Gérer l’accès aux services Office 365 pour les PC gérés par System Center Configuration ManagerManage access to Office 365 services for PCs managed by System Center Configuration Manager

S’applique à : System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Configurez l’accès conditionnel aux services Office 365 pour les PC gérés par Configuration Manager.Configure conditional access to Office 365 services for PCs managed by Configuration Manager.

Important

Y compris la gestion des appareils mobiles hybride sur site l’accès conditionnel sont fonctionnalités déconseillées.Hybrid MDM including on-premises conditional access are deprecated features. Pour plus d’informations, consultez Qu’est-ce que la gestion hybride des appareils mobiles ?For more information, see What is hybrid MDM.

Si vous utilisez l’accès conditionnel sur des appareils gérés avec le client Configuration Manager, pour vous assurer qu’ils sont toujours protégées, tout d’abord activer l’accès conditionnel dans Intune pour ces appareils avant de migrer.If you use conditional access on devices managed with the Configuration Manager client, to make sure they are still protected, first enable conditional access in Intune for those devices before you migrate. Activer la cogestion dans Configuration Manager, déplacer la charge de travail de stratégie de conformité dans Intune, puis terminez votre migration à partir d’Intune hybride vers Intune autonome.Enable co-management in Configuration Manager, move the compliance policy workload to Intune, and then complete your migration from Intune hybrid to Intune standalone. Pour plus d’informations, consultez d’accès conditionnel avec la cogestion.For more information, see Conditional access with co-management.

Pour plus d’informations sur la configuration de l’accès conditionnel pour les appareils inscrits et gérés par Microsoft Intune, consultez Gérer l’accès aux services dans System Center Configuration Manager.For information on configuring conditional access for devices enrolled and managed by Microsoft Intune, see Manage access to services in System Center Configuration Manager. Cet article aborde également les appareils qui sont joints à un domaine et dont la conformité n’est pas évaluée.That article also covers devices that are domain joined and not evaluated for compliance.

Notes

Par défaut, Configuration Manager n’active pas cette fonctionnalité facultative.Configuration Manager doesn't enable this optional feature by default. Vous devez activer cette fonctionnalité avant de l’utiliser.You must enable this feature before using it. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.For more information, see Enable optional features from updates.

Services pris en chargeSupported Services

  • Exchange OnlineExchange Online
  • SharePoint OnlineSharePoint Online

PC pris en chargeSupported PCs

  • Windows 7Windows 7
  • Windows 8.1Windows 8.1
  • Windows 10Windows 10

Serveurs Windows pris en chargeSupported Windows Servers

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2016Windows Server 2016

    Important

    Pour les serveurs Windows auxquels plusieurs utilisateurs peuvent être connectés simultanément, déployez les mêmes stratégies d’accès conditionnel pour tous ces utilisateurs.For Windows Servers that may have multiple users signed in simultaneously, deploy the same conditional access policies to all of these users.

Configurer un accès conditionnelConfigure conditional access

Pour configurer un accès conditionnel, vous devez d’abord créer une stratégie de conformité, puis configurer une stratégie d’accès conditionnel.To set up conditional access, you must first create a compliance policy and configure conditional access policy. Quand vous configurez des stratégies d’accès conditionnel pour des PC, vous pouvez exiger que ceux-ci soient conformes pour pouvoir accéder aux services Exchange Online et SharePoint Online.When you configure conditional access policies for PCs, you can require that the PCs be compliant in order to access Exchange Online and SharePoint Online services.

PrérequisPrerequisites

  • Synchronisation d’ADFS et un abonnement Office 365.ADFS Sync, and an Office 365 subscription. L’abonnement à Office 365 est pour la configuration d’Exchange Online et SharePoint Online.The Office 365 subscription is for setting up Exchange Online and SharePoint Online.

  • Abonnement Microsoft IntuneA Microsoft Intune Subscription. L’abonnement Microsoft Intune doit être configuré dans la console Configuration Manager.The Microsoft Intune Subscription should be configured in Configuration Manager Console. L’abonnement Intune sert à transférer l’état de conformité des appareils à Azure Active Directory et à accorder les licences d’utilisateur.The Intune subscription is used to relay device compliance state to Azure Active Directory and for user licensing.

    Les PC doivent répondre aux exigences suivantes :The PCs must meet the following requirements:

  • Conditions préalables pour l’inscription automatique auprès d’Azure Active Directory.Prerequisites for automatic device registration with Azure Active Directory

    Vous pouvez inscrire des PC auprès d’Azure AD via la stratégie de conformité.You can register PCs with Azure AD through the compliance policy.

  • Les PC doivent utiliser Office 2013 ou Office 2016 avec l’authentification moderne activée.Must use Office 2013 or Office 2016 with modern authentication enabled.

