Stratégies de boîte aux lettres d’appareils mobiles dans Exchange Online
Dans Microsoft 365 ou Office 365, vous pouvez créer des stratégies de boîte aux lettres d’appareil mobile pour appliquer un ensemble commun de stratégies ou de paramètres de sécurité à un ensemble d’utilisateurs. Une stratégie de boîte aux lettres d’appareil mobile par défaut est créée dans chaque Microsoft 365 ou Office 365 organization.
Présentation des stratégies de boîte aux lettres d'appareil mobile
Vous pouvez utiliser les stratégies de boîte aux lettres d'appareil mobile pour gérer différents paramètres. Ces paramètres sont les suivants :
- Exiger un mot de passe
- spécifier la longueur minimale du mot de passe ;
- autoriser un code PIN numérique ou exiger des caractères spéciaux dans le mot de passe
- Déterminez la durée d’inactivité d’un appareil avant de demander à l’utilisateur de saisir à nouveau un mot de passe.
- nettoyer un appareil après un nombre spécifique de saisies de mot de passe infructueuses
Paramètres de mot de passe d’appareil mobile et biométrie
De nombreux appareils mobiles prennent en charge la biométrie, comme Apple Touch ID ou Face ID. Les stratégies de boîte aux lettres d’appareil mobile Exchange ne contrôlent pas si la biométrie peut être utilisée au lieu de taper le code confidentiel de l’appareil. Les stratégies de boîte aux lettres d’appareil mobile peuvent être configurées pour exiger un code confidentiel d’appareil, mais les utilisateurs contrôlent ensuite s’ils utilisent la biométrie après s’être conformés à l’exigence du code confidentiel de l’appareil.
Les clients qui ont besoin d’un contrôle avancé sur l’utilisation de la biométrie doivent envisager des solutions d’inscription d’appareils telles que Microsoft Intune. Pour plus d’informations, consultez Déploiement des paramètres de configuration d’application Outlook pour iOS et Android.
Paramètres de mot de passe de l’appareil mobile et Android
Android 9.0 et versions antérieures utilisent la fonctionnalité d’administration d’appareil d’Android pour gérer les paramètres de mot de passe d’appareil définis dans une stratégie de boîte aux lettres d’appareil mobile.
Avec Android 10.0 et versions ultérieures, Android a supprimé la fonctionnalité d’administration des appareils. Au lieu de cela, les applications qui nécessitent un verrouillage d’écran interrogent la complexité de verrouillage d’écran de l’appareil (ou du profil professionnel) à l’aide de l’API getPasswordComplexity . Les applications qui nécessitent un verrouillage d’écran plus fort dirigent l’utilisateur vers les paramètres de verrouillage de l’écran système , ce qui permet à l’utilisateur de mettre à jour les paramètres de sécurité pour devenir conforme. À aucun moment, l’application n’a connaissance du mot de passe de l’utilisateur ; l’application ne connaît que le niveau de complexité du mot de passe. Android prend en charge les quatre niveaux de complexité de mot de passe suivants :
| Niveau de complexité du mot de passe | Exigences relatives au mot de passe |
|---|---|
| Aucune | Aucune exigence de mot de passe n’est configurée. |
| Faible | Le mot de passe peut être un modèle ou un code pin avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468). |
| Moyen | Mots de passe qui répondent à l’un des critères suivants :
|
| Élevé | Mots de passe qui répondent à l’un des critères suivants :
|
Les niveaux de complexité de mot de passe d’Android sont mappés aux paramètres de stratégie de boîte aux lettres d’appareil mobile Exchange suivants :
| Paramètre de stratégie de boîte aux lettres d’appareil mobile | Niveau de complexité du mot de passe Android |
|---|---|
| Mot de passe activé = false | Aucune |
| Autoriser le mot de passe simple = true Longueur minimale du mot de passe < 4 |
Faible |
| Mot de passe alphanumérique requis = false Longueur minimale du mot de passe >= 4 Longueur minimale du mot de passe < 8 |
