Partager via


Infrastructure de protection des données utilisant des stratégies de protection des applications

À mesure que de plus en plus d’organisations implémentent des stratégies d’appareils mobiles pour accéder aux données professionnelles ou scolaires, la protection contre les fuites de données devient primordiale. La solution de gestion des applications mobiles de Intune pour la protection contre les fuites de données est app Protection Policies (APP). LES APPLICATIONS sont des règles qui garantissent que les données d’un organization restent sécurisées ou contenues dans une application managée, que l’appareil soit inscrit ou non. Pour plus d’informations, consultez Protection d'applications vue d’ensemble des stratégies.

Lorsque vous configurez des stratégies de protection des applications, le nombre de paramètres et d’options différents permet aux organisations d’adapter la protection à leurs besoins spécifiques. En raison de cette flexibilité, il n’est peut-être pas évident de déterminer quelle permutation des paramètres de stratégie est nécessaire pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser les efforts de renforcement des points de terminaison client, Microsoft a introduit une nouvelle taxonomie pour les configurations de sécurité dans Windows 10, et Intune tire parti d’une taxonomie similaire pour son infrastructure de protection des données d’application pour la gestion des applications mobiles.

L’infrastructure de configuration de protection des données des applications est organisée en trois scénarios de configuration distincts :

  • Protection de base des données d’entreprise de niveau 1 : Microsoft recommande cette configuration comme configuration minimale de protection des données pour un appareil d’entreprise.

  • Protection améliorée des données d’entreprise de niveau 2 : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent à des données professionnelles ou scolaires. Certains des contrôles peuvent avoir un impact sur l’expérience utilisateur.

  • Protection élevée des données d’entreprise de niveau 3 : Microsoft recommande cette configuration pour les appareils exécutés par un organization avec une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (les utilisateurs qui gèrent des données hautement sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour le organization). Un organization susceptible d’être ciblé par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration.

Méthodologie de déploiement d’APP Data Protection Framework

Comme pour tout déploiement de nouveaux logiciels, fonctionnalités ou paramètres, Microsoft recommande d’investir dans une méthodologie en anneau pour tester la validation avant de déployer l’infrastructure de protection des données des applications. La définition d’anneaux de déploiement est généralement un événement unique (ou du moins peu fréquent), mais le service informatique doit revoir ces groupes pour s’assurer que le séquencement est toujours correct.

Microsoft recommande l’approche en anneau de déploiement suivante pour l’infrastructure de protection des données des applications :

Anneau de déploiement Tenant Équipes d’évaluation Sortie Chronologie
Assurance qualité Locataire de préproduction Propriétaires de fonctionnalités mobiles, sécurité, évaluation des risques, confidentialité, expérience utilisateur Validation de scénario fonctionnel, documentation préliminaire 0-30 jours
Aperçu Locataire de production Propriétaires de fonctionnalités mobiles, expérience utilisateur Validation de scénario de l’utilisateur final, documentation utilisateur 7-14 jours après la phase Assurance qualité
Production Locataire de production Propriétaires de fonctionnalités mobiles, support technique informatique S/O De 7 jours à plusieurs semaines après la phase Preview

Comme l’indique le tableau ci-dessus, toutes les modifications apportées aux stratégies de protection des applications doivent d’abord être effectuées dans un environnement de préproduction pour comprendre les implications des paramètres de stratégie. Une fois les tests terminés, les modifications peuvent être déplacées en production et appliquées à un sous-ensemble d’utilisateurs de production, généralement le service informatique et d’autres groupes applicables. Enfin, le déploiement peut être effectué dans le reste de la communauté des utilisateurs mobiles. Le déploiement en production peut prendre plus de temps en fonction de l’ampleur de l’impact concernant la modification. S’il n’y a pas d’impact sur l’utilisateur, la modification doit être déployée rapidement, tandis que, si la modification entraîne un impact sur l’utilisateur, le déploiement peut être plus lent en raison de la nécessité de communiquer les modifications à la population d’utilisateurs.

Lorsque vous testez les modifications apportées à une APPLICATION, tenez compte du délai de remise. La status de remise d’application pour un utilisateur donné peut être surveillée. Pour plus d’informations, consultez Guide pratique pour surveiller les stratégies de protection des applications.

Les paramètres d’application individuels pour chaque application peuvent être validés sur les appareils à l’aide de Microsoft Edge et de l’URL about :Intunehelp. Pour plus d’informations, consultez Passer en revue les journaux de protection des applications clientes et Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux des applications gérées.

