Exigez la conformité des appareils avec l'accès conditionnel

Microsoft Intune et Microsoft Entra s’associent pour sécuriser votre organisation via des stratégies de conformité des appareils et l’accès conditionnel. Les stratégies de conformité des appareils constituent un excellent moyen de s’assurer que les appareils des utilisateurs répondent aux exigences de configuration minimales. Ces exigences peuvent être imposées lorsque des utilisateurs accèdent aux services protégés par des stratégies d’accès conditionnel.

Certaines organisations peuvent ne pas être prêtes à exiger la conformité des appareils pour tous les utilisateurs. Ces organisations peuvent plutôt choisir de déployer les politiques suivantes :

• Exiger des appareils conformes ou hybrides Microsoft Entra pour leurs administrateurs
• Nécessite un appareil conforme, un appareil hybride Microsoft Entra, OU une authentification multifacteur pour tous les utilisateurs
• Bloquer les plates-formes d'appareils inconnues ou non prises en charge
• Désactiver la persistance du navigateur

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage en raison d’une mauvaise configuration. Dans le scénario improbable où tous les administrateurs seraient verrouillés, votre compte administratif d’accès d’urgence peut être utilisé pour la connexion et la prise de mesures pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Déploiement de modèle

Les organisations peuvent choisir de déployer cette stratégie en suivant les étapes décrites ci-dessous ou à l’aide des modèles d’accès conditionnel.

Créer une stratégie d’accès conditionnel

Les étapes suivantes vous aident à créer une stratégie d’accès conditionnel pour exiger que les appareils qui accèdent à des ressources soient marqués comme conformes aux stratégies de conformité Intune de votre organisation.

Avertissement

Sans stratégie de conformité créée dans Microsoft Intune, cette stratégie d’accès conditionnel ne fonctionnera pas comme prévu. Créez d’abord une stratégie de conformité et vérifiez que vous disposez d’au moins un appareil conforme avant de continuer.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel>Stratégies.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
6. Sous Ressources cibles>Ressources (anciennement applications cloud)>Inclure, sélectionnez Toutes les ressources (anciennement « Toutes les applications cloud »).
7. Sous Contrôles d’accès>Octroyer.
   1. Sélectionnez Exiger que l'appareil soit marqué comme conforme.
   2. Sélectionnez Sélectionner.
8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
9. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Remarque

Vous pouvez inscrire vos nouveaux appareils sur Intune même si vous sélectionnez Exiger que l'appareil soit marqué comme conforme pour Tous les utilisateurs et Toutes les ressources (anciennement « Toutes les applications cloud ») en suivant les étapes précédentes. Le contrôle Exiger que l’appareil soit marqué comme conforme ne bloque pas l’inscription auprès d’Intune.

Comportement connu

Sur Windows 7, iOS, Android, macOS et certains navigateurs web non Microsoft, Microsoft Entra ID identifie l’appareil à l’aide d’un certificat client provisionné lorsque l’appareil est inscrit auprès de Microsoft Entra ID. Lorsqu’un utilisateur se connecte pour la première fois via le navigateur, l’utilisateur est invité à sélectionner le certificat. L’utilisateur final doit sélectionner ce certificat pour pouvoir continuer à utiliser le navigateur.

Activation d’abonnement

Les organisations qui utilisent la fonctionnalité d’activation d’abonnement pour permettre aux utilisateurs de passer d’une version de Windows à une version supérieure peuvent souhaiter exclure le Windows Store pour Entreprises, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de leur stratégie de conformité des appareils.

Contenu connexe

• Créer une stratégie de conformité dans Microsoft Intune
• Contrôles de l’octroi de l’accès conditionnel