Accès conditionnel pour la messagerie Exchange dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations de cette rubrique s'appliquent seulement à System Center 2012 Configuration Manager SP1 ou ultérieur, et à System Center 2012 R2 Configuration Manager ou ultérieur.

Utilisez l'accès conditionnel de Configuration Manager pour gérer l'accès à la messagerie Exchange selon des conditions que vous spécifiez.

Vous pouvez gérer l'accès à :

  • Microsoft Exchange sur site

  • Microsoft Exchange Online

  • Exchange Online Dedicated

Si vous configurez l'accès conditionnel, l'appareil dont l'utilisateur se sert pour se connecter à sa messagerie doit :

  • Être inscrit auprès de Intune ou d'un PC joint à un domaine.

  • Inscrire l'appareil dans Azure Active Directory. Cela se produit automatiquement quand l'appareil est inscrit auprès d'Intune (pour Exchange Online uniquement). Par ailleurs, l'ID Exchange ActiveSync du client doit être inscrite auprès d'Azure Active Directory (ceci ne s'applique pas aux appareils Windows et Windows Phone se connectant à Exchange sur site).

    Pour un PC joint à un domaine, vous devez le configurer de manière à ce qu'il s'inscrive automatiquement auprès d'Azure Active Directory. La section Accès conditionnel pour PC de la rubrique Accès conditionnel dans Configuration Manager répertorie l'ensemble des conditions requises pour activer l'accès conditionnel pour PC.

  • Être conforme à toutes les stratégies de conformité Configuration Manager déployées sur cet appareil.

Si une condition d'accès conditionnel n'est pas remplie, l'utilisateur reçoit un des messages suivants quand il se connecte :

  • Si l’appareil n’est pas inscrit auprès de Intune ou qu’il n’est pas inscrit dans Azure Active Directory, l’utilisateur reçoit un message contenant des instructions pour installer l’application Portail d’entreprise, inscrire l’appareil et, pour les appareils Android et iOS, activer la messagerie, ce qui entraîne l’association de l’ID Exchange ActiveSync de l’appareil à l’enregistrement de l’appareil dans Azure Active Directory.

  • Si l'appareil n'est pas conforme, l'utilisateur reçoit un message le dirigeant vers le portail web Intune dans lequel il peut trouver des informations sur le problème et des solutions pour y remédier.

Pour les PC :

  • Si l'exigence de la stratégie d'accès conditionnel est d'autoriser la jonction à un domaine ou la conformité, un message contenant des instructions sur la façon d'inscrire l'appareil s'affiche. Si le PC ne remplit pas l'une des conditions requises, l'utilisateur doit inscrire l'appareil auprès d'Intune.

  • Si l'exigence de la stratégie d'accès conditionnel est configurée pour autoriser uniquement les appareils Windows joints à un domaine, l'appareil est bloqué et un message invitant l'utilisateur à contacter l'administrateur informatique s'affiche.

Vous pouvez bloquer l'accès à la messagerie Exchange à partir du client de messagerie Exchange ActiveSync intégré aux appareils sur les plateformes suivantes :

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieures

  • iOS 7.1 et versions ultérieures

  • Windows Phone 8.1 et versions ultérieures

  • Application Courrier sur Windows 8.1 et versions ultérieures

L’application Outlook pour iOS et Android et l’application de bureau Outlook 2013 sont prises en charge pour Exchange Online uniquement.

Le connecteur Exchange local entre Configuration Manager et Exchange est nécessaire pour que l'accès conditionnel fonctionne.

Vous pouvez configurer une stratégie d'accès conditionnel pour Exchange sur site à partir de la console Configuration Manager. Quand vous configurez une stratégie d'accès conditionnel pour Exchange Online, vous pouvez commencer le processus dans la console Configuration Manager, qui lance la console Microsoft Intune, où vous pouvez terminer le processus.