Paramètres de l’infrastructure de protection des données des applications

Les paramètres de stratégie de protection des applications suivants doivent être activés pour les applications applicables et attribués à tous les utilisateurs mobiles. Pour plus d’informations sur chaque paramètre de stratégie, consultez Paramètres de stratégie de protection des applications iOS et Paramètres de stratégie de protection des applications Android.

Microsoft recommande d’examiner et de catégoriser les scénarios d’utilisation, puis de configurer les utilisateurs à l’aide des instructions normatives pour ce niveau. Comme pour n’importe quel framework, les paramètres d’un niveau correspondant peuvent devoir être ajustés en fonction des besoins de l’organization, car la protection des données doit évaluer l’environnement des menaces, l’appétit au risque et l’impact sur la facilité d’utilisation.

Les administrateurs peuvent incorporer les niveaux de configuration ci-dessous dans leur méthodologie de déploiement en anneau à des fins de test et de production en important l’exemple Intune modèles JSON App Protection Policy Configuration Framework avec les scripts PowerShell de Intune.

Remarque

Lorsque vous utilisez GAM pour Windows, consultez Protection d'applications paramètres de stratégie pour Windows.

Stratégies d’accès conditionnel

Pour vous assurer que seules les applications prenant en charge les stratégies de protection des applications accèdent aux données de compte professionnel ou scolaire, Microsoft Entra stratégies d’accès conditionnel sont requises. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.

Consultez Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles dans Accès conditionnel : Exiger des applications clientes approuvées ou une stratégie de protection des applications pour connaître les étapes d’implémentation des stratégies spécifiques. Enfin, implémentez les étapes décrites dans Bloquer l’authentification héritée pour bloquer les applications iOS et Android compatibles avec l’authentification héritée.

Remarque

Ces stratégies tirent parti des contrôles d’octroi Exiger une application cliente approuvée et Exiger la stratégie de protection des applications.

Applications à inclure dans les stratégies de protection des applications

Pour chaque stratégie de protection des applications, le groupe Core Microsoft Apps est ciblé, qui inclut les applications suivantes :

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

Les stratégies doivent inclure d’autres applications Microsoft basées sur les besoins de l’entreprise, des applications publiques tierces supplémentaires qui ont intégré le KIT de développement logiciel (SDK) Intune utilisé dans le organization, ainsi que des applications métier qui ont intégré le SDK Intune (ou qui ont été encapsulées).

Protection de base des données d’entreprise de niveau 1

Le niveau 1 est la configuration minimale de protection des données pour un appareil mobile d’entreprise. Cette configuration remplace la nécessité de stratégies d’accès aux appareils Exchange Online de base en exigeant un code confidentiel pour accéder aux données professionnelles ou scolaires, en chiffrant les données de compte professionnel ou scolaire et en fournissant la possibilité de réinitialiser de manière sélective les données scolaires ou professionnelles. Toutefois, contrairement aux stratégies d’accès aux appareils Exchange Online, les paramètres de stratégie de protection des applications ci-dessous s’appliquent à toutes les applications sélectionnées dans la stratégie, garantissant ainsi que l’accès aux données est protégé au-delà des scénarios de messagerie mobile.

Les stratégies du niveau 1 appliquent un niveau d’accès aux données raisonnable tout en réduisant l’impact sur les utilisateurs et miroir les paramètres de protection des données et d’accès par défaut lors de la création d’une stratégie de protection des applications dans Microsoft Intune.

Protection des données

Setting Description du paramètre Valeur Plateforme
Transfert de données Sauvegarder les données de l’organisation sur... Autoriser iOS/iPadOS, Android
Transfert de données Envoyer des données d’organisation à d’autres applications Toutes les applications iOS/iPadOS, Android
Transfert de données Envoyer des données d’organisation à Toutes les destinations Windows
Transfert de données Recevoir des données d’autres applications Toutes les applications iOS/iPadOS, Android
Transfert de données Recevoir des données de Toutes les sources Windows
Transfert de données Restreindre les opérations couper, copier et coller entre les applications N’importe quelle application iOS/iPadOS, Android
Transfert de données Autoriser les opérations couper, copier et coller pour N’importe quelle destination et toute source Windows
Transfert de données Claviers tiers Autoriser iOS/iPadOS
Transfert de données Claviers approuvés Non requis Android
Transfert de données Capture d’écran et Assistant Google Autoriser Android
Chiffrement Chiffrer les données d’organisation Require (Rendre obligatoire) iOS/iPadOS, Android
Chiffrement Chiffrer les données d’organisation sur les appareils inscrits Require (Rendre obligatoire) Android
Les fonctionnalités Synchroniser l’application avec l’application de contacts native Autoriser iOS/iPadOS, Android
Les fonctionnalités Impression de données d’organisation Autoriser iOS/iPadOS, Android, Windows
Les fonctionnalités Limiter le transfert de contenu web avec d'autres applications N’importe quelle application iOS/iPadOS, Android
Les fonctionnalités Notifications de données de l’organisation Autoriser iOS/iPadOS, Android