Moyen |
| Mot de passe alphanumérique requis = true Longueur minimale du mot de passe < 6 |
Moyen |
| Mot de passe alphanumérique requis = false Longueur minimale du mot de passe >= 8 |
Élevé |
| Mot de passe alphanumérique requis = true Longueur minimale du mot de passe >= 6 |
Élevé |
Paramètres de stratégie de boîte aux lettres de périphérique mobile
Le tableau suivant récapitule les paramètres que vous pouvez spécifier à l’aide de stratégies de boîte aux lettres d’appareil mobile : Paramètres de stratégie de boîte aux lettres d’appareil mobile
| Setting | Description |
|---|---|
| Autoriser Bluetooth | Ce paramètre indique si un appareil mobile accepte les connexions Bluetooth. Les options disponibles sont Désactiver, Mains libres uniquement et Autoriser. La valeur par défaut est Allow. |
| Autoriser le navigateur | Ce paramètre indique si Pocket Internet Explorer est autorisé sur l'appareil mobile. Ce paramètre n'affecte pas les navigateurs tiers installés sur l'appareil mobile. La valeur par défaut est $true. |
| Autoriser l'appareil photo | Ce paramètre indique s'il est possible d'utiliser l'appareil photo de l'appareil mobile. La valeur par défaut est $true. |
| Autoriser la messagerie client | Ce paramètre indique si l'utilisateur de l'appareil mobile peut configurer un compte de messagerie électronique personnel (POP3 ou IMAP4) sur l'appareil mobile. La valeur par défaut est $true. Ce paramètre ne contrôle pas l'accès aux comptes de messagerie électronique utilisant des programmes tiers de messagerie électronique d'appareil mobile. |
| Autoriser la synchronisation du bureau | Ce paramètre indique si l'appareil mobile peut être synchronisé avec un ordinateur par l'intermédiaire d'un câble, de la technologie Bluetooth ou d'une connexion IrDA. La valeur par défaut est $true. |
| Autoriser la gestion de périphériques externes | Ce paramètre spécifie si un programme de gestion de périphériques externes est autorisé à gérer l'appareil mobile. |
| Autoriser la messagerie HTML | Ce paramètre spécifie si la messagerie électronique synchronisée avec l'appareil mobile peut être au format HTML. Si ce paramètre est défini sur $false, tous les e-mails sont convertis en texte brut. |
| Autoriser le partage Internet | Ce paramètre indique si l'appareil mobile peut être utilisé comme modem pour un bureau ou un ordinateur portable. La valeur par défaut est $true. |
| AllowIrDA | Ce paramètre spécifie si les connexions infrarouges vers l'appareil mobile sont autorisées. |
| Autoriser une mise à jour Mobile OTA | Ce paramètre indique s'il est possible d'envoyer les paramètres de stratégie de boîte aux lettres d'appareil mobile sur l'appareil mobile via une connexion de données cellulaire. La valeur par défaut est true. |
| Autoriser les périphériques non configurables | Ce paramètre spécifie si les appareils mobiles qui peuvent ne pas prendre en charge l’application de tous les paramètres de stratégie sont autorisés à se connecter à Office 365 à l’aide de Exchange ActiveSync. Autoriser les appareils mobiles non configurables peut avoir des conséquences sur la sécurité. Par exemple, certains appareils non configurables peuvent ne pas être en mesure de mettre en œuvre les exigences de l'organisation en matière de mots de passe. |
| Autoriser les messages au format POP/IMAP | Ce paramètre spécifie si l'utilisateur peut configurer un compte de messagerie électronique POP3 ou IMAP4 sur l'appareil mobile. La valeur par défaut est $true. Ce paramètre ne régit pas l'accès via des programmes de messagerie tiers. |
| Autoriser le bureau à distance | Ce paramètre spécifie si l'appareil mobile peut initier une connexion Bureau à distance. La valeur par défaut est $true. |
| Autoriser mot de passe simple | Ce paramètre active ou désactive la possibilité d'utiliser un mot de passe simple, comme 1111 ou 1234. La valeur par défaut est $true. |
