Guide pratique pour créer et affecter des stratégies de protection des applications

Découvrez comment créer et attribuer des stratégies de protection des applications (APP) Microsoft Intune pour les utilisateurs de votre organisation. Cet article explique également comment apporter des modifications aux stratégies existantes.

Avant de commencer

Les stratégies de protection des applications peuvent s’appliquer aux applications s’exécutant sur des appareils qui peuvent ou non être gérés par Intune. Pour obtenir une description plus détaillée du fonctionnement des stratégies de protection des applications et des scénarios pris en charge par les stratégies de protection des applications Intune, consultez Vue d’ensemble des stratégies de protection des applications.

Les choix disponibles dans les stratégies de protection des applications (APP) permettent aux organisations de personnaliser la protection en fonction de leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.

Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

  • La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
  • La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
  • La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Si vous recherchez la liste des applications qui ont intégré le Kit de développement logiciel (SDK) Intune, consultez Applications protégées par Microsoft Intune.

Pour plus d’informations sur l’ajout d’applications métier de votre organisation à Microsoft Intune pour préparer les stratégies de protection des applications, consultez Ajouter des applications à Microsoft Intune.

Stratégies de protection des applications pour les applications iOS/iPadOS et Android

Lorsque vous créez une stratégie de protection des applications pour les applications iOS/iPadOS et Android, vous suivez un flux de processus Intune moderne qui aboutit à une nouvelle stratégie de protection des applications. Pour plus d’informations sur la création de stratégies de protection des applications pour les applications Windows, consultez Paramètres de stratégie de protection des applications pour Windows.

Créer une stratégie de protection des applications iOS/iPadOS ou Android

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Sélectionnez Applications>Stratégies de protection des applications. Cette sélection ouvre les détails des stratégies de protection des applications, où vous créez des stratégies et modifiez les stratégies existantes.
  3. Sélectionnez Créer une stratégie, puis sélectionnez iOS/iPadOS ou Android. Le volet Créer une stratégie s’affiche.
  4. Dans la page De base, ajoutez les valeurs suivantes :
Valeur Description
Nom Nom de cette stratégie de protection des applications.
Description [Facultatif] Description de cette stratégie de protection des applications.

Capture d’écran de la page Informations de base du volet Créer une stratégie

  1. Cliquez sur Suivant pour afficher la page Applications .
    La page Applications vous permet de choisir les applications qui doivent être ciblées par cette stratégie. Vous devez ajouter au moins une application.

    Valeur/Option Description
    Ciblez la stratégie sur Dans la zone de liste déroulante Stratégie cible vers , choisissez de cibler votre stratégie de protection des applications sur Toutes les applications, Microsoft Apps ou Core Microsoft Apps.

    • Toutes les applications incluent toutes les applications Microsoft et partenaires qui ont intégré le Kit de développement logiciel (SDK) Intune.
    • Microsoft Apps inclut toutes les applications Microsoft qui ont intégré le Kit de développement logiciel (SDK) Intune.
    • Core Microsoft Apps inclut les applications suivantes : Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do et Word.

    Ensuite, vous pouvez sélectionner Afficher une liste des applications qui seront ciblées pour afficher la liste des applications qui seront affectées par cette stratégie.
    Applications publiques Si vous ne souhaitez pas sélectionner l’un des groupes d’applications prédéfinis, vous pouvez choisir de cibler des applications individuelles en sélectionnant Applications sélectionnées dans la zone de liste déroulante Stratégie cible sur . Cliquez sur Sélectionner des applications publiques pour sélectionner les applications publiques à cibler.
    Applications personnalisées Si vous ne souhaitez pas sélectionner l’un des groupes d’applications prédéfinis, vous pouvez choisir de cibler des applications individuelles en sélectionnant Applications sélectionnées dans la zone de liste déroulante Stratégie cible sur . Cliquez sur Sélectionner des applications personnalisées pour sélectionner les applications personnalisées à cibler en fonction d’un ID d’offre groupée. Vous ne pouvez pas choisir une application personnalisée lorsque vous ciblez toutes les applications publiques dans la même stratégie.

