Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune

Des solutions de gestion des appareils mobiles comme Intune vous permettent de protéger les données de l’organisation en obligeant les utilisateurs et les appareils à répondre à certaines exigences. Dans Intune, cette fonctionnalité est appelée stratégies de conformité.

Stratégies de conformité dans Intune :

  • Définissez les règles et les paramètres que les utilisateurs et les appareils doivent satisfaire pour être conformes.
  • Incluez les actions qui s’appliquent aux appareils non conformes. Les actions en cas de non-conformité peuvent alerter les utilisateurs au sujet des conditions de non-conformité et de protection des données sur les appareils non conformes.
  • Peuvent être associées à l’accès conditionnel, qui peut alors bloquer les utilisateurs et les appareils qui ne respectent pas les règles.
  • Peut remplacer la configuration des paramètres que vous gérez également via des stratégies de configuration d’appareil. Pour en savoir plus sur la résolution des conflits pour les stratégies, consultez Stratégies de conformité et de configuration des appareils en conflit.

Les stratégies de conformité dans Intune se composent de deux parties :

  • Paramètres de stratégie de conformité : les paramètres au niveau du locataire qui sont similaires à une stratégie de conformité intégrée que chaque appareil reçoit. Les paramètres de stratégie de conformité définissent une ligne de base pour le fonctionnement de la stratégie de conformité dans votre environnement Intune, notamment si les appareils qui n’ont pas reçu de stratégie de conformité des appareils sont conformes ou non conformes.

  • Stratégie de conformité des appareils : des règles spécifiques à la plateforme que vous configurez et déployez sur des groupes d’utilisateurs ou d’appareils. Ces règles définissent les exigences relatives aux appareils, comme les systèmes d’exploitation minimaux ou l’utilisation du chiffrement de disque. Les appareils doivent respecter ces règles pour être considérés comme conformes.

À l’instar des autres stratégies Intune, les évaluations de stratégie de conformité pour un appareil dépendent du moment où l’appareil s’intègre à Intune et des cycles d’actualisation des stratégies et des profils.

Paramètres de stratégie de conformité

Les paramètres de stratégie de conformité sont des paramètres à l’échelle du locataire qui déterminent la façon dont le service de conformité d’Intune interagit avec vos appareils. Ces paramètres sont différents des paramètres que vous configurez dans une stratégie de conformité des appareils.

Pour gérer les paramètres de stratégie de conformité, connectez-vous à Microsoft Intune centre d’administration et accédez à Sécurité des points de terminaison> Conformité desappareils> Paramètres de stratégiede conformité.

Les paramètres de stratégie de conformité incluent les paramètres suivants :

  • Marquer les appareils sans stratégie de conformité comme étant

    Ce paramètre détermine la façon dont Intune traite les appareils auxquels aucune stratégie de conformité des appareils n’a été affectée. Ce paramètre a deux valeurs :

    • Conforme (par défaut) : cette fonctionnalité de sécurité est désactivée. Les appareils qui ne reçoivent pas de stratégie de conformité des appareils sont considérés comme conformes.
    • Non conforme: cette fonctionnalité de sécurité est activée. Les appareils qui n’ont pas reçu de stratégie de conformité des appareils sont considérés comme non conformes.

    Si vous utilisez l’accès conditionnel avec vos stratégies de conformité d’appareil, modifiez ce paramètre sur Non conforme pour vous assurer que seuls les appareils confirmés comme conformes peuvent accéder à vos ressources.

    Si un utilisateur final n’est pas conforme car aucune stratégie n’est affectée, l’application Portail d’entreprise indique Aucune stratégie de conformité n'a été affectée.

  • Période de validité de l’état de conformité (jours)

    Spécifiez une période pendant laquelle les appareils doivent signaler avec succès toutes les stratégies de conformité reçues. Si un appareil ne parvient pas à signaler son état de conformité pour une stratégie avant l’expiration de la période de validité, l’appareil est considéré comme non conforme.

    Par défaut, la période est définie sur 30 jours. Vous pouvez configurer une période comprise entre 1 et 120 jours.

    Vous pouvez afficher des détails sur la conformité d’un appareil au paramètre de période de validité. Connectez-vous à Microsoft Intune centre d’administration et accédez àLa conformité desparamètres de surveillance>des appareils>. Ce paramètre a le nom de Est actif dans la colonne Paramètre. Pour plus d’informations à ce sujet et sur les vues d’état de conformité associés, consultez Surveiller la conformité des appareils.

