Partager via


Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune

Microsoft Intune stratégies de conformité sont des ensembles de règles et de conditions que vous utilisez pour évaluer la configuration de vos appareils gérés. Ces stratégies peuvent vous aider à sécuriser les données et les ressources de l’organisation à partir d’appareils qui ne répondent pas à ces exigences de configuration. Les appareils gérés doivent satisfaire aux conditions que vous définissez dans vos stratégies pour être considérés comme conformes par Intune.

Si vous intégrez également les résultats de conformité de vos stratégies à Microsoft Entra accès conditionnel, vous pouvez bénéficier d’une couche de sécurité supplémentaire. L’accès conditionnel peut appliquer des contrôles d’accès Microsoft Entra en fonction d’un status de conformité actuel des appareils pour garantir que seuls les appareils conformes sont autorisés à accéder aux ressources d’entreprise.

Intune stratégies de conformité sont divisées en deux domaines :

  • Les paramètres de stratégie de conformité sont des configurations à l’échelle du locataire qui agissent comme une stratégie de conformité intégrée que chaque appareil reçoit. Les paramètres de stratégie de conformité établissent le fonctionnement de la stratégie de conformité dans votre environnement Intune, notamment la façon de traiter les appareils auxquels une stratégie de conformité d’appareil explicite n’est pas affectée.

  • Les stratégies de conformité des appareils sont des ensembles discrets de règles et de paramètres spécifiques à la plateforme que vous déployez sur des groupes d’utilisateurs ou d’appareils. Les appareils évaluent les règles de la stratégie pour signaler un status de conformité d’appareil. Une status non conforme peut entraîner une ou plusieurs actions en cas de non-conformité. Microsoft Entra stratégies d’accès conditionnel peuvent également utiliser ces status pour bloquer l’accès aux ressources de l’organisation à partir de cet appareil.

Paramètres de stratégie de conformité

Les paramètres de stratégie de conformité sont des paramètres à l’échelle du locataire qui déterminent la façon dont le service de conformité d’Intune interagit avec vos appareils. Ces paramètres sont différents des paramètres que vous configurez dans une stratégie de conformité des appareils.

Pour gérer les paramètres de stratégie de conformité, connectez-vous à Microsoft Intune centre d’administration et accédez à Sécurité des points de terminaison> Conformité desappareils> Paramètres de stratégiede conformité.

Les paramètres de stratégie de conformité incluent les paramètres suivants :

  • Marquer les appareils sans stratégie de conformité comme étant

    Ce paramètre détermine la façon dont Intune traite les appareils auxquels aucune stratégie de conformité d’appareil n’est affectée. Ce paramètre a deux valeurs :

    • Conforme (par défaut) : cette fonctionnalité de sécurité est désactivée. Les appareils qui ne reçoivent pas de stratégie de conformité des appareils sont considérés comme conformes.
    • Non conforme: cette fonctionnalité de sécurité est activée. Les appareils sans stratégie de conformité des appareils sont considérés comme non conformes.

    Si vous utilisez l’accès conditionnel avec vos stratégies de conformité d’appareil, modifiez ce paramètre sur Non conforme pour vous assurer que seuls les appareils confirmés comme conformes peuvent accéder à vos ressources.

    Si un utilisateur final n’est pas conforme car aucune stratégie n’est affectée, l’application Portail d’entreprise indique Aucune stratégie de conformité n'a été affectée.

  • Période de validité de l’état de conformité (jours)

    Spécifiez une période pendant laquelle les appareils doivent signaler avec succès toutes les stratégies de conformité reçues. Si un appareil ne parvient pas à signaler son état de conformité pour une stratégie avant l’expiration de la période de validité, l’appareil est considéré comme non conforme.

    Par défaut, la période est définie sur 30 jours. Vous pouvez configurer une période comprise entre 1 et 120 jours.

    Vous pouvez afficher des détails sur la conformité d’un appareil au paramètre de période de validité. Connectez-vous à Microsoft Intune centre d’administration et accédez àLa conformité desparamètres de surveillance>des appareils>. Ce paramètre a le nom de Est actif dans la colonne Paramètre. Pour plus d’informations à ce sujet et sur les vues d’état de conformité associés, consultez Surveiller la conformité des appareils.

Stratégies de conformité d’appareil

Intune stratégies de conformité des appareils sont des ensembles discrets de règles et de paramètres spécifiques à la plateforme que vous déployez sur des groupes d’utilisateurs ou d’appareils. Utilisez des stratégies de conformité pour :

  • Définissez les règles et les paramètres que les utilisateurs et les appareils gérés doivent satisfaire pour être conformes. Les exemples de règles incluent l’exigence que les appareils exécutent une version minimale du système d’exploitation, qu’ils ne soient pas endommagés ou rootés, et qu’ils soient au niveau de menace ou sous un niveau de menace spécifié par un logiciel de gestion des menaces qui s’intègre à Intune.