Condition d’accès

Setting Valeur Plateforme Notes
Accès par code PIN Require (Rendre obligatoire) iOS/iPadOS, Android
Type de code confidentiel Numérique iOS/iPadOS, Android
Code confidentiel simple Autoriser iOS/iPadOS, Android
Sélectionnez Longueur minimale du code confidentiel 4 iOS/iPadOS, Android
Touch ID au lieu du code pin pour l’accès (iOS 8+/iPadOS) Autoriser iOS/iPadOS
Remplacer la biométrie par un code confidentiel après expiration Require (Rendre obligatoire) iOS/iPadOS, Android
Délai d’expiration (minutes d’activité) 1440 iOS/iPadOS, Android
Face ID au lieu du code pin pour l’accès (iOS 11+/iPadOS) Autoriser iOS/iPadOS
Biométrie au lieu du code pin pour l’accès Autoriser iOS/iPadOS, Android
Réinitialisation du code PIN au bout d’un nombre de jours Non iOS/iPadOS, Android
Sélectionner le nombre de valeurs de code confidentiel précédentes à conserver 0 Android
PIN de l'application lorsque le PIN de l'appareil est défini Require (Rendre obligatoire) iOS/iPadOS, Android Si l’appareil est inscrit dans Intune, les administrateurs peuvent envisager de définir ce paramètre sur « Non requis » s’ils appliquent un code pin d’appareil fort via une stratégie de conformité de l’appareil.
Informations d’identification du compte professionnel ou scolaire pour l’accès Non requis iOS/iPadOS, Android
Revérifier les exigences d’accès après (minutes d’inactivité) 30 iOS/iPadOS, Android

Lancement conditionnel

Setting Description du paramètre Valeur /Action Plateforme Notes
Conditions de l’application Tentatives de code PIN maximum 5 / Réinitialiser le code confidentiel iOS/iPadOS, Android
Conditions de l’application Période de grâce hors connexion 10080 / Bloquer l’accès (minutes) iOS/iPadOS, Android, Windows
Conditions de l’application Période de grâce hors connexion 90 / Réinitialiser les données (jours) iOS/iPadOS, Android, Windows
Conditions de l’appareil Appareils jailbreakés/rootés N/A / Bloquer l’accès iOS/iPadOS, Android
Conditions de l’appareil Attestation d’appareil SafetyNet Intégrité de base et appareils certifiés / Bloquer l’accès Android

Ce paramètre configure l’intégrité des appareils google play case activée sur les appareils des utilisateurs finaux. L’intégrité de base valide l’intégrité de l’appareil. Les appareils rootés, les émulateurs, les appareils virtuels et les appareils présentant des signes d’altération échouent aux tests d’intégrité de base.

L’intégrité de base et les appareils certifiés valident la compatibilité de l’appareil avec les services de Google. Seuls les appareils non modifiés qui ont été certifiés par Google peuvent satisfaire à ce contrôle.

Conditions de l’appareil Exiger l’analyse des menaces sur les applications N/A / Bloquer l’accès Android Ce paramètre garantit que l’analyse Vérifier les applications de Google est activée pour les appareils des utilisateurs finaux. Si cette option est configurée, l’accès de l’utilisateur final est bloqué jusqu’à ce qu’il active l’analyse de l’application google sur son appareil Android.
Conditions de l’appareil Niveau de menace maximal autorisé pour l’appareil Accès faible/bloquer Windows
Conditions de l’appareil Exiger le verrouillage de l’appareil Faible/Avertissement Android Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales.

Remarque

Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.

