Stratégies de conformité dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Les informations de cette rubrique s'appliquent seulement à System Center 2012 Configuration Manager SP1 ou ultérieur, et à System Center 2012 R2 Configuration Manager ou ultérieur.

Les stratégies de conformité dans Configuration Manager définissent les règles et les paramètres auxquels doit se conformer un appareil pour qu'il soit considéré comme conforme par les stratégies d'accès conditionnel. Vous pouvez également utiliser des stratégies de conformité pour surveiller et corriger les problèmes de conformité avec les appareils indépendamment de l'accès conditionnel.

Important

Les stratégies de conformité s'appliquent uniquement aux appareils gérés par Microsoft Intune.

Parmi ces règles, citons les suivantes :

  • Code confidentiel et mots de passe

  • Chiffrement

  • Si l'appareil est jailbroken ou rooté

  • Si la messagerie électronique sur l'appareil est gérée par une stratégie Intune

  • Version minimale requise du système d’exploitation : en général, ceci dépend des stratégies de conformité et des spécifications de sécurité de votre entreprise. Ceci permet d’empêcher l’accès à des appareils qui peuvent avoir des failles de sécurité, car ils utilisent une version plus ancienne du système d’exploitation.

  • Version maximale autorisée du système d’exploitation : vous pouvez choisir de ne pas prendre en charge la dernière version disponible du système d’exploitation avant de tester ou pour d’autres raisons. Vous pouvez choisir de bloquer les appareils qui ont une version ultérieure à celle que vous avez spécifiée. L’appareil ne pourra pas accéder aux ressources de l’entreprise jusqu’à ce que la stratégie soit modifiée.

Notes

Pour pouvoir utiliser les règles des versions minimale et maximale de système d’exploitation, vous devez utiliser la dernière extension d’accès conditionnel pour System Center 2012 R2 Configuration Manager SP1.

Notes

Sur les PC Windows, la version du système d’exploitation Windows 8.1 apparaît comme étant la version 6.3 au lieu de 8.1. Si la règle de la version du système d’exploitation est définie sur Windows 8.1 pour Windows, l’appareil sera signalé comme non conforme, même si l’appareil a le système d’exploitation Windows 8.1. Assurez-vous que vous définissez la version signalée correcte de Windows pour les règles de version minimale et maximale du système d’exploitation. Le numéro de version doit correspondre à la version retournée par la commande winver.

Les téléphones Windows Phone n’ont pas ce problème, car la version signalée est 8.1 comme prévu.

Vous déployez des stratégies de conformité sur des regroupements d'utilisateurs. Quand une stratégie de conformité est déployée sur un utilisateur, tous ses appareils dont l'objet d'une vérification de la conformité.

Le tableau suivant répertorie les appareils pris en charge par les stratégies de conformité et la façon dont les paramètres de non-conformité sont gérés quand la stratégie est utilisée avec une stratégie d'accès conditionnel.

Type d'appareil

Configuration d'un code confidentiel ou mot de passe

Chiffrement de l'appareil

Appareil jailbroken ou rooté

Profil de messagerie

Version minimale du système d’exploitation

Version maximale du système d’exploitation

Windows 8.1 et versions ultérieures

Corrigé

N/A

N/A

N/A

En quarantaine

En quarantaine

Windows Phone 8.1 et versions ultérieures

Corrigé

Corrigé

N/A

N/A

En quarantaine

En quarantaine

iOS 6.0 et versions ultérieures

Corrigé

Corrigé (en définissant le code confidentiel)

En quarantaine (pas un paramètre)

En quarantaine

En quarantaine

En quarantaine

Android 4.0 et versions ultérieures

En quarantaine

En quarantaine

En quarantaine (pas un paramètre)

N/A

En quarantaine

En quarantaine

Samsung KNOX Standard 4.0 et versions ultérieures

En quarantaine

En quarantaine

En quarantaine (pas un paramètre)

N/A

En quarantaine

En quarantaine

Corrigé = La conformité est appliquée par le système d'exploitation de l'appareil (par exemple, l'utilisateur est obligé de définir un code confidentiel). Ce n'est jamais la cas quand le paramètre n'est pas conforme.

En quarantaine = Le système d’exploitation de l’appareil n’applique pas la conformité (par exemple, les appareils Android ne forcent pas l’utilisateur à chiffrer l’appareil). Dans ce cas :

  • L'appareil est bloqué si l'utilisateur est ciblé par une stratégie d'accès conditionnel.

  • Le portail d'entreprise ou portail web informe l'utilisateur des problèmes de conformité.

Étape 1: créer une stratégie de conformité

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans l'espace de travail Ressources et Conformité, développez Paramètres de compatibilité, puis cliquez sur Stratégies de conformité.

  3. Sous l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie de conformité.

  4. Dans la page Général de l'Assistant Création d'élément de configuration, spécifiez les informations suivantes :

    Paramètre

    Plus d'informations

    Nom

    Affectez un nom unique à la stratégie de conformité. Vous pouvez utiliser jusqu'à 256 caractères.