    La ou les applications que vous avez sélectionnées apparaissent dans la liste des applications publiques et personnalisées.

    Remarque

    Les applications publiques prises en charge sont des applications de Microsoft et de partenaires couramment utilisées avec Microsoft Intune. Ces applications protégées par Intune sont activées avec un ensemble complet de stratégies de protection des applications mobiles. Pour plus d’informations, consultez Applications protégées par Microsoft Intune. Les applications personnalisées sont des applications métier qui ont été intégrées au SDK Intune ou encapsulées par l’outil de création de package de restrictions d’application Intune. Pour plus d’informations, consultez Vue d’ensemble du Kit de développement logiciel (SDK) d’application Microsoft Intune et Préparer des applications métier pour les stratégies de protection des applications.

  2. Cliquez sur Suivant pour afficher la page Protection des données .
    Cette page fournit des paramètres pour les contrôles de protection contre la perte de données (DLP), notamment les restrictions couper, copier, coller et enregistrer sous. Ces paramètres déterminent la façon dont les utilisateurs interagissent avec les données des applications appliquées par cette stratégie de protection des applications.

    Paramètres de protection des données :

  3. Cliquez sur Suivant pour afficher la page Conditions d’accès .
    Cette page fournit des paramètres pour vous permettre de configurer les exigences de code confidentiel et d’informations d’identification que les utilisateurs doivent respecter pour accéder aux applications dans un contexte professionnel.

    Paramètres des conditions d’accès :

  4. Cliquez sur Suivant pour afficher la page Lancement conditionnel .
    Cette page fournit des paramètres pour définir les exigences de sécurité de connexion pour votre stratégie de protection des applications. Sélectionnez un Paramètre et entrez la Valeur que les utilisateurs doivent rencontrer pour se connecter à votre application d’entreprise. Sélectionnez ensuite l’action que vous souhaitez effectuer si les utilisateurs ne répondent pas à vos besoins. Dans certains cas, plusieurs actions peuvent être configurées pour un seul paramètre.

    Paramètres de lancement conditionnel :

  5. Sélectionnez Suivant pour afficher la page Affectations.
    La page Affectations vous permet d’affecter la stratégie de protection des applications à des groupes d’utilisateurs. Vous devez appliquer la stratégie à un groupe d’utilisateurs pour que la stratégie prenne effet.

  6. Cliquez sur Suivant : Vérifier + créer pour passer en revue les valeurs et les paramètres que vous avez entrés pour cette stratégie de protection des applications.

  7. Lorsque vous avez terminé, cliquez sur Créer pour créer la stratégie de protection des applications dans Intune.

    Conseil

    Ces paramètres de stratégie sont appliqués uniquement lors de l’utilisation d’applications dans le contexte professionnel. Lorsque les utilisateurs finaux utilisent l’application pour effectuer une tâche personnelle, ils ne sont pas affectés par ces stratégies. Notez que lorsque vous créez un fichier, il est considéré comme un fichier personnel.

    Importante

    L’application des stratégies de protection des applications aux appareils existants peut prendre du temps. Les utilisateurs finaux voient une notification sur l’appareil lorsque la stratégie de protection des applications est appliquée. Appliquez vos stratégies de protection des applications aux appareils avant d’appliquer des règles d’accès condidtionnelles.

Les utilisateurs finaux peuvent télécharger les applications à partir de l’App Store ou de Google Play. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Modifier les stratégies existantes

Vous pouvez modifier une stratégie existante et l’appliquer aux utilisateurs ciblés. Pour plus d’informations sur le délai de remise de la stratégie, consultez Comprendre le délai de remise de la stratégie de protection des applications.

Pour modifier la liste des applications associées à la stratégie

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie que vous souhaitez modifier.