  • Prendre en charge les actions de non-conformité qui s’appliquent aux appareils qui ne répondent pas aux règles de conformité de ces stratégies. Parmi les exemples d’actions en cas de non-conformité, citons le marquage de l’appareil comme non conforme, le verrouillage à distance et l’envoi d’un e-mail à l’utilisateur de l’appareil au sujet de l’appareil status afin qu’il puisse le corriger.

Lors de l’utilisation de stratégies de conformité d’appareil :

  • Certaines configurations de stratégie de conformité peuvent remplacer la configuration des paramètres que vous gérez également via des stratégies de configuration d’appareil. Pour en savoir plus sur la résolution des conflits pour les stratégies, consultez Stratégies de conformité et de configuration des appareils en conflit.

  • Les stratégies peuvent être déployées sur des utilisateurs dans des groupes d’utilisateurs ou des appareils dans des groupes d’appareils. Quand une stratégie de conformité est déployée sur un utilisateur, la conformité de tous ses appareils est vérifiée. L’utilisation de groupes d’appareils dans ce scénario permet la création de rapports de conformité.

  • Si vous utilisez Microsoft Entra l’accès conditionnel, vos stratégies d’accès conditionnel peuvent utiliser les résultats de conformité des appareils pour bloquer l’accès aux ressources des appareils non conformes.

  • Comme les autres stratégies Intune, les évaluations de stratégie de conformité pour un appareil dépendent du moment où l’appareil s’archive avec Intune, ainsi que des cycles d’actualisation des stratégies et des profils.

Les paramètres disponibles que vous pouvez spécifier dans une stratégie de conformité des appareils dépendent du type de plateforme que vous sélectionnez lorsque vous créez une stratégie. Différentes plateformes d’appareils prennent en charge des paramètres différents, et chaque type de plateforme requiert une stratégie distincte.

Les rubriques suivantes renvoient à des articles dédiés pour différents aspects de la stratégie de configuration des appareils.

  • Actions en cas de non-conformité : par défaut, chaque stratégie de conformité d’appareil inclut l’action permettant de marquer un appareil comme non conforme s’il ne respecte pas une règle de stratégie. Chaque stratégie peut prendre en charge davantage d’actions basées sur la plateforme de l’appareil. Voici quelques exemples d’actions supplémentaires :

    • L’envoi d’alertes par e-mail aux utilisateurs et aux groupes avec des détails sur l’appareil non conforme. Vous pouvez configurer la stratégie pour envoyer un e-mail immédiatement lorsqu’il est marqué comme non conforme, puis de nouveau régulièrement, jusqu’à ce que l’appareil soit conforme.
    • Le verrouillage à distance des appareils qui ne sont pas conformes pendant un certain temps.
    • Mettre hors service des appareils s’ils ne sont pas conformes depuis un certain temps. Cette action marque un appareil éligible comme prêt à être mis hors service. Un administrateur peut ensuite afficher une liste d’appareils marqués pour la mise hors service et doit prendre une action explicite pour mettre hors service un ou plusieurs appareils. La mise hors service d’un appareil supprime l’appareil de la gestion Intune et supprime toutes les données d’entreprise de l’appareil. Pour plus d’informations sur cette action, consulter Actions disponibles pour la non-conformité.
  • Créer une stratégie de conformité : avec les informations contenues dans l’article lié, vous pouvez passer en revue les prérequis, parcourir les options de configuration des règles, spécifier des actions en cas de non-conformité et affecter la stratégie à des groupes. Cet article contient également des informations sur les temps d’actualisation des stratégies.

    Afficher les paramètres de conformité de l’appareil pour les différentes plateformes d’appareils :

  • Paramètres de conformité personnalisés : avec les paramètres de conformité personnalisés, vous pouvez développer les options de conformité des appareils intégrées de Intune. Les paramètres personnalisés offrent la flexibilité nécessaire pour baser la conformité sur les paramètres disponibles sur un appareil sans avoir à attendre que Intune ajoute ces paramètres.

    Vous pouvez utiliser des paramètres de conformité personnalisés avec les plateformes suivantes :

    • Linux – Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
    • Windows 10
    • Windows 11

Surveiller l’état de conformité

Intune comprend un tableau de bord de conformité des appareils que vous utilisez pour surveiller l’état de conformité des appareils et pour accéder à des stratégies et des appareils pour plus d’informations. Pour en savoir plus sur ce tableau de bord, consultez Surveiller la conformité des appareils.

