accéder à l’appareil. Les options incluent la valeur par défaut Non configuré, Immédiatement et de 1 minute à 4 heures.

• Nombre maximal de minutes d’inactivité avant le verrouillage de l’appareil
  Entrez le temps d’inactivité avant que l’appareil ne verrouille son écran. Les options incluent la valeur par défaut Non configuré, Immédiatement et de 1 minute à 15 minutes.

• Expiration du mot de passe (jours)
  Pris en charge pour iOS 8.0 et versions ultérieures

  Sélectionnez le nombre de jours avant l’expiration du mot de passe, et ils doivent en créer un nouveau.

• Nombre de mots de passe précédents avant d’autoriser leur réutilisation
  Pris en charge pour iOS 8.0 et versions ultérieures

  Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés.

Sécurité des appareils

• Applications restreintes
  Vous pouvez restreindre les applications en ajoutant leurs ID d’offre groupée à la stratégie. Si l’application est installée sur un appareil, il est marqué comme non conforme.

  • Nom de l’application : entrez un nom convivial pour vous aider à identifier l’ID d’offre groupée.

  • ID de l’offre groupée d’applications : entrez l’identificateur d’offre groupée unique attribué par le fournisseur d’applications.

    Pour obtenir l’ID du bundle d’applications :

    • Le site web d’Apple contient une liste d’applications Apple intégrées.
    • Pour les applications ajoutées à Intune, vous pouvez utiliser le centre d’administration Intune.
    • Pour obtenir quelques exemples, accédez à Bundle IDs pour les applications iOS/iPadOS intégrées.

  Remarque

  Le paramètre Applications restreintes s’applique aux applications non managées installées en dehors du contexte de gestion.

Prochaines étapes

• Ajoutez des actions pour les appareils non conformes et utilisez des balises d’étendue pour filtrer les stratégies.
• Surveillez vos stratégies de conformité.
• Consultez les paramètres de stratégie de conformité pour les appareils macOS .