    Description

    Entrez une description qui donne un aperçu du profil VPN et permet de l'identifier dans la console Configuration Manager. Vous pouvez utiliser jusqu'à 256 caractères.

    Gravité de la non conformité pour les rapports

    Spécifiez le niveau de gravité signalé si cette stratégie de conformité est évaluée comme non conforme. Les niveaux de gravité disponibles sont les suivants :

    • Aucun Les appareils non conformes à la règle de compatibilité ne signalent pas de gravité d'échec pour les rapports Configuration Manager.

    • Informations Les appareils non conformes à la règle de compatibilité signalent une gravité d'échec de niveau Informations pour les rapports Configuration Manager.

    • Avertissement Les appareils non conformes à la règle de compatibilité signalent une gravité d'échec de niveau Avertissement pour les rapports Configuration Manager.

    • Critique Les appareils non conformes à la règle de compatibilité signalent une gravité d'échec de niveau Critique pour les rapports Configuration Manager.

    • Critique avec événement Les appareils non conformes à la règle de compatibilité signalent une gravité d'échec de niveau Critique pour les rapports Configuration Manager. Ce niveau de gravité est également enregistré comme un événement Windows dans le journal des événements des applications.

  5. Dans la page Plateformes prises en charge, choisissez les plateformes d'appareils qui seront évaluées par cette stratégie de conformité, ou cliquez sur Sélectionner tout pour choisir toutes les plateformes d'appareils.

  6. Dans la page Règles, vous définissez une ou plusieurs règles qui définissent la configuration dont les appareils doivent disposer pour être évalués comme étant conformes. Le tableau suivant indique les règles disponibles. Quand vous créez une stratégie de conformité, certaines règles sont activées par défaut, mais vous pouvez les modifier ou les supprimer.

    Nom de la règle

    Plus d'informations

    Plateformes prises en charge

    Demander des paramètres de mot de passe sur les appareils mobiles

    Forcez les utilisateurs à entrer un mot de passe avant qu'ils ne puissent accéder à leur appareil.

    (Activée par défaut)

    • Windows Phone 8 et versions ultérieures

    • iOS 6 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    Autoriser les mots de passe simples

    Permet aux utilisateurs de créer des mots de passe simples comme « 1234 » ou « 1111 ».

    (Désactivée par défaut)

    • Windows Phone 8 et versions ultérieures

    • iOS 6 et versions ultérieures

    Longueur minimale du mot de passe1

    Spécifie le nombre minimal de chiffres ou de caractères devant figurer dans le mot de passe de l'utilisateur.

    (6 par défaut)

    • Windows Phone 8 et versions ultérieures

    • Windows 8.1

    • iOS 6 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    Chiffrement des fichiers sur l'appareil mobile

    Requiert le chiffrement de l'appareil pour la connexion aux ressources.

    Les appareils qui exécutent Windows Phone 8 sont automatiquement chiffrés.

    Important

    Les appareils qui exécutent iOS sont chiffrés quand vous configurez le paramètre Demander des paramètres de mot de passe sur les appareils mobiles.

    (Activée par défaut)

    • Windows Phone 8 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    L'appareil ne doit pas être jailbroken ou rooté

    Si ce paramètre est activé, les appareils jailbroken (iOS) ou rootés (Android) ne sont pas conformes.

    (Désactivée par défaut)

    • iOS 6 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    Le profil de messagerie doit être géré par Intune

    Quand cette option est sélectionnée, l'appareil est considéré comme non conforme si l'utilisateur a configuré un compte de messagerie sur cet appareil qui correspond à un profil de messagerie déployé sur l'appareil par l'administrateur informatique.Configuration Manager ne peut pas remplacer le profil configuré par l'utilisateur et ne peut donc pas le gérer.

    Pour assurer la conformité, l'utilisateur doit supprimer les paramètres de messagerie existants, puis Configuration Manager peut installer le profil de messagerie géré.

    Pour plus d'informations sur les profils de messagerie, consultez Activer l'accès à la messagerie professionnelle à l'aide de profils de messagerie avec Microsoft Intune.

    (Désactivée par défaut)

    • iOS 6 et versions ultérieures

    Profil de messagerie

    Si l'option Le compte de messagerie doit être géré par Intune est sélectionnée, cliquez sur Sélectionner pour choisir le profil de messagerie qui doit gérer les appareils. Le profil de messagerie doit être présent sur l'appareil.

    • iOS 6 et versions ultérieures

    Système d’exploitation minimal requis

    Quand un appareil ne satisfait pas la condition de version minimale du système d’exploitation, il est signalé comme non conforme. Un lien avec des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil. Une fois cette opération effectuée, il peut accéder aux ressources de l’entreprise.