| Autoriser la négociation d'algorithme de chiffrement S/MIME | Le paramètre spécifie si l'application de messagerie sur l'appareil mobile peut négocier l'algorithme de chiffrement au cas où le certificat d'un destinataire ne prendrait pas en charge l'algorithme de chiffrement spécifié. |
| Autoriser les certificats logiciels S/MIME | Ce paramètre spécifie si les certificats logiciels S/MIME sont autorisés sur l'appareil mobile. |
| Autoriser les cartes de stockage | Ce paramètre spécifie si l'appareil mobile peut accéder aux informations stockées sur une carte de stockage. |
| Autoriser la messagerie texte | Ce paramètre indique si l'utilisation de la messagerie texte de l'appareil mobile est autorisée. La valeur par défaut est $true. |
| Autoriser les applications non signées | Ce paramètre indique si des applications non signées peuvent être installées sur l'appareil mobile. La valeur par défaut est $true. |
| Autoriser les packages d'installation non signés | Ce paramètre indique si des packages d'installation non signés peuvent être exécutés sur l'appareil mobile. La valeur par défaut est $true. |
| Autoriser Wi-Fi | Ce paramètre indique si l'accès Internet sans fil est autorisé sur l'appareil mobile. La valeur par défaut est $true. |
| Mot de passe alphanumérique requis | Ce paramètre requiert qu'un mot de passe contienne des caractères numériques et non numériques. La valeur par défaut est $true. |
| Liste d'applications approuvées | Ce paramètre indique si une liste d'applications approuvées peut être exécutée sur l'appareil mobile. |
| Pièces jointes activées | Ce paramètre permet le téléchargement de pièces jointes sur l'appareil mobile. La valeur par défaut est $true. |
| Chiffrement de périphérique activé | Ce paramètre active le chiffrement sur l'appareil mobile. Tous les appareils mobiles ne peuvent pas appliquer le chiffrement. Pour plus d'informations, consultez la documentation du périphérique et du système d'exploitation mobile. |
| Intervalle d'actualisation de stratégie de l'appareil | Ce paramètre indique la fréquence de transmission de la stratégie de boîte aux lettres de l'appareil mobile du serveur à l'appareil mobile. |
| IRM activé | Ce paramètre indique si la gestion des droits relatifs à l'information (IRM) est activée sur l'appareil mobile. |
| Taille de pièce jointe maximale | Ce paramètre commande la taille maximale des pièces jointes téléchargeables sur l'appareil mobile. La valeur par défaut est Illimité. |
| Filtre d'âge maximal du calendrier | Ce paramètre spécifie la plage maximale de jours de calendrier qui peut être synchronisée avec l'appareil mobile. Les valeurs suivantes sont acceptées : tous Deux semaines OneMonth Trois mois SixMois |
| Filtre d'âge maximal du courrier électronique | Ce paramètre spécifie le nombre maximal de jours pendant lesquels les éléments de courrier électronique doivent être synchronisés avec l’appareil mobile. Les valeurs suivantes sont acceptées : All OneDay Trois jours OneWeek Deux semaines OneMonth |
| Taille maximale de troncature de corps de message électronique | Le paramètre indique la taille maximale qui délimite des messages électroniques lors de la synchronisation avec l'appareil mobile. La valeur est exprimée en « kilo-octets (Ko) ». |
| Taille maximale de troncature de corps HTML du message | Ce paramètre indique la taille maximale qui délimite des messages électroniques HTML lors de la synchronisation avec l'appareil mobile. La valeur est exprimée en « kilo-octets (Ko) ». |
| Verrouillage de temps d'inactivité maximal | Cette valeur spécifie la durée pendant laquelle l’appareil mobile peut être inactif avant qu’un mot de passe ne soit nécessaire pour le réactiver. Vous pouvez entrer n’importe quel intervalle compris entre 30 secondes et 1 heure. La valeur par défaut est 15 minutes. |
