Accès conditionnel pour SharePoint Online dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations de cette rubrique s'appliquent seulement à System Center 2012 Configuration Manager SP1 ou ultérieur, et à System Center 2012 R2 Configuration Manager ou ultérieur.

Utilisez la stratégie d'accès conditionnel SharePoint Online dans Configuration Manager pour gérer l'accès aux fichiers OneDrive Entreprise situés sur SharePoint Online, en fonction des conditions que vous spécifiez.

Quand un utilisateur ciblé tente de se connecter à un fichier à l'aide d'une application prise en charge telle que OneDrive sur son appareil, l'évaluation suivante se produit :

Conditional Access for SharePoint

Pour vous connecter aux fichiers requis, l'appareil exécutant OneDrive doit :

  • Être inscrit dans Microsoft Intune ou un PC joint à un domaine.

  • Inscrire l'appareil dans Azure Active Directory. Cela se produit automatiquement quand l'appareil est inscrit auprès d'Intune.

    Pour un PC joint à un domaine, vous devez le configurer de manière à ce qu'il s'inscrive automatiquement dans Azure Active Directory.

  • Être conforme à toutes les stratégies de conformité Configuration Manager déployées.

L'état de l'appareil est stocké dans Azure Active Directory, qui autorise ou bloque l'accès aux fichiers en fonction des conditions spécifiées.

Si une condition n'est pas remplie, l'utilisateur reçoit l'un des messages suivants quand il tente de se connecter :

  • Si l'appareil n'est pas inscrit auprès d'Intune ou qu'il n'est pas inscrit dans Azure Active Directory, l'utilisateur reçoit un message contenant des instructions pour installer l'application Portail d'entreprise et inscrire l'appareil.

  • Si l'appareil n'est pas conforme, l'utilisateur reçoit un message le dirigeant vers le portail web Intune dans lequel il peut trouver des informations sur le problème et des solutions pour y remédier.

  • Sur un PC :

    • Si la stratégie est définie de manière à exiger la jonction à un domaine et que le PC n'est pas joint à un domaine, un message invitant l'utilisateur à contacter l'administrateur informatique s'affiche.

    • Si la stratégie définie exige la jonction à un domaine ou la conformité, le PC ne répond pas aux conditions et un message contenant des instructions sur la façon d'installer l'application Portail d'entreprise et d'inscrire l'appareil s'affiche.

Vous pouvez bloquer l'accès à SharePoint Online dans les applications suivantes :

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android et iOS)

  • Microsoft Word (Android et iOS)

  • Microsoft Excel (Android et iOS)

  • Microsoft PowerPoint (Android et iOS)

  • Microsoft OneNote (Android et iOS)

Étapes pour configurer l'accès conditionnel pour SharePoint Online

Étape 1 : configurer les groupes de sécurité Active Directory

Avant de commencer, configurez les groupes de sécurité Azure Active Directory pour la stratégie d'accès conditionnel. Vous pouvez configurer ces groupes dans le Centre d'administration Office 365 ou dans le Portail de compte Intune. Ces groupes contiennent les utilisateurs qui seront ciblés par la stratégie ou exemptés de celle-ci. Quand un utilisateur est ciblé par une stratégie, chaque appareil qu'il utilise doit être conforme à cette stratégie pour qu'il puisse accéder aux ressources.

Vous pouvez spécifier deux types de groupes dans une stratégie SharePoint Online :

  • Groupes ciblés : contient des groupes d'utilisateurs auxquels s'applique la stratégie.

  • Groupes exemptés : contient des groupes d'utilisateurs exempts de la stratégie (facultatif).

Si un utilisateur se trouve dans les deux groupes, il est exempt de la stratégie.

Étape 2 : configurer et déployer une stratégie de conformité

Assurez-vous de créer une stratégie de conformité et de la déployer sur tous les appareils qui seront ciblés par la stratégie d'accès conditionnel SharePoint Online.

Notes

Tandis que les stratégies de conformité sont déployées sur des groupes Intune ou des regroupements Configuration Manager, les stratégies d'accès conditionnel sont destinées aux groupes de sécurité Azure Active Directory.

Pour plus d'informations sur la configuration de la stratégie de conformité, consultez Stratégies de conformité dans Configuration Manager.

Important

Si vous n'avez pas déployé de stratégie de conformité et que vous activez la stratégie SharePoint Online, l'accès est accordé à tous les appareils ciblés.

Quand vous êtes prêt, passez à l'Étape 3.

Étape 3 : configurer la stratégie SharePoint Online

Ensuite, configurez la stratégie de manière à restreindre l'accès à SharePoint Online aux appareils gérés et conformes. Cette stratégie sera stockée dans Azure Active Directory.

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Sélectionnez Activer la stratégie d'accès conditionnel pour SharePoint Online.

  3. Sous Applications utilisant l'authentification moderne, vous pouvez choisir de restreindre l'accès aux appareils conformes pour chaque plateforme.

    System_CAPS_tipConseil

    L'authentification moderne permet aux clients Office de bénéficier de la connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library).

    • L'authentification ADAL permet aux clients Office de procéder à une authentification basée sur un navigateur (également appelée authentification passive). Pour s'authentifier, l'utilisateur est dirigé vers une page web de connexion.

    • Cette nouvelle méthode de connexion autorise de nouveaux scénarios tels que l'accès conditionnel basé sur la compatibilité des appareils et sur l'exécution préalable de l'authentification multifacteur.

    Cet article contient plus d'informations sur le fonctionnement de l'authentification moderne.

    Pour les PC Windows, le PC doit être joint à un domaine ou inscrit auprès d'Intune et être conforme. Vous pouvez définir les conditions suivantes :

    - **Les appareils doivent être joints à un domaine ou conformes**. Cela signifie que les PC doivent être joints à un domaine ou conformes aux stratégies définies dans Intune. Si le PC ne remplit pas l'une des conditions requises, l'utilisateur est invité à inscrire l'appareil auprès d'Intune.
    
    - **Les appareils doivent être joints à un domaine**. Cela signifie que les PC doivent être joints à un domaine pour accéder à Exchange Online. Si le PC n'est pas joint à un domaine, l'accès à la messagerie électronique est bloqué et l'utilisateur est invité à contacter l'administrateur informatique.
    
    - **Les appareils doivent être conformes**. Cela signifie que les PC doivent être inscrits auprès d'Intune et conformes. Si le PC n'est pas inscrit, un message contenant des instructions sur la procédure d'inscription à suivre s'affiche.
    
  4. Sous l'onglet Accueil, dans le groupe Liens, cliquez sur Configurer la stratégie d'accès conditionnel dans la console Intune. Vous devrez peut-être fournir le nom d'utilisateur et le mot de passe du compte utilisé pour connecter Configuration Manager à Intune.

    La console d'administration Intune s'ouvre.

  5. Dans la console d'administration Microsoft Intune, cliquez sur Stratégie > Accès conditionnel > Stratégie SharePoint Online.

  6. Sélectionnez Bloquez l'accès des applications à SharePoint Online si l'appareil n'est pas conforme.

  7. Sous Groupes ciblés, cliquez sur Modifier pour sélectionner les groupes de sécurité Active Directory auxquels la stratégie sera appliquée.

  8. Sous Groupes exemptés, vous pouvez éventuellement cliquez sur Modifier pour sélectionner les groupes de sécurité Azure Active Directory exempts de cette stratégie.

  9. Une fois terminé, cliquez sur Enregistrer.

La stratégie d'accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.

Consultez Gérer l'accès à SharePoint Online avec Microsoft Intune pour savoir comment vous pouvez contrôler la stratégie à partir de la console Intune.