Protection améliorée des données d’entreprise de niveau 2

Le niveau 2 est la configuration de protection des données recommandée en tant que norme pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ces appareils sont aujourd’hui une cible naturelle au sein des entreprises. Ces recommandations ne supposent pas un grand nombre de professionnels de la sécurité hautement qualifiés et doivent donc être accessibles à la plupart des organisations d’entreprise. Cette configuration s’étend sur la configuration au niveau 1 en limitant les scénarios de transfert de données et en exigeant une version minimale du système d’exploitation.

Importante

Les paramètres de stratégie appliqués au niveau 2 incluent tous les paramètres de stratégie recommandés pour le niveau 1. Toutefois, le niveau 2 répertorie uniquement les paramètres qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 1. Bien que ces paramètres puissent avoir un impact légèrement plus élevé sur les utilisateurs ou les applications, ils appliquent un niveau de protection des données plus proportionnel aux risques auxquels sont confrontés les utilisateurs ayant accès aux informations sensibles sur les appareils mobiles.

Protection des données

Setting Description du paramètre Valeur Plateforme Notes
Transfert de données Sauvegarder les données de l’organisation sur... Bloquer iOS/iPadOS, Android
Transfert de données Envoyer des données d’organisation à d’autres applications Applications gérées par la stratégie iOS/iPadOS, Android

Avec iOS/iPadOS, les administrateurs peuvent configurer cette valeur pour qu’elle soit « Applications gérées par une stratégie », « Applications gérées par une stratégie avec partage de système d’exploitation » ou « Applications gérées par une stratégie avec filtrage Open-In/Share ».

Les applications gérées par une stratégie avec partage de système d’exploitation sont disponibles lorsque l’appareil est également inscrit avec Intune. Ce paramètre permet le transfert de données vers d’autres applications gérées par une stratégie et les transferts de fichiers vers d’autres applications gérées par Intune.

Les applications gérées par une stratégie avec le filtrage Open-In/Share filtrent les boîtes de dialogue Ouvrir/Partager du système d’exploitation pour afficher uniquement les applications gérées par la stratégie.

Pour plus d’informations, consultez Paramètres de stratégie de protection des applications iOS.

Transfert de données Envoyer des données ou à Aucune destination Windows
Transfert de données Recevoir des données de Aucune source Windows
Transfert de données Sélectionner les applications à exclure Par défaut / skype ; app-settings ; calshow ; itms ; itmss ; itms-apps ; itms-appss ; itms-services ; iOS/iPadOS
Transfert de données Enregistrer des copies des données d’organisation Bloquer iOS/iPadOS, Android
Transfert de données Autoriser les utilisateurs à enregistrer des copies dans les services sélectionnés OneDrive Entreprise, SharePoint Online, Photothèque iOS/iPadOS, Android
Transfert de données Transférer les données de télécommunications vers Toute application de numérotation iOS/iPadOS, Android
Transfert de données Restreindre les opérations couper, copier et coller entre les applications Applications gérées par une stratégie avec collage iOS/iPadOS, Android
Transfert de données Autoriser les opérations couper, copier et coller pour Aucune destination ou source Windows
Transfert de données Capture d’écran et Assistant Google Bloquer Android
Les fonctionnalités Limiter le transfert de contenu web avec d'autres applications Microsoft Edge iOS/iPadOS, Android
Les fonctionnalités Notifications de données de l’organisation Bloquer les données d’organisation iOS/iPadOS, Android Pour obtenir la liste des applications qui prennent en charge ce paramètre, consultez Paramètres de stratégie de protection des applications iOS et Paramètres de stratégie de protection des applications Android.