  2. Dans le volet Intune App Protection , sélectionnez Propriétés.

  3. En regard de la section intitulée Applications, sélectionnez Modifier.

  4. La page Applications vous permet de choisir les applications qui doivent être ciblées par cette stratégie. Vous devez ajouter au moins une application.

    Valeur/Option Description
    Applications publiques Dans la zone de liste déroulante Stratégie cible vers , choisissez de cibler votre stratégie de protection des applications sur Toutes les applications publiques, Applications Microsoft ou Applications Microsoft principales. Ensuite, vous pouvez sélectionner Afficher une liste des applications qui seront ciblées pour afficher la liste des applications qui seront affectées par cette stratégie.

    Si nécessaire, vous pouvez choisir de cibler des applications individuelles en cliquant sur Sélectionner des applications publiques.

    Applications personnalisées Cliquez sur Sélectionner des applications personnalisées pour sélectionner les applications personnalisées à cibler en fonction d’un ID d’offre groupée.

    La ou les applications que vous avez sélectionnées apparaissent dans la liste des applications publiques et personnalisées.

  5. Cliquez sur Vérifier + créer pour passer en revue les applications sélectionnées pour cette stratégie.

  6. Lorsque vous avez terminé, cliquez sur Enregistrer pour mettre à jour la stratégie de protection des applications.

Pour modifier la liste des groupes d’utilisateurs

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie que vous souhaitez modifier.

  2. Dans le volet Intune App Protection , sélectionnez Propriétés.

  3. En regard de la section intitulée Affectations, sélectionnez Modifier.

  4. Pour ajouter un nouveau groupe d’utilisateurs à la stratégie, sous l’onglet Inclure , choisissez Sélectionner les groupes à inclure, puis sélectionnez le groupe d’utilisateurs. Choisissez Sélectionner pour ajouter le groupe.

  5. Pour exclure un groupe d’utilisateurs, sous l’onglet Exclure , choisissez Sélectionner les groupes à exclure, puis sélectionnez le groupe d’utilisateurs. Choisissez Sélectionner pour supprimer le groupe d’utilisateurs.

  6. Pour supprimer des groupes qui ont été ajoutés précédemment, sous les onglets Inclure ou Exclure , sélectionnez les points de suspension (...) et sélectionnez Supprimer.

  7. Cliquez sur Vérifier + créer pour passer en revue les groupes d’utilisateurs sélectionnés pour cette stratégie.

  8. Une fois que vos modifications apportées aux affectations sont prêtes, sélectionnez Enregistrer pour enregistrer la configuration et déployer la stratégie sur le nouvel ensemble d’utilisateurs. Si vous sélectionnez Annuler avant d’enregistrer votre configuration, vous ignorez toutes les modifications que vous avez apportées aux onglets Inclure et Exclure .

Pour modifier les paramètres de stratégie

  1. Dans le volet Stratégies de protection des applications, sélectionnez la stratégie que vous souhaitez modifier.

  2. Dans le volet Intune App Protection , sélectionnez Propriétés.

  3. En regard de la section correspondant aux paramètres que vous souhaitez modifier, sélectionnez Modifier. Remplacez ensuite les paramètres par de nouvelles valeurs.

  4. Cliquez sur Vérifier + créer pour passer en revue les paramètres mis à jour de cette stratégie.

  5. Sélectionnez Enregistrer pour enregistrer vos modifications. Répétez le processus pour sélectionner une zone de paramètres et modifier, puis enregistrez vos modifications, jusqu’à ce que toutes vos modifications soient terminées. Vous pouvez ensuite fermer le volet Intune App Protection - Propriétés .

Stratégies de protection des applications cibles en fonction de l’état de gestion des appareils

Dans de nombreuses organisations, il est courant d’autoriser les utilisateurs finaux à utiliser à la fois des appareils gérés par la gestion des appareils mobiles (GPM) Intune, tels que des appareils appartenant à l’entreprise, et des appareils non gérés protégés avec uniquement des stratégies de protection des applications Intune. Les appareils non gérés sont souvent appelés BYOD (Bring Your Own Devices).