Étape 1 : Évaluer l’impact de la stratégie d’accès conditionnel

Une fois que vous avez configuré le connecteur Exchange local, vous pouvez utiliser le rapports Liste des appareils par état d'accès conditionnel de Configuration Manager pour identifier les appareils dont l'accès à Exchange sera bloqué après que vous avez configuré la stratégie d'accès conditionnel. Ce rapport requiert également les éléments suivants :

  • Un abonnement à Intune

  • Le connecteur Intune doit être configuré et déployé

Dans les paramètres de rapport, sélectionnez le groupe Intune à évaluer et, si nécessaire, les plateformes d'appareils auxquelles la stratégie sera appliquée.

Pour plus d'informations sur la façon d'exécuter des rapports, consultez Rapports dans Configuration Manager.

Après avoir exécuté le rapport, examinez ces quatre colonnes pour déterminer si un utilisateur sera bloqué :

  • Canal de gestion : indique si l'appareil est géré par Intune, Exchange ActiveSync ou les deux.

  • Inscrit auprès d'AAD : indique si l'appareil est inscrit auprès d'Azure Active Directory (ce qui s'appelle une « jonction d'espace de travail »).

  • Conforme : indique si l'appareil est conforme aux stratégies de conformité que vous avez déployées.

  • EAS activé : l'ID ActiveSync Exchange des appareils iOS et Android doit être associé à l'enregistrement d'inscription de l'appareil dans Azure Active Directory. Ceci se produit quand l'utilisateur clique sur le lien Activer la messagerie dans l'e-mail de mise en quarantaine.

    Notes

    Les appareils Windows Phone affichent toujours une valeur dans cette colonne.

Les appareils qui font partie d'un groupe ou d'un regroupement ciblé verront leur accès à Exchange bloqué, sauf si les valeurs de colonne correspondent à celles qui sont répertoriées dans le tableau suivant :

Canal de gestion

Enregistré avec AAD

Conforme

EAS activé

Action résultante

Géré par Microsoft Intune et Exchange ActiveSync

Oui

Oui

Oui ou Non s'affiche.

Accès à la messagerie accordé

Toute autre valeur

Non

Non

Aucune valeur affichée

Accès à la messagerie bloqué

Vous pouvez exporter le contenu du rapport et utiliser la colonne Adresse de messagerie pour informer les utilisateurs qu'ils ne pourront pas accéder à la messagerie.

Étape 2 : Configurer des groupes ou des regroupements d’utilisateurs pour la stratégie d’accès conditionnel

Vous ciblez les stratégies d'accès conditionnel vers différents groupes ou regroupements d'utilisateurs en fonction du type de stratégie. Ces groupes contiennent les utilisateurs qui seront ciblés par la stratégie ou exemptés de celle-ci. Quand un utilisateur est ciblé par une stratégie, chaque appareil qu'il utilise doit être conforme à cette stratégie pour qu'il puisse accéder à la messagerie.

  • Stratégie Exchange Online : cible des groupes de sécurité Azure Active Directory. Vous pouvez configurer ces groupes dans le Centre d'administration Office 365 ou dans le Portail de compte Intune.

  • Pour la stratégie Exchange locale : vers le regroupement d'utilisateurs Configuration Manager. Vous pouvez les configurer dans l'espace de travail Ressources et Conformité.

Vous pouvez spécifier deux types de groupes dans chaque stratégie :

  • Groupes ciblés : groupes ou regroupements d'utilisateurs auxquels la stratégie est appliquée.

  • Groupes exemptés : groupes ou regroupements d'utilisateurs exempts de la stratégie (facultatif).

Si un utilisateur se trouve dans les deux, il est exempté de la stratégie.

Seuls les groupes ou les regroupements qui sont ciblés par la stratégie d'accès conditionnel sont évalués pour l'accès à Exchange.

Étape 3 : Configurer et déployer une stratégie de conformité

Vérifiez que vous avez créé et déployé une stratégie de conformité pour tous les appareils qui seront ciblés par la stratégie d'accès conditionnel Exchange.

Pour plus d'informations sur la configuration de la stratégie de conformité, consultez Stratégies de conformité dans Configuration Manager.

Important

Si vous n'avez pas déployé de stratégie de conformité et que vous activez la stratégie d'accès conditionnel Exchange, l'accès sera autorisé à tous les appareils ciblés.