Lancement conditionnel

Setting Description du paramètre Valeur /Action Plateforme Notes
Conditions de l’application Compte désactivé N/A / Bloquer l’accès iOS/iPadOS, Android, Windows
Conditions de l’appareil Version min. de l’OS Format : Major.Minor.Build
Exemple : 14.8
/ Bloquer l’accès
iOS/iPadOS Microsoft recommande de configurer la version principale iOS minimale pour qu’elle corresponde aux versions iOS prises en charge pour les applications Microsoft. Les applications Microsoft prennent en charge une approche N-1 où N est la version actuelle de la version principale d’iOS. Pour les valeurs de version mineure et de build, Microsoft recommande de s’assurer que les appareils sont à jour avec les mises à jour de sécurité respectives. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple
Conditions de l’appareil Version min. de l’OS Format : Major.Minor
Exemple : 9.0
/ Bloquer l’accès
Android Microsoft recommande de configurer la version principale Android minimale pour qu’elle corresponde aux versions Android prises en charge pour les applications Microsoft. Les OEM et les appareils qui adhèrent aux spécifications recommandées pour Android Enterprise doivent prendre en charge la version d’expédition actuelle + mise à niveau d’une lettre. Android recommande actuellement Android 9.0 et versions ultérieures pour les travailleurs du savoir. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android
Conditions de l’appareil Version min. de l’OS Format : Build
Exemple : 10.0.22621.2506
/ Bloquer l’accès
Windows Microsoft recommande de configurer la build Windows minimale pour qu’elle corresponde aux versions de Windows prises en charge pour les applications Microsoft. Actuellement, Microsoft recommande ce qui suit :
Conditions de l’appareil Version minimale du correctif Format : AAAA-MM-JJ
Exemple : 2020-01-01
/ Bloquer l’accès
Android Les appareils Android peuvent recevoir des correctifs de sécurité mensuels, mais la version dépend des OEM et/ou des opérateurs. Les organisations doivent s’assurer que les appareils Android déployés reçoivent des mises à jour de sécurité avant d’implémenter ce paramètre. Consultez les bulletins de sécurité Android pour connaître les dernières versions des correctifs.
Conditions de l’appareil Type d’évaluation SafetyNet requis Clé sauvegardée sur matériel Android L’attestation basée sur le matériel améliore la case activée du service d’intégrité play de Google existant en appliquant un nouveau type d’évaluation appelé Hardware Backed, fournissant une détection racine plus robuste en réponse à des types plus récents d’outils et de méthodes de rootage qui ne peuvent pas toujours être détectés de manière fiable par une solution logicielle uniquement.

Comme son nom l’indique, l’attestation basée sur le matériel utilise un composant matériel, fourni avec les appareils installés avec Android 8.1 et versions ultérieures. Les appareils qui ont été mis à niveau à partir d’une version antérieure d’Android vers Android 8.1 ont peu de chances de disposer des composants basés sur le matériel nécessaires à l’attestation basée sur le matériel. Bien que ce paramètre soit largement pris en charge à partir des appareils livrés avec Android 8.1, Microsoft recommande vivement de tester les appareils individuellement avant d’activer largement ce paramètre de stratégie.

Conditions de l’appareil Exiger le verrouillage de l’appareil Accès intermédiaire/bloqué Android Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales.
Conditions de l’appareil Attestation d’appareil Samsung Knox Bloquer l’accès Android Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Bloquer l’accès pour garantir que l’accès au compte d’utilisateur est bloqué si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain.

Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune.

Conditions de l’application Période de grâce hors connexion 30 / Réinitialiser les données (jours) iOS/iPadOS, Android, Windows

Remarque

Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.

Protection élevée des données d’entreprise de niveau 3

Le niveau 3 est la configuration de protection des données recommandée en tant que norme pour les organisations disposant d’organisations de sécurité de grande taille et sophistiquées, ou pour des utilisateurs et des groupes spécifiques qui seront ciblés de manière unique par des adversaires. Ces organisations sont généralement ciblées par des adversaires bien financés et sophistiqués, et à ce titre méritent les contraintes et les contrôles supplémentaires décrits. Cette configuration s’étend sur la configuration au niveau 2 en limitant les scénarios de transfert de données supplémentaires, en augmentant la complexité de la configuration du code confidentiel et en ajoutant la détection des menaces mobiles.

Importante

Les paramètres de stratégie appliqués au niveau 3 incluent tous les paramètres de stratégie recommandés pour le niveau 2, mais ne répertorient que les paramètres ci-dessous qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 2. Ces paramètres de stratégie peuvent avoir un impact potentiellement significatif sur les utilisateurs ou les applications, en appliquant un niveau de sécurité proportionnel aux risques auxquels sont confrontées les organisations ciblées.