    Les étapes suivantes s’appliquent aussi bien à Exchange Online qu’à SharePoint OnlineThe following steps apply to both Exchange Online and SharePoint Online

Étape 1.Step 1. Configurer une stratégie de conformitéConfigure compliance policy

Dans la console Configuration Manager, créez une stratégie de conformité avec les règles suivantes :In the Configuration Manager Console, create a compliance policy with the following rules:

  • Exiger l’inscription dans Azure Active Directory : Cette règle vérifie si l’appareil de l’utilisateur est l’espace de travail joints à Azure AD et dans le cas contraire, l’appareil est automatiquement inscrit dans Azure AD.Require registration in Azure Active Directory: This rule checks if the user's device is work-place joined to Azure AD, and if not, the device is automatically registered in Azure AD. L’inscription automatique est prise en charge seulement sur Windows 8.1.Automatic registration is only supported on Windows 8.1. Pour les PC Windows 7, déployez un fichier MSI pour effectuer l’inscription automatique.For Windows 7 PCs, deploy an MSI to perform the auto registration. Pour plus d’informations, consultez Inscription automatique d’appareils auprès d’Azure Active Directory.For more information, see Automatic device registration with Azure Active Directory

  • Toutes les mises à jour requises installées avec une échéance supérieure à un certain nombre de jours : Spécifiez la valeur pour la période de grâce à partir de l’échéance du déploiement des mises à jour requises sur l’appareil de l’utilisateur.All required updates installed with a deadline older than a certain number of days: Specify the value for the grace period from the deployment deadline for required updates on the user's device. L’ajout de cette règle installe aussi automatiquement les mises à jour obligatoires en attente.Adding this rule also automatically installs any pending required updates. Spécifiez les mises à jour obligatoires dans la règle Mises à jour automatiques requises.Specify the required updates in the Required automatic updates rule.

  • Exiger le chiffrement de lecteur BitLocker : Cette règle vérifie si le lecteur principal (par exemple, C:\) sur l’appareil est chiffré avec BitLocker.Require BitLocker drive encryption: This rule checks if the primary drive (for example, C:\) on the device is BitLocker encrypted. Si BitLocker chiffrement n’est pas activé sur le périphérique principal, l’accès aux services de messagerie et SharePoint est bloqué.If BitLocker encryption is not enabled on the primary device, access to email and SharePoint services is blocked.

  • Exiger un logiciel anti-programme malveillant : Cette règle vérifie si System Center Endpoint Protection ou Windows Defender est activé et en cours d’exécution.Require Antimalware: This rule checks if System Center Endpoint Protection or Windows Defender is enabled and running. S’il n’est pas activé, l’accès aux services de messagerie et SharePoint est bloqué.If it is not enabled, access to email and SharePoint services is blocked.

  • Signalés comme intègres par le Service d’attestation d’intégrité : Cette condition inclut quatre règles secondaires pour vérifier la conformité des appareils contre le service d’attestation de l’intégrité des appareils.Reported as healthy by Health Attestation Service: This condition includes four subrules to check the device compliance against the device health attestation service. Pour plus d’informations, consultez Attestation d’intégrité.For more information, see Health attestation.

    • Exiger l’activation de BitLocker sur l’appareilRequire BitLocker to be enabled on the device
    • Exiger l’activation du démarrage sécurisé sur l’appareilRequire Secure Boot to be enabled on the device
    • Exiger l’activation de l’intégrité du code sur l’appareilRequire Code Integrity to be enabled on the device
    • Exiger l’activation du logiciel anti-programme malveillant sur l’appareilRequire Early Launch Anti-Malware to be enabled on the device

    Important

    Les critères d’accès conditionnel pour l’attestation d’intégrité de périphérique est déconseillée et sera supprimée dans une version ultérieure.The conditional access criteria for device health attestation is deprecated and will be removed in a future release. Pour plus d’informations, consultez fonctionnalités supprimées et déconseillées.For more information, see removed and deprecated features.

    Notes

    Par défaut, Configuration Manager n’active pas cette fonctionnalité facultative.Configuration Manager doesn't enable this optional feature by default. Vous devez activer cette fonctionnalité avant de l’utiliser.You must enable this feature before using it. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.For more information, see Enable optional features from updates.

Étape 2.Step 2. Évaluer l’incidence de l’accès conditionnelEvaluate the effect of conditional access

Exécutez le rapport de conformité de l’accès conditionnel.Run the Conditional Access Compliance Report. Il se trouve dans l’espace de travail Analyse, sous Rapports > Gestion de la conformité et des paramètres.It can be found in Monitoring workspace under Reports > Compliance and Settings Management. Ce rapport affiche l’état de conformité de tous les appareils.This report displays the compliance status for all devices. L’accès à Exchange Online et à SharePoint Online d’appareils signalés non conformes est bloqué.Devices reporting as not compliant are blocked from accessing Exchange Online and SharePoint Online.