Quand vous êtes prêt, passez à l'Étape 4.

Étape 4 : Configurer la stratégie d’accès conditionnel

Pour Exchange Online (et les locataires dans le nouvel environnement Exchange Online Dedicated)

Le flux suivant est utilisé par les stratégies d'accès conditionnel pour Exchange Online pour évaluer s'il faut autoriser ou bloquer des appareils.

Flow for Exchange Online Conditional Access

Pour accéder à la messagerie, l'appareil doit :

  • Être inscrit auprès de Intune.

  • Les PC doivent être soit joints à un domaine, soit inscrits et conformes aux stratégies définies dans Intune.

  • Inscrire l'appareil dans Azure Active Directory. Cela se produit automatiquement quand l'appareil est inscrit auprès d'Intune.

    Pour les PC joints à un domaine, vous devez les configurer de manière à ce qu'ils inscrivent automatiquement l'appareil auprès d'Azure Active Directory.

  • Activer la messagerie, ce qui entraîne l'association de l'ID Exchange ActiveSync de l'appareil à l'enregistrement de l'appareil dans Azure Active Directory (s'applique uniquement aux appareils iOS et Android).

  • Être conforme à toutes les stratégies de conformité déployées

L'état de l'appareil est stocké dans Azure Active Directory, qui autorise ou bloque l'accès à la messagerie en fonction des conditions évaluées.

Si une condition n'est pas remplie, l'utilisateur reçoit l'un des messages suivants quand il tente de se connecter :

  • Si l'appareil n'est pas inscrit ou qu'il n'est pas inscrit dans Azure Active Directory, l'utilisateur reçoit un message contenant des instructions pour installer l'application Portail d'entreprise, inscrire l'appareil.

  • Si l'appareil n'est pas conforme, l'utilisateur reçoit un message le dirigeant vers le portail web Intune dans lequel il peut trouver des informations sur le problème et des solutions pour y remédier.

  • Sur un PC :

    • Si la stratégie est définie de manière à exiger la jonction à un domaine et que le PC n'est pas joint à un domaine, un message invitant l'utilisateur à contacter l'administrateur informatique s'affiche.

    • Si la stratégie définie exige la jonction à un domaine ou la conformité, le PC ne répond pas aux conditions et un message contenant des instructions sur la façon d'installer l'application Portail d'entreprise et d'inscrire l'appareil s'affiche.

Le message s'affiche sur l'appareil à l'attention des utilisateurs et des locataires Exchange Online dans le nouvel environnement Exchange Online Dedicated, ainsi que dans la boîte de réception des utilisateurs d'appareils Exchange Online Dedicated hérités et Exchange sur site.

Notes

Les règles d'accès conditionnel de Configuration Manager permettent de remplacer, d'autoriser, de bloquer et de mettre en quarantaine les règles qui sont définies dans la console d'administration d'Exchange Online.

Notes

La stratégie d’accès conditionnel doit être configurée dans la console Intune. Les étapes suivantes commencent en accédant à la console Intune via Configuration Manager. Si vous y êtes invité, connectez-vous en utilisant les mêmes informations d’identification que celles utilisées pour configurer le connecteur entre Configuration Manager et Intune.

Pour activer la stratégie Exchange Online

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Développez Paramètres de conformité , développez Accès conditionnel, puis cliquez sur Exchange Online.

  3. Sous l'onglet Accueil, dans le groupe Liens, cliquez sur Configurer la stratégie d'accès conditionnel dans la console Intune. Vous devrez peut-être fournir le nom d’utilisateur et le mot de passe du compte utilisé pour connecter Configuration Manager à n’importe quel administrateur général pour le service Intune.

    La console d’administration Intune s’ouvre.

  4. Dans la console d'administration Microsoft Intune, cliquez sur Stratégie > Accès conditionnel > Stratégie Exchange Online.

    HybridOnlineSetupInIntune

  5. Dans la page Stratégie Exchange Online, sélectionnez Activer la stratégie d'accès conditionnel pour Exchange Online. Si vous activez cette option, l'appareil doit être conforme à la stratégie. Si elle n'est pas activée, l'accès conditionnel n'est pas appliqué.