| Nombre maximal d'échecs de mot de passe | Ce paramètre spécifie le nombre de tentatives dont dispose un utilisateur pour entrer le mot de passe correct pour l'appareil mobile. Vous pouvez entrer n’importe quel nombre compris entre 4 et 16. La valeur par défaut est 8. |
| Nombre minimum de caractères complexes du mot de passe | Ce paramètre spécifie le nombre minimal de caractères complexes requis dans le mot de passe de l’appareil mobile. Un caractère complexe est un caractère qui n’est pas une lettre. |
| Longueur minimale du mot de passe | Ce paramètre indique le nombre minimal de caractères requis dans le mot de passe de l'appareil mobile. Vous pouvez entrer n’importe quel nombre compris entre 1 et 16. La valeur par défaut est 4. |
| Mot de passe activé | Ce paramètre active le mot de passe de l'appareil mobile. |
| Expiration du mot de passe | Ce paramètre permet à l'administrateur de configurer un délai à l'issue duquel un mot de passe d'appareil mobile doit être modifié. |
| Historique du mot de passe | Ce paramètre indique le nombre d'anciens mots de passe qui peuvent être stockés dans la boîte aux lettres d'un utilisateur. Un utilisateur ne peut pas réutiliser un mot de passe stocké. |
| Récupération du mot de passe activée | Lorsque ce paramètre est activé, l'appareil mobile génère un mot de passe de récupération qui est envoyé au serveur. Si l'utilisateur oublie le mot de passe de son appareil mobile, le mot de passe de récupération lui permet de déverrouiller l'appareil mobile et de créer un mot de passe. |
| Exiger le chiffrement de l'appareil | Ce paramètre indique si le chiffrement du périphérique est requis. Si la $truevaleur est définie sur , l’appareil mobile doit être en mesure de prendre en charge et d’implémenter le chiffrement pour se synchroniser avec le serveur. |
| Exiger des messages S/MIME chiffrés | Ce paramètre indique si les messages S/MIME doivent être chiffrés. La valeur par défaut est $false. |
| Exiger un algorithme S/MIME de chiffrement | Ce paramètre spécifie l’algorithme à utiliser lors du chiffrement des messages S/MIME. |
| Exiger la synchronisation manuelle en itinérance | Ce paramètre indique si l'appareil mobile doit effectuer une synchronisation manuelle en mode itinérance. L’autorisation de la synchronisation automatique pendant l’itinérance entraîne souvent des coûts de données plus élevés que prévu pour le plan de données d’appareil mobile. |
| Exiger un algorithme S/MIME signé | Ce paramètre spécifie l’algorithme à utiliser lors de la signature d’un message. |
| Exiger des messages S/MIME signés | Ce paramètre indique si l'appareil mobile doit envoyer des messages S/MIME signés. |
| Exiger le chiffrement de la carte de stockage | Ce paramètre indique si la carte de stockage doit être chiffrée. Les systèmes d'exploitation d'appareil mobile ne prennent pas tous en charge le chiffrement des cartes de stockage. Pour plus d'informations, consultez la documentation de votre appareil mobile et du système d'exploitation mobile. |
| Liste d'applications InROM non approuvées | Ce paramètre spécifie une liste d'applications qui ne peuvent pas être exécutées dans la mémoire ROM. |
Gestion des stratégies de boîte aux lettres d’appareil mobile
Les stratégies de boîte aux lettres d’appareil mobile peuvent être créées, modifiées ou supprimées dans le Centre d’administration Exchange (EAC) ou Exchange Online PowerShell. Si vous créez une stratégie dans le CAE, vous ne pouvez configurer qu'un sous-ensemble des paramètres disponibles. Vous pouvez configurer le reste des paramètres à l’aide de Exchange Online PowerShell.
Ce qu'il faut savoir avant de commencer
Durée d'exécution estimée : 15 minutes.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour plus d’informations sur les autorisations dont vous avez besoin, consultez la fonctionnalité « Appareils mobiles » dans l’article Autorisations des fonctionnalités dans Exchange Online article.