    • Windows Phone 8 et versions ultérieures

    • Windows 8.1

    • iOS 6 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    Version maximale autorisée du système d’exploitation

    Quand un appareil utilise une version du système d’exploitation ultérieure à celle spécifiée dans la règle, accès aux ressources de l’entreprise est bloqué et l’utilisateur est invité à contacter son administrateur. Jusqu’à ce qu’il y ait une modification de la règle pour autoriser la version du système d’exploitation, cet appareil ne peut pas être utilisé pour accéder aux ressources de l’entreprise.

    • Windows Phone 8 et versions ultérieures

    • Windows 8.1

    • iOS 6 et versions ultérieures

    • Android 4.0 et versions ultérieures

    • Samsung KNOX Standard 4.0 et versions ultérieures

    1 Pour les appareils qui exécutent Windows et qui sont sécurisés avec un compte Microsoft, la stratégie de conformité n'est pas évaluée correctement si l'option Longueur minimale du mot de passe a une valeur supérieure à 8 caractères ou si l'option Nombre minimum de jeux de caractères a une valeur supérieure à 2.

  7. Dans la page Résumé de l'Assistant, passez en revue les paramètres que vous avez définis, puis fermez l'Assistant.

La nouvelle stratégie s'affiche sous le nœud Stratégies de conformité de l'espace de travail Ressources et Conformité.

Déployer une stratégie de conformité

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans l'espace de travail Ressources et Conformité, développez Paramètres de compatibilité, puis cliquez sur Stratégies de conformité.

  3. Dans l'onglet Accueil, dans le groupe Déploiement, cliquez sur Déployer.

  4. Dans la boîte de dialogue Déployer une stratégie de conformité, cliquez sur Parcourir pour sélectionner le regroupement d'utilisateurs pour lesquels déployer la stratégie.

    En outre, vous pouvez sélectionner des options pour générer des alertes quand la stratégie n'est pas conforme et configurer le calendrier selon lequel cette stratégie sera évaluée pour la conformité.

  5. Une fois terminé, cliquez sur OK.

Analyser la stratégie de conformité

Pour afficher les résultats de compatibilité dans la console Configuration Manager

  1. Dans la console Configuration Manager, cliquez sur Surveillance.

  2. Dans l'espace de travail Surveillance, cliquez sur Déploiements.

  3. Dans la liste Déploiements, sélectionnez le déploiement de la stratégie de conformité dont vous souhaitez vérifier les informations de conformité.

  4. Vous pouvez consulter un résumé des informations relatives à la conformité du déploiement de la stratégie dans la page principale. Pour afficher des informations plus détaillées, sélectionnez le déploiement, puis, sous l'onglet Accueil, dans le groupe Déploiement, cliquez sur Afficher l'état pour ouvrir la page État du déploiement.

    La page État du déploiement contient les onglets suivants :

    - **Conforme** : affiche la conformité de la stratégie en fonction du nombre de ressources affectées. Vous pouvez cliquer sur une règle pour créer un nœud temporaire sous le nœud **Utilisateurs** ou **Périphériques** de l'espace de travail **Ressources et Conformité**, qui contient tous les utilisateurs ou appareils conformes à cette règle. Le volet **Détails du bien** affiche les utilisateurs ou les appareils conformes à la ligne de base de configuration. Double-cliquez sur un utilisateur ou un appareil de la liste pour afficher des informations supplémentaires.
    
    - **Erreur** : affiche une liste de toutes les erreurs pour le déploiement de stratégie sélectionné en fonction du nombre de ressources affectées. Vous pouvez cliquer sur une règle pour créer un nœud temporaire sous le nœud **Utilisateurs** ou **Périphériques** de l'espace de travail **Biens et conformité**, qui contient tous les utilisateurs ou périphériques qui ont généré des erreurs avec cette règle. Lorsque vous sélectionnez un utilisateur ou un périphérique, le volet **Détails du bien** affiche les utilisateurs ou les périphériques qui sont affectés par le problème sélectionné. Double-cliquez sur un utilisateur ou un appareil de la liste pour afficher des informations supplémentaires sur le problème.
    
    - **Non conforme** : affiche une liste de toutes les règles non conformes au sein de la stratégie en fonction du nombre de ressources affectées. Vous pouvez cliquer sur une règle pour créer un nœud temporaire sous le nœud **Utilisateurs** ou **Périphériques** de l'espace de travail **Biens et conformité**, qui contient tous les utilisateurs ou périphériques qui ne sont pas compatibles avec cette règle. Lorsque vous sélectionnez un utilisateur ou un périphérique, le volet **Détails du bien** affiche les utilisateurs ou les périphériques qui sont affectés par le problème sélectionné. Double-cliquez sur un utilisateur ou un périphérique de la liste pour afficher d'autres informations sur le problème.
    
    - **Inconnu** : affiche une liste de tous les utilisateurs et appareils qui n’ont pas signalé leur conformité pour le déploiement de stratégie sélectionné, ainsi que l’état du client actuel des appareils.
    

Étapes suivantes

Vous pouvez désormais utiliser la stratégie de conformité avec des stratégies d'accès conditionnel pour contrôler l'accès aux services de votre organisation.