    Notes

    Si vous n'avez pas déployé de stratégie de conformité et que vous activez la stratégie Exchange Online, tous les appareils ciblés sont signalés comme conformes.

    Quel que soit l'état de conformité, tous les utilisateurs ciblés par la stratégie doivent inscrire leurs appareils auprès de Intune.

  6. Sous Applications utilisant l'authentification moderne, vous pouvez choisir de restreindre l'accès aux appareils conformes pour chaque plateforme. Les appareils Windows doivent être soit joints à un domaine, soit inscrits dans Intune et conformes.

    System_CAPS_tipConseil

    L'authentification moderne permet aux clients Office de bénéficier de la connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library).

    • L'authentification ADAL permet aux clients Office de procéder à une authentification basée sur un navigateur (également appelée authentification passive). Pour s'authentifier, l'utilisateur est dirigé vers une page web de connexion.

    • Cette nouvelle méthode de connexion autorise de nouveaux scénarios tels que l'accès conditionnel basé sur la compatibilité des appareils et sur l'exécution préalable de l'authentification multifacteur.

    Cet article contient des informations plus détaillées sur le fonctionnement de l'authentification moderne.

    En utilisant Exchange Online avec Configuration Manager et Intune, vous pouvez non seulement gérer les appareils mobiles avec un accès conditionnel, mais aussi les ordinateurs de bureau. Les PC doivent être soit joints à un domaine, soit inscrits dans Intune et conformes. Vous pouvez définir les conditions suivantes :

    - **Les appareils doivent être joints à un domaine ou conformes**. Les PC doivent être joints à un domaine ou conformes aux stratégies définies dans Intune. Si un PC ne remplit pas l’une de ces conditions requises, l’utilisateur est invité à inscrire l’appareil auprès d’Intune.
    
    - **Les appareils doivent être joints à un domaine**. Les PC doivent être joints à un domaine pour accéder à Exchange Online. Si un PC n’est pas joint à un domaine, l’accès à la messagerie électronique est bloqué et l’utilisateur est invité à contacter l’administrateur informatique.
    
    - **Les appareils doivent être conformes**. Les PC doivent être inscrits auprès d’Intune et être conformes. Si un PC n’est pas inscrit, un message contenant des instructions sur la procédure d’inscription à suivre s’affiche.
    
  7. Sous Applications de messagerie Exchange ActiveSync, vous pouvez choisir de bloquer l’accès de la messagerie électronique à Exchange Online si l’appareil n’est pas conforme. Vous pouvez aussi autoriser ou bloquer l’accès à la messagerie électronique quand Intune ne peut pas gérer l’appareil.

  8. Sous Groupes ciblés, sélectionnez les groupes de sécurité Active Directory auxquels la stratégie sera appliquée.

    Notes

    Pour les utilisateurs qui figurent dans les groupes cibles, les stratégies Intune remplacent les stratégies et les règles Exchange.

    Exchange applique les règles d'autorisation, de blocage et de mise en quarantaine d'Exchange, ainsi que les stratégies Exchange, si :

    • L'utilisateur n'a pas de licence Intune.

    • L'utilisateur a une licence Intune, mais n'appartient à aucun groupe de sécurité ciblé dans la stratégie d'accès conditionnel.

  9. Sous Groupes exemptés, sélectionnez les groupes de sécurité Active Directory exemptés de cette stratégie. Si un utilisateur figure à la fois dans les groupes ciblés et dans les groupes exemptés, il est exempté de la stratégie et a accès à sa messagerie électronique.

  10. Une fois terminé, cliquez sur Enregistrer.

  • La stratégie d’accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.

  • Quand un utilisateur crée un compte de messagerie, l’appareil est bloqué immédiatement.

  • Si un utilisateur bloqué inscrit l’appareil auprès de Intune (ou corrige la non-conformité), l’accès à la messagerie est débloqué dans les 2 minutes.

