Gérer l’accès à la collaboration de messagerie à l’aide d’Outlook pour iOS et Android avec Microsoft Intune

L'application Outlook pour iOS et Android regroupe la messagerie, le calendrier, les contacts et d'autres fichiers des utilisateurs de votre organisation pour les aider à réaliser différentes tâches depuis leur appareil mobile.

Les capacités de protection les plus riches et les plus étendues pour les données Microsoft 365 sont disponibles lorsque vous souscrivez à la suite Enterprise Mobility + Security, qui comprend les fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l'accès conditionnel. Au minimum, vous souhaiterez déployer une stratégie d’accès conditionnel qui autorise la connectivité à Outlook pour iOS et Android à partir d’appareils mobiles et une stratégie de protection des applications Intune qui garantit la protection de l’expérience de collaboration.

Appliquer l’accès conditionnel

Les organisations peuvent utiliser des stratégies d’accès conditionnel Microsoft Entra pour s’assurer que les utilisateurs peuvent uniquement accéder au contenu professionnel ou scolaire à l’aide d’Outlook pour iOS et Android. Pour ce faire, vous aurez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.

  1. Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles. Cette stratégie autorise Outlook pour iOS et Android, mais empêche les clients mobiles Exchange ActiveSync compatibles avec l’authentification de base et OAuth de se connecter à Exchange Online.

    Notes

    Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à l’aide des applications applicables.

  2. Suivez les étapes décrites dans Bloquer Exchange ActiveSync sur tous les appareils, ce qui empêche les clients Exchange ActiveSync utilisant l’authentification de base sur des appareils non mobiles de se connecter à Exchange Online.

    Les stratégies ci-dessus tirent parti de la stratégie d’octroi de contrôle d’accès Exiger la protection des applications, qui garantit qu’une stratégie De protection des applications Intune est appliquée au compte associé dans Outlook pour iOS et Android avant d’accorder l’accès. Si l’utilisateur n’est pas affecté à une stratégie Intune App Protection, n’a pas de licence pour Intune ou si l’application n’est pas incluse dans la stratégie De protection des applications Intune, la stratégie empêche l’utilisateur d’obtenir un jeton d’accès et d’accéder aux données de messagerie.

  3. Suivez les étapes décrites dans Guide pratique pour bloquer l’authentification héritée auprès de l’ID Microsoft Entra avec l’accès conditionnel pour bloquer l’authentification héritée pour d’autres protocoles Exchange sur des appareils iOS et Android ; cette stratégie doit cibler uniquement l’application cloud Microsoft Exchange Online et les plateformes d’appareils iOS et Android. Cela garantit que les applications mobiles utilisant les services web Exchange, IMAP4 ou LES protocoles POP3 avec l’authentification de base ne peuvent pas se connecter à Exchange Online.

Remarque

Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.

Créer des stratégies de protection des applications Intune

Les stratégies de protection des applications (SPA) définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.

Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

  • La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
  • La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
  • La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Que l’appareil soit inscrit ou non dans une solution de gestion unifiée des points de terminaison (UEM), une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Comment créer et attribuer des stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :

  • Elles incluent toutes les applications mobiles Microsoft 365, telles que Edge, Outlook, OneDrive, Office ou Teams, car cela garantit que les utilisateurs peuvent accéder aux données professionnelles ou scolaires et les manipuler dans n’importe quelle application Microsoft de manière sécurisée.

  • Elles doivent être affectées à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Outlook pour iOS ou Android.

  • Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.

Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.

Importante

Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune.

Utiliser la configuration de l’application

Outlook pour iOS et Android prend en charge les paramètres d’application qui permettent aux administrateurs de gestion unifiée des points de terminaison de personnaliser le comportement de l’application. Microsoft Intune, qui est une solution de gestion unifiée des points de terminaison, est couramment utilisé pour configurer et affecter des applications aux utilisateurs finaux de l’organisation.

La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur (le canal de Configuration d’application gérée des appareils inscrits pour iOS ou le canal Android dans l’entreprise pour Android) ou via le canal de la stratégie de protection de l’application Intune (APP). Outlook pour iOS et Android prend en charge les scénarios de configuration suivants :

  • Autoriser uniquement les comptes professionnels ou scolaires
  • Paramètres généraux de configuration d’application
  • Paramètres S/MIME
  • Paramètres de protection des données

Pour obtenir des étapes de procédure spécifiques et une documentation détaillée sur les paramètres de configuration d’application pris en charge par Outlook pour iOS et Android, voir Déploiement des paramètres de configuration d’application Outlook pour iOS et Android.

Étapes suivantes