Étant donné que les stratégies de protection des applications Intune ciblent l’identité d’un utilisateur, les paramètres de protection d’un utilisateur peuvent s’appliquer à la fois aux appareils inscrits (gérés par MDM) et non inscrits (sans GPM). Par conséquent, vous pouvez cibler une stratégie de protection des applications Intune sur des appareils iOS/iPadOS et Android inscrits ou non inscrits à l’aide de filtres. Pour plus d’informations sur la création de filtres, consultez Utiliser des filtres lors de l’attribution de stratégies . Vous pouvez avoir une stratégie de protection pour les appareils non gérés dans lesquels des contrôles de protection contre la perte de données (DLP) stricts sont en place, et une stratégie de protection distincte pour les appareils gérés par mdm, où les contrôles DLP peuvent être un peu plus souples. Pour plus d’informations sur le fonctionnement des appareils Android Entreprise personnels, consultez Stratégies de protection des applications et profils professionnels.

Pour utiliser ces filtres lors de l’attribution de stratégies, accédez à Applications>Stratégies de protection des applications dans le Centre d’administration Intune, puis sélectionnez Créer une stratégie. Vous pouvez également modifier une stratégie de protection des applications existante. Accédez à la page Affectations et sélectionnez Modifier le filtre pour inclure ou exclure des filtres pour le groupe affecté.

Types de gestion des appareils

Importante

Microsoft Intune met fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 31 décembre 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

  • Non géré : pour les appareils iOS/iPadOS, les appareils non gérés sont tous les appareils pour lesquels la gestion MDM Intune ou une solution GPM/EMM tierce ne passe pas la IntuneMAMUPN clé. Pour les appareils Android, les appareils non gérés sont des appareils pour lesquels la gestion MDM Intune n’a pas été détectée. Cela inclut les appareils gérés par des fournisseurs GPM tiers.
  • Appareils gérés par Intune : les appareils gérés sont gérés par la gestion des appareils mobiles Intune.
  • Administrateur d’appareil Android : appareils gérés par Intune à l’aide de l’API d’administration des appareils Android.
  • Android Enterprise : appareils gérés par Intune à l’aide des profils professionnels Android Entreprise ou de la gestion complète des appareils Android Enterprise.
  • Appareils Android Enterprise dédiés appartenant à l’entreprise avec le mode d’appareil partagé Microsoft Entra : appareils gérés par Intune à l’aide d’appareils Android Entreprise dédiés en mode Appareil partagé.
  • Appareils Android (AOSP) associés à l’utilisateur : appareils gérés par Intune à l’aide de la gestion associée aux utilisateurs AOSP.
  • Appareils Android (AOSP) sans utilisateur : appareils gérés par Intune à l’aide d’appareils sans utilisateur AOSP. Ces appareils tirent également parti du mode d’appareil partagé Microsoft Entra.

Sur Android, les appareils Android invitent à installer l’application Portail d’entreprise Intune, quel que soit le type de gestion des appareils choisi. Par exemple, si vous sélectionnez « Android Enterprise », les utilisateurs disposant d’appareils Android non gérés seront toujours invités.

Pour iOS/iPadOS, pour que le type Gestion des appareils soit appliqué aux appareils gérés par Intune, des paramètres de configuration d’application supplémentaires sont nécessaires. Ces paramètres communiquent avec le service APP (Stratégie de protection des applications) pour indiquer que l’application est gérée. Par conséquent, les paramètres d’application ne s’appliquent pas tant que vous n’avez pas déployé la stratégie de configuration d’application. Voici les paramètres de configuration de l’application :

Paramètres de stratégie

Pour afficher la liste complète des paramètres de stratégie pour iOS/iPadOS et Android, sélectionnez l’un des liens suivants :

Étapes suivantes

Surveiller la conformité et l’état de l’utilisateur

Voir aussi