Protection des données

Setting Description du paramètre Valeur Plateforme Notes
Transfert de données Transférer les données de télécommunications vers N’importe quelle application de numérotation gérée par une stratégie Android Les administrateurs peuvent également configurer ce paramètre pour utiliser une application de numéroteur qui ne prend pas en charge les stratégies de protection des applications en sélectionnant Une application de numéroteur spécifique et en fournissant les valeurs ID du package d’application du numéroteur et Nom de l’application du numéroteur .
Transfert de données Transférer les données de télécommunications vers Une application de numéroteur spécifique iOS/iPadOS
Transfert de données Schéma d’URL de l’application de numéroteur replace_with_dialer_app_url_scheme iOS/iPadOS Sur iOS/iPadOS, cette valeur doit être remplacée par le schéma d’URL de l’application de numérotation personnalisée utilisée. Si le schéma d’URL n’est pas connu, contactez le développeur de l’application pour plus d’informations. Pour plus d’informations sur les schémas d’URL, consultez Définition d’un schéma d’URL personnalisé pour votre application.
Transfert de données Recevoir des données d’autres applications Applications gérées par la stratégie iOS/iPadOS, Android
Transfert de données Ouvrir les données dans les documents d’organisation Bloquer iOS/iPadOS, Android
Transfert de données Permettre aux utilisateurs d'ouvrir les données des services sélectionnés OneDrive Entreprise, SharePoint, Appareil photo, photothèque iOS/iPadOS, Android Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.
Transfert de données Claviers tiers Bloquer iOS/iPadOS Sur iOS/iPadOS, cela empêche tous les claviers tiers de fonctionner dans l’application.
Transfert de données Claviers approuvés Require (Rendre obligatoire) Android
Transfert de données Sélectionner les claviers à approuver ajouter/supprimer des claviers Android Avec Android, les claviers doivent être sélectionnés pour être utilisés en fonction de vos appareils Android déployés.
Les fonctionnalités Imprimer des données d’organisation Bloquer iOS/iPadOS, Android, Windows

Condition d’accès

Setting Valeur Plateforme
Code confidentiel simple Bloquer iOS/iPadOS, Android
Sélectionnez Longueur minimale du code confidentiel 6 iOS/iPadOS, Android
Réinitialisation du code PIN au bout d’un nombre de jours Oui iOS/iPadOS, Android
Nombre de jours 365 iOS/iPadOS, Android
Biométrie de classe 3 (Android 9.0+) Require (Rendre obligatoire) Android
Remplacer la biométrie par un code confidentiel après les mises à jour biométriques Require (Rendre obligatoire) Android

Lancement conditionnel

Setting Description du paramètre Valeur /Action Plateforme Notes
Conditions de l’appareil Exiger le verrouillage de l’appareil Accès élevé/bloqué Android Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales.
Conditions de l’appareil Niveau de menace maximal autorisé pour l’appareil Accès sécurisé/bloquer Windows
Conditions de l’appareil Appareils jailbreakés/rootés N/A / Réinitialiser les données iOS/iPadOS, Android
Conditions de l’appareil Niveau de menace maximal autorisé Accès sécurisé/bloquer iOS/iPadOS, Android

Les appareils non inscrits peuvent être inspectés pour détecter les menaces à l’aide de Mobile Threat Defense. Pour plus d’informations, consultez Mobile Threat Defense pour les appareils non inscrits.

Si l’appareil est inscrit, ce paramètre peut être ignoré au profit du déploiement de Mobile Threat Defense pour les appareils inscrits. Pour plus d’informations, consultez Protection contre les menaces mobiles pour les appareils inscrits.

Conditions de l’appareil Version maximale du système d'exploitation Format : Major.Minor
Exemple : 11.0
/ Bloquer l’accès
Android Microsoft recommande de configurer la version principale maximale d’Android pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android
Conditions de l’appareil Version maximale du système d'exploitation Format : Major.Minor.Build
Exemple : 15.0
/ Bloquer l’accès
iOS/iPadOS Microsoft recommande de configurer la version principale maximale d’iOS/iPadOS pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple
Conditions de l’appareil Version maximale du système d'exploitation Format : Major.Minor
Exemple : 22631.
/ Bloquer l’accès
Windows Microsoft recommande de configurer la version principale maximale de Windows pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées.
Conditions de l’appareil Attestation d’appareil Samsung Knox Réinitialiser les données Android Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Réinitialiser les données pour s’assurer que les données de l’organisation sont supprimées si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain.

Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune.

Conditions de l’application Période de grâce hors connexion 30 / Bloquer l’accès (jours) iOS/iPadOS, Android, Windows

Étapes suivantes

Les administrateurs peuvent incorporer les niveaux de configuration ci-dessus dans leur méthodologie de déploiement en anneau à des fins de test et de production en important l’exemple Intune modèles JSON App Protection Policy Configuration Framework avec les scripts PowerShell de Intune.

Voir aussi