  • Si l’utilisateur annule l’inscription de son appareil, la messagerie électronique est bloquée après environ 6 heures.

Pour Exchange sur site (et les locataires dans l’environnement Exchange Online Dedicated hérité)

Le flux suivant est utilisé par les stratégies d’accès conditionnel pour Exchange sur site et les locataires dans l’environnement Exchange Online Dedicated hérité pour évaluer s’il faut autoriser ou bloquer des appareils.

Conditional Access flow for Exchange On-Premises

Pour activer la stratégie Exchange sur site

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Développez Paramètres de conformité, développez Accès conditionnel, puis cliquez sur Exchange local.

  3. Sous l'onglet Accueil, dans le groupe Exchange local, cliquez sur Configurer la stratégie d'accès conditionnel.

  4. Dans la page Général de l’Assistant Configuration de la stratégie d’accès conditionnel, spécifiez votre nom de domaine de client Intune. Il s’agit du suffixe de l’ID de client utilisé pour configurer le connecteur Intune. Par exemple, si l’ID de client que vous avez utilisé est admin@corpemail.contoso.com, le nom de domaine que vous entrez dans cette page de l’Assistant est corpemail.contoso.com.

    HybridCondAccessWiz1

    Cliquez sur Suivant.

  5. Dans la page Regroupements ciblés, ajoutez un ou plusieurs regroupements d'utilisateurs. Pour accéder à Exchange, les utilisateurs de ces regroupements doivent inscrire leurs appareils auprès d’Intune et être conformes avec les stratégies de conformité que vous avez déployées,

    HybridCondAccessWiz2

    Cliquez sur Suivant.

  6. Dans la page Regroupements exemptés, ajoutez les regroupements d'utilisateurs que vous voulez exempter de la stratégie d'accès conditionnel. Les utilisateurs de ces groupes n'ont pas besoin d'inscrire leurs appareils auprès de Intune et n'ont pas besoin d'être conformes aux stratégies de conformité déployées pour accéder à Exchange.

    HybridCondAccessWiz3

    Si un utilisateur figure à la fois dans les listes des groupes ciblés et des groupes exemptés, il est exempté de la stratégie d'accès conditionnel.

    Cliquez sur Suivant.

  7. Dans la page Modifier la notification à l’utilisateur, configurez l’e-mail qu’envoie Intune aux utilisateurs avec des instructions sur la procédure pour débloquer leur appareil (en plus de l’e-mail envoyé par Exchange).

    Vous pouvez modifier le message par défaut et utiliser des balises HTML pour mettre en forme le texte. Vous pouvez également envoyer un courrier électronique à l’avance à vos employés pour les informer des modifications à venir et leur fournir des instructions sur l’inscription de leurs appareils.

    HybridCondAccessWiz4

    Notes

    Le message électronique de notification Intune contenant les instructions de correction est remis dans la boîte aux lettres Exchange de l'utilisateur. Par conséquent, si l'appareil de l'utilisateur est bloqué avant de recevoir le courrier électronique, l'utilisateur peut utiliser un appareil non bloqué ou recourir à une autre méthode pour accéder à Exchange et afficher le message.

    Notes

    Pour que le message électronique de notification puisse être envoyé par Exchange, vous devez configurer le compte utilisé pour l'envoyer. Vous faites cela quand vous configurez les propriétés du connecteur Exchange Server.

    Pour plus d’informations, voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange.

    Cliquez sur Suivant.

  8. Sur la page Résumé, vérifiez les paramètres, puis terminez l'Assistant.

  • La stratégie d'accès conditionnel prend effet immédiatement. Il est donc inutile de la déployer.

  • Une fois qu'un utilisateur a configuré un profil Exchange ActiveSync, le blocage de son appareil peut prendre entre une et trois heures (s'il n'est pas géré par Intune).

  • Si un utilisateur bloqué inscrit alors l'appareil auprès de Intune (ou corrige la non-conformité), l'accès à la messagerie électronique est débloqué dans les deux minutes.

  • Si l'utilisateur annule l'inscription auprès de Intune, le blocage de son appareil peut prendre entre une et trois heures.