Stratégies de conformité d’appareil

Stratégies de conformité des appareils Intune :

  • Définissez les règles et les paramètres que les utilisateurs et les appareils gérés doivent satisfaire pour être conformes. Parmi les exemples de règles, citons la nécessité pour les appareils d’exécuter une version minimale du système d’exploitation, de ne pas être jailbreakés ou rootés, et d’être à un niveau de menace inférieur ou égal à celui spécifié par le logiciel de gestion des menaces que vous avez intégré à Intune.
  • Prenez en charge les actions qui s’appliquent aux appareils qui ne satisfont pas à vos règles de conformité. Des exemples d’actions peuvent comprendre le verrouillage à distance ou l’envoi d’un e-mail à l’utilisateur de l’appareil à propos de l’état de l’appareil afin qu’il puisse le corriger.
  • Déployez pour des utilisateurs dans des groupes d’utilisateurs ou sur des appareils dans des groupes d’appareils. Quand une stratégie de conformité est déployée sur un utilisateur, la conformité de tous ses appareils est vérifiée. L’utilisation de groupes d’appareils dans ce scénario permet la création de rapports de conformité.

Si vous utilisez l’accès conditionnel, vos stratégies d’accès conditionnel peuvent utiliser les résultats de conformité de votre appareil pour bloquer l’accès aux ressources pour les appareils non conformes.

Les paramètres disponibles que vous pouvez spécifier dans une stratégie de conformité des appareils dépendent du type de plateforme que vous sélectionnez lorsque vous créez une stratégie. Différentes plateformes d’appareils prennent en charge des paramètres différents, et chaque type de plateforme requiert une stratégie distincte.

Les rubriques suivantes renvoient à des articles dédiés pour différents aspects de la stratégie de configuration des appareils.

  • Actions en cas de non-conformité : chaque stratégie de conformité d’appareil comprend une ou plusieurs actions en cas de non-conformité. Ces actions sont des règles qui s’appliquent aux appareils qui ne répondent pas aux conditions que vous avez définies dans la stratégie.

    Par défaut, chaque stratégie de conformité des appareils comprend l’action permettant de marquer un appareil comme non conforme s’il ne respecte pas une règle de stratégie. La stratégie applique alors à l’appareil toutes les actions supplémentaires en cas de non-conformité que vous avez configurées, en fonction des planifications que vous avez définies pour ces actions.

    Les actions en cas de non-conformité peuvent permettre d’alerter les utilisateurs lorsque leur appareil n’est pas conforme, ou de protéger les données qui peuvent se trouver sur un appareil. Voici quelques exemples d’actions :

    • L’envoi d’alertes par e-mail aux utilisateurs et aux groupes avec des détails sur l’appareil non conforme. Vous pouvez configurer la stratégie pour envoyer un e-mail immédiatement lorsqu’il est marqué comme non conforme, puis de nouveau régulièrement, jusqu’à ce que l’appareil soit conforme.
    • Le verrouillage à distance des appareils qui ne sont pas conformes pendant un certain temps.
    • Mettre hors service des appareils s’ils ne sont pas conformes depuis un certain temps. Cette action marque un appareil éligible comme prêt à être mis hors service. Un administrateur peut ensuite afficher une liste d’appareils marqués pour la mise hors service et doit prendre une action explicite pour mettre hors service un ou plusieurs appareils. La mise hors service d’un appareil supprime l’appareil de la gestion Intune et supprime toutes les données d’entreprise de l’appareil. Pour plus d’informations sur cette action, consulter Actions disponibles pour la non-conformité.
  • Créer une stratégie : les informations contenues dans cet article vous permettent de consulter les conditions préalables, d’utiliser les options de configuration des règles, de spécifier des actions en cas de non-conformité et d’affecter la stratégie à des groupes. Cet article contient également des informations sur les temps d’actualisation des stratégies.

    Afficher les paramètres de conformité de l’appareil pour les différentes plateformes d’appareils :

  • Paramètres de conformité personnalisés : avec les paramètres de conformité personnalisés, vous pouvez développer les options de conformité des appareils intégrées d’Intune. Les paramètres personnalisés offrent la flexibilité nécessaire pour baser la conformité sur les paramètres disponibles sur un appareil sans avoir à attendre qu’Intune ajoute ces paramètres.

    Vous pouvez utiliser des paramètres de conformité personnalisés avec les plateformes suivantes :

    • Linux – Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
    • Windows 10/11

Surveiller l’état de conformité

Intune comprend un tableau de bord de conformité des appareils que vous utilisez pour surveiller l’état de conformité des appareils et pour accéder à des stratégies et des appareils pour plus d’informations. Pour en savoir plus sur ce tableau de bord, consultez Surveiller la conformité des appareils.