Pour plus d’informations sur l’ouverture du Centre d’administration Exchange (EAC), consultez Centre d’administration Exchange dans Exchange Online. Pour plus d’informations sur la connexion à Exchange Online PowerShell, consultez Se connecter à Exchange Online PowerShell.
Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cet article, voir Raccourcis clavier pour le Centre d’administration Exchange.
Créer une stratégie de boîte aux lettres d'appareil mobile
Utiliser le CAE pour créer une stratégie de boîte aux lettres d'appareils mobiles
Dans le Centre d’administration Exchange, accédez àStratégie de boîte aux lettres d’appareilmobile> mobile, puis sélectionnez Nouvelle
Dans la page Détails de la nouvelle stratégie de boîte aux lettres d’appareil mobile , utilisez les différentes cases à cocher et listes déroulantes pour configurer les paramètres des sections suivantes :
- Création d’une stratégie
- Ajouter des paramètres de sécurité
- Vérifier et terminer
Sélectionnez Créer.
Avertissement
Sélectionnez Il s’agit de la stratégie par défaut pour définir la nouvelle stratégie de boîte aux lettres mobile comme stratégie par défaut. Une fois que vous avez défini une stratégie de boîte aux lettres mobile comme stratégie par défaut, tous les nouveaux utilisateurs se voient attribuer cette stratégie automatiquement lorsqu’ils sont créés.
Utiliser la Exchange Online PowerShell pour créer une stratégie de boîte aux lettres d’appareil mobile
Vous pouvez créer une stratégie de boîte aux lettres d’appareil mobile à l’aide de l’applet de commande New-MobileDeviceMailboxPolicy .
Dans le Exchange Online PowerShell, exécutez la commande suivante :
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien créé une stratégie de boîte aux lettres d'appareils mobiles, choisissez l'une des options suivantes :
Dans le CENTRE d’administration Exchange, accédez à Stratégie deboîte aux lettres d’appareil mobilemobile> et vérifiez que votre nouvelle stratégie est affichée dans l’affichage Liste.
Dans le Exchange Online PowerShell, exécutez la commande suivante :
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Pour plus d’informations sur cette applet de commande, consultez Get-MobileDeviceMailboxPolicy.
Utiliser le CAE pour modifier une stratégie de boîte aux lettres d'appareils mobiles
Remarque
Vous pouvez uniquement modifier un sous-ensemble de paramètres de stratégie de boîte aux lettres d'appareils mobiles dans le CAE. Pour modifier tous les paramètres de stratégie de boîte aux lettres d’appareil mobile, vous devez utiliser la Exchange Online PowerShell.
Dans le Centre d’administration Exchange, accédez àStratégie de boîte aux lettres d’appareil mobile mobile>.
Sélectionnez une stratégie dans l’affichage Liste, puis sélectionnez
Utilisez les onglets Général et Sécurité pour modifier les paramètres de la stratégie de boîte aux lettres d'appareils mobiles.
Sélectionnez Enregistrer pour mettre à jour la stratégie.
Utiliser la Exchange Online PowerShell pour modifier les paramètres de stratégie de boîte aux lettres des appareils mobiles
Vous pouvez modifier une stratégie de boîte aux lettres d’appareil mobile à l’aide de l’applet de commande Set-MobileDeviceMailboxPolicy .
- Dans le Exchange Online PowerShell, exécutez la commande suivante :
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement modifié une stratégie de boîte aux lettres d’appareil mobile, effectuez l’une des étapes suivantes :
Dans le Centre d’administration Exchange, accédez àStratégie de boîte aux lettres d’appareil mobilemobile>, puis choisissez une stratégie spécifique. Dans le volet qui affiche les détails de la stratégie de boîte aux lettres, vous verrez un certain nombre de paramètres de stratégie répertoriés.
Dans Exchange Online PowerShell, exécutez la commande suivante.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Pour plus d’informations sur cette applet de commande, consultez Get-MobileDeviceMailboxPolicy.