Console Configuration Manager, espace de travail analyse, création de rapports, rapports, de conformité et la gestion des paramètres : Rapport de conformité de l’accès conditionnel

Configurer les groupes de sécurité Active DirectoryConfigure Active Directory Security Groups

Les stratégies d’accès conditionnel ciblent des groupes d’utilisateurs en fonction des types de stratégies.You target conditional access policies to groups of users depending on the policy types. Ces groupes contiennent les utilisateurs que la stratégie cible ou qui sont exemptés de celle-ci.These groups contain the users that the policy targets, or exempt from the policy. Quand une stratégie cible un utilisateur, chaque appareil qu’il utilise doit être conforme à cette stratégie pour pouvoir accéder au service.When a policy targets a user, each device they use must be compliant in order to access the service.

Groupes d’utilisateurs de sécurité Active Directory.Active Directory security user groups. Ces groupes d’utilisateurs doivent être synchronisés sur Azure Active Directory.These user groups should be synchronized to Azure Active Directory. Vous pouvez également configurer ces groupes dans le centre d’administration Microsoft 365 ou le portail de compte Intune.You can also configure these groups in the Microsoft 365 admin center, or the Intune account portal.

Vous pouvez spécifier deux types de groupes dans chaque stratégie.You can specify two group types in each policy. ::

  • Groupes ciblés : groupes d’utilisateurs auxquels la stratégie est appliquée.Targeted groups - User groups to which the policy is applied. Le même groupe doit être utilisé pour satisfaire aux exigences de conformité et à la stratégie d’accès conditionnel.The same group should be used both for compliance and conditional access policy.

  • Groupes exemptés : groupes d’utilisateurs exempts de la stratégie (facultatif).Exempted groups - User groups that are exempt from the policy (optional).
    Si un utilisateur se trouve dans les deux, il est exempté de la stratégie.If a user is in both, they are exempt from the policy.

    Seuls les groupes ciblés par la stratégie d’accès conditionnel sont évalués.Only the groups, which are targeted by the conditional access policy, are evaluated.

Étape 3.Step 3. Créer une stratégie d’accès conditionnel pour Exchange Online et SharePoint OnlineCreate a conditional access policy, for Exchange Online and SharePoint Online

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.In the Configuration Manager console, click Assets and Compliance.

  2. Pour créer une stratégie pour Exchange Online, sélectionnez Activer la stratégie d’accès conditionnel pour Exchange Online.To create a policy for Exchange Online, select Enable conditional access policy for Exchange Online.

    Pour créer une stratégie pour SharePoint Online, sélectionnez Activer la stratégie d’accès conditionnel pour SharePoint Online.To create a policy for SharePoint Online, select Enable conditional access policy for Exchange Online.

  3. Sous l’onglet Accueil, dans le groupe Liens, cliquez sur Configurer la stratégie d’accès conditionnel dans la console Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Il se peut que vous deviez fournir le nom d’utilisateur et le mot de passe du compte utilisé pour connecter Configuration Manager à Intune.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    La console d’administration Intune s’ouvre.The Intune admin console opens.

  4. Pour Exchange Online, dans la console d’administration Microsoft Intune, cliquez sur Stratégie > Accès conditionnel > Stratégie Exchange Online.For Exchange Online, in the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    Pour SharePoint Online, dans la console d’administration Microsoft Intune, cliquez sur Stratégie > Accès conditionnel > Stratégie SharePoint Online.For SharePoint Online, in the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  5. Définissez la configuration requise du PC Windows sur l’optionLes appareils doivent être conformes.Set the Windows PC requirement toDevices must be compliant option.

  6. Sous Groupes ciblés, cliquez sur Modifier pour sélectionner les groupes de sécurité Azure Active Directory auxquels la stratégie s’applique.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy applies.

    Notes

    Le même groupe d’utilisateurs de sécurité doit être utilisé pour déployer la stratégie de conformité et le groupe ciblé pour la stratégie d’accès conditionnel.The same security user group should be used for deploying compliancy policy and the Targeted Group for conditional access policy.

    Sous Groupes exemptés, vous pouvez éventuellement cliquez sur Modifier pour sélectionner les groupes de sécurité Azure Active Directory exempts de cette stratégie.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Cliquez sur Enregistrer pour créer et enregistrer la stratégie.Click Save to create and save the policy

Les utilisateurs voient les informations de compatibilité dans le Centre logiciel.Users view compliance information in Software Center. Quand ils sont bloqués en raison d’une non-conformité, lancez une nouvelle évaluation de la stratégie après avoir résolu les problèmes de conformité.When blocked due to noncompliance, initiate a new policy evaluation after remediating compliance issues.

Voir aussiSee also