Intégrer avec l’accès conditionnel

Lorsque vous utilisez l’accès conditionnel, vous pouvez configurer vos stratégies d’accès conditionnel pour utiliser les résultats de vos stratégies de conformité des appareils afin de déterminer les appareils qui peuvent accéder aux ressources de votre organisation. Ce contrôle d’accès s’ajoute et se distingue des actions de non-conformité que vous incluez dans les stratégies de conformité des appareils.

Lorsqu’un appareil s’inscrit dans Intune, il s’inscrit dans Microsoft Entra ID. Le status de conformité pour les appareils est signalé à l’ID Microsoft Entra. Si vos stratégies d’accès conditionnel ont des contrôles d’accès définis sur Exiger que l'appareil soit marqué comme conforme, l’accès conditionnel utilise cet état de conformité pour déterminer s’il faut accorder ou bloquer l’accès à la messagerie et aux autres ressources de l’organisation.

Si vous utilisez l’état de conformité des appareils avec des stratégies d’accès conditionnel, vérifiez comment votre locataire a configuré Marquer les appareils sans stratégie de conformité comme étant, que vous gérez dans les Paramètres de stratégie de conformité.

Pour plus d’informations sur l’utilisation de l’accès conditionnel avec les stratégies de conformité des appareils, consultez Accès conditionnel en fonction de l’appareil

En savoir plus sur l’accès conditionnel dans la documentation Microsoft Entra :

Référence pour non-conformité et accès conditionnel sur les différentes plateformes

Le tableau suivant décrit la gestion des paramètres non conformes quand une stratégie de conformité est utilisée avec une stratégie d’accès conditionnel.

  • Corrigé : le système d’exploitation de l’appareil applique la conformité. Par exemple, l’utilisateur est obligé de définir un code PIN.

  • En quarantaine : le système d’exploitation de l’appareil n’applique pas la conformité. Par exemple, les appareils Android et Android Entreprise ne forcent pas l’utilisateur à chiffrer l’appareil. Quand l’appareil n’est pas conforme, les actions suivantes se produisent :

    • Si une stratégie d’accès conditionnel s’applique à l’utilisateur, l’appareil est bloqué.
    • L’application du portail d’entreprise Intune informe l’utilisateur de tout problème de conformité.

Paramètre de stratégie Plateforme
Distributions autorisées Linux(only) - Mis en quarantaine
Chiffrement de l’appareil - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et versions ultérieures: corrigé (en définissant le code pin)
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : mis en quarantaine

- Windows 10/11: mis en quarantaine
Profil de messagerie - Android 4.0 et versions ultérieures: non applicable
- Samsung Knox Standard 4.0 et versions ultérieures: non applicable
- Android Enterprise: non applicable

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : non applicable

- Windows 10/11 : Non applicable
Appareil jailbroken ou rooté - Android 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- Android Enterprise: mis en quarantaine (pas un paramètre)

- iOS 8.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- macOS 10.11 et versions ultérieures: non applicable

- Linux : non applicable

- Windows 10/11 : Non applicable
Version maximale du système d’exploitation - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : voir Distributions autorisées

- Windows 10/11: mis en quarantaine
Version minimale du système d’exploitation - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : voir Distributions autorisées

- Windows 10/11: mis en quarantaine
Configuration d’un code confidentiel ou mot de passe - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et versions ultérieures: corrigé
- macOS 10.11 et versions ultérieures: corrigé

- Linux : mis en quarantaine

- Windows 10/11 : Corrigé
Attestation de l’intégrité Windows - Android 4.0 et versions ultérieures: non applicable
- Samsung Knox Standard 4.0 et versions ultérieures: non applicable
- Android Enterprise: non applicable

- iOS 8.0 et versions ultérieures: non applicable
- macOS 10.11 et versions ultérieures: non applicable

- Linux : non applicable

- Windows 10/11: mis en quarantaine

Remarque

L’application Portail d'entreprise entre dans le flux de correction d’inscription lorsque l’utilisateur se connecte à l’application et que l’appareil n’a pas réussi à s’enregistrer auprès d’Intune pendant 30 jours ou plus (ou que l’appareil n’est pas conforme en raison d’une raison de conformité de contact perdu). Dans ce flux, nous essayons de lancer une case activée une fois de plus. Si cela ne réussit toujours pas, nous émettons une commande de mise hors service pour permettre à l’utilisateur de réinscrire l’appareil manuellement.


Prochaines étapes