Intégrer avec l’accès conditionnel

Lorsque vous utilisez l’accès conditionnel, vous pouvez configurer vos stratégies d’accès conditionnel pour utiliser les résultats de vos stratégies de conformité des appareils afin de déterminer les appareils qui peuvent accéder aux ressources de votre organisation. Ce contrôle d’accès s’ajoute et se distingue des actions de non-conformité que vous incluez dans les stratégies de conformité des appareils.

Lorsqu’un appareil s’inscrit dans Intune il s’inscrit dans Microsoft Entra ID. Le status de conformité des appareils est signalé à Microsoft Entra ID. Si vos stratégies d’accès conditionnel ont des contrôles d’accès définis sur Exiger que l’appareil soit marqué comme conforme, l’accès conditionnel utilise cette status de conformité pour déterminer s’il faut accorder ou bloquer l’accès à la messagerie et à d’autres ressources organization.

Si vous utilisez des status de conformité des appareils avec des stratégies d’accès conditionnel, examinez comment votre locataire configure l’option Marquer les appareils sans stratégie de conformité affectée en tant qu’option, que vous gérez sous Paramètres de stratégie de conformité.

Pour plus d’informations sur l’utilisation de l’accès conditionnel avec vos stratégies de conformité d’appareil, consultez Accès conditionnel basé sur l’appareil.

En savoir plus sur l’accès conditionnel dans la documentation Microsoft Entra :

Informations de référence sur la non-conformité et l’accès conditionnel sur les différentes plateformes

Le tableau suivant décrit la gestion des paramètres non conformes quand une stratégie de conformité est utilisée avec une stratégie d’accès conditionnel.

  • Corrigé : le système d’exploitation de l’appareil applique la conformité. Par exemple, l’utilisateur est obligé de définir un code PIN.

  • En quarantaine : le système d’exploitation de l’appareil n’applique pas la conformité. Par exemple, les appareils Android et Android Entreprise ne forcent pas l’utilisateur à chiffrer l’appareil. Quand l’appareil n’est pas conforme, les actions suivantes se produisent :

    • Si une stratégie d’accès conditionnel s’applique à l’utilisateur, l’appareil est bloqué.
    • L’application du portail d’entreprise Intune informe l’utilisateur de tout problème de conformité.

Paramètre de stratégie Plateforme
Distributions autorisées Linux(only) - Mis en quarantaine
Chiffrement de l’appareil - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et versions ultérieures: corrigé (en définissant le code pin)
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : mis en quarantaine

- Windows 10/11: mis en quarantaine
Profil de messagerie - Android 4.0 et versions ultérieures: non applicable
- Samsung Knox Standard 4.0 et versions ultérieures: non applicable
- Android Enterprise: non applicable

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : non applicable

- Windows 10/11 : Non applicable
Appareil jailbroken ou rooté - Android 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- Android Enterprise: mis en quarantaine (pas un paramètre)

- iOS 8.0 et versions ultérieures: mis en quarantaine (pas un paramètre)
- macOS 10.11 et versions ultérieures: non applicable

- Linux : non applicable

- Windows 10/11 : Non applicable
Version maximale du système d’exploitation - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : voir Distributions autorisées

- Windows 10/11: mis en quarantaine
Version minimale du système d’exploitation - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et ultérieur: mis en quarantaine
- macOS 10.11 et versions ultérieures: mis en quarantaine

- Linux : voir Distributions autorisées

- Windows 10/11: mis en quarantaine
Configuration d’un code confidentiel ou mot de passe - Android 4.0 et versions ultérieures: mis en quarantaine
- Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine
- Android Enterprise: mis en quarantaine

- iOS 8.0 et versions ultérieures: corrigé
- macOS 10.11 et versions ultérieures: corrigé

- Linux : mis en quarantaine

- Windows 10/11 : Corrigé
Attestation de l’intégrité Windows - Android 4.0 et versions ultérieures: non applicable
- Samsung Knox Standard 4.0 et versions ultérieures: non applicable
- Android Enterprise: non applicable

- iOS 8.0 et versions ultérieures: non applicable
- macOS 10.11 et versions ultérieures: non applicable

- Linux : non applicable

- Windows 10/11: mis en quarantaine

Remarque

L’application Portail d'entreprise entre dans le flux de correction d’inscription lorsque l’utilisateur se connecte à l’application et que l’appareil n’a pas réussi à s’enregistrer avec Intune pendant 30 jours ou plus (ou que l’appareil n’est pas conforme en raison d’une raison de conformité de contact perdu). Dans ce flux, nous essayons de lancer une case activée une fois de plus. Si cela ne réussit toujours pas, nous émettons une commande de mise hors service pour permettre à l’utilisateur de réinscrire l’appareil manuellement.


Étapes suivantes