Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune
Les stratégies de conformité Microsoft Intune sont des ensembles de règles et de conditions que vous utilisez pour évaluer la configuration de vos appareils gérés. Ces stratégies peuvent vous aider à sécuriser les données et les ressources de l’organisation à partir d’appareils qui ne répondent pas à ces exigences de configuration. Les appareils gérés doivent satisfaire aux conditions que vous définissez dans vos stratégies pour être considérés comme conformes par Intune.
Si vous intégrez également les résultats de conformité de vos stratégies à l’accès conditionnel Microsoft Entra, vous pouvez bénéficier d’une couche de sécurité supplémentaire. L’accès conditionnel peut appliquer des contrôles d’accès Microsoft Entra en fonction de l’état de conformité actuel des appareils pour garantir que seuls les appareils conformes sont autorisés à accéder aux ressources de l’entreprise.
Les stratégies de conformité Intune sont divisées en deux domaines :
Les paramètres de stratégie de conformité sont des configurations à l’échelle du locataire qui agissent comme une stratégie de conformité intégrée que chaque appareil reçoit. Les paramètres de stratégie de conformité établissent le fonctionnement de la stratégie de conformité dans votre environnement Intune, notamment la façon de traiter les appareils auxquels aucune stratégie de conformité d’appareil explicite n’est affectée.
Les stratégies de conformité des appareils sont des ensembles discrets de règles et de paramètres spécifiques à la plateforme que vous déployez sur des groupes d’utilisateurs ou d’appareils. Les appareils évaluent les règles de la stratégie pour signaler l’état de conformité d’un appareil. Un état non conforme peut entraîner une ou plusieurs actions en cas de non-conformité. Les stratégies d’accès conditionnel Microsoft Entra peuvent également utiliser cet état pour bloquer l’accès aux ressources de l’organisation à partir de cet appareil.
Paramètres de stratégie de conformité
Les paramètres de stratégie de conformité sont des paramètres à l’échelle du locataire qui déterminent la façon dont le service de conformité d’Intune interagit avec vos appareils. Ces paramètres sont différents des paramètres que vous configurez dans une stratégie de conformité des appareils.
Pour gérer les paramètres de stratégie de conformité, connectez-vous au Centre d’administration Microsoft Intune et accédez à Sécurité des points de terminaison>> Conformité desappareils Paramètres de stratégie de conformité.
Les paramètres de stratégie de conformité incluent les paramètres suivants :
Marquer les appareils sans stratégie de conformité comme étant
Ce paramètre détermine la façon dont Intune traite les appareils auxquels aucune stratégie de conformité d’appareil n’est affectée. Ce paramètre a deux valeurs :
- Conforme (par défaut) : cette fonctionnalité de sécurité est désactivée. Les appareils qui ne reçoivent pas de stratégie de conformité des appareils sont considérés comme conformes.
- Non conforme: cette fonctionnalité de sécurité est activée. Les appareils sans stratégie de conformité des appareils sont considérés comme non conformes.
Si vous utilisez l’accès conditionnel avec vos stratégies de conformité d’appareil, modifiez ce paramètre sur Non conforme pour vous assurer que seuls les appareils confirmés comme conformes peuvent accéder à vos ressources.
Si un utilisateur final n’est pas conforme car aucune stratégie n’est affectée, l’application Portail d’entreprise indique Aucune stratégie de conformité n'a été affectée.
Période de validité de l’état de conformité (jours)
Spécifiez une période pendant laquelle les appareils doivent signaler avec succès toutes les stratégies de conformité reçues. Si un appareil ne parvient pas à signaler son état de conformité pour une stratégie avant l’expiration de la période de validité, l’appareil est considéré comme non conforme.
Par défaut, la période est définie sur 30 jours. Vous pouvez configurer une période comprise entre 1 et 120 jours.
Vous pouvez afficher des détails sur la conformité d’un appareil au paramètre de période de validité. Connectez-vous au Centre d’administration Microsoft Intune et accédez à Surveillance des appareils>>Conformité des paramètres. Ce paramètre a le nom de Est actif dans la colonne Paramètre. Pour plus d’informations à ce sujet et sur les vues d’état de conformité associés, consultez Surveiller la conformité des appareils.
Stratégies de conformité d’appareil
Les stratégies de conformité des appareils Intune sont des ensembles discrets de règles et de paramètres spécifiques à la plateforme que vous déployez sur des groupes d’utilisateurs ou d’appareils. Utilisez des stratégies de conformité pour :
Définissez les règles et les paramètres que les utilisateurs et les appareils gérés doivent satisfaire pour être conformes. Les exemples de règles incluent l’exigence que les appareils exécutent une version minimale du système d’exploitation, qu’ils ne soient pas endommagés ou rootés, et qu’ils soient au niveau de menace ou sous un niveau de menace tel que spécifié par un logiciel de gestion des menaces qui s’intègre à Intune.
Prendre en charge les actions de non-conformité qui s’appliquent aux appareils qui ne répondent pas aux règles de conformité de ces stratégies. Parmi les exemples d’actions en cas de non-conformité, citons le marquage de l’appareil comme non conforme, le verrouillage à distance et l’envoi d’un e-mail à l’utilisateur de l’appareil concernant l’état de l’appareil afin qu’il puisse le corriger.
Lors de l’utilisation de stratégies de conformité d’appareil :
Certaines configurations de stratégie de conformité peuvent remplacer la configuration des paramètres que vous gérez également via des stratégies de configuration d’appareil. Pour en savoir plus sur la résolution des conflits pour les stratégies, consultez Stratégies de conformité et de configuration des appareils en conflit.
Les stratégies peuvent être déployées sur des utilisateurs dans des groupes d’utilisateurs ou des appareils dans des groupes d’appareils. Quand une stratégie de conformité est déployée sur un utilisateur, la conformité de tous ses appareils est vérifiée. L’utilisation de groupes d’appareils dans ce scénario permet la création de rapports de conformité.
Si vous utilisez l’accès conditionnel Microsoft Entra, vos stratégies d’accès conditionnel peuvent utiliser les résultats de conformité des appareils pour bloquer l’accès aux ressources des appareils non conformes.
Comme les autres stratégies Intune, les évaluations de stratégie de conformité pour un appareil dépendent du moment où l’appareil s’archive auprès d’Intune, ainsi que des cycles d’actualisation des stratégies et des profils.
Les paramètres disponibles que vous pouvez spécifier dans une stratégie de conformité des appareils dépendent du type de plateforme que vous sélectionnez lorsque vous créez une stratégie. Différentes plateformes d’appareils prennent en charge des paramètres différents, et chaque type de plateforme requiert une stratégie distincte.
Les rubriques suivantes renvoient à des articles dédiés pour différents aspects de la stratégie de configuration des appareils.
Actions en cas de non-conformité : par défaut, chaque stratégie de conformité d’appareil inclut l’action permettant de marquer un appareil comme non conforme s’il ne respecte pas une règle de stratégie. Chaque stratégie peut prendre en charge davantage d’actions basées sur la plateforme de l’appareil. Voici quelques exemples d’actions supplémentaires :
- L’envoi d’alertes par e-mail aux utilisateurs et aux groupes avec des détails sur l’appareil non conforme. Vous pouvez configurer la stratégie pour envoyer un e-mail immédiatement lorsqu’il est marqué comme non conforme, puis de nouveau régulièrement, jusqu’à ce que l’appareil soit conforme.
- Le verrouillage à distance des appareils qui ne sont pas conformes pendant un certain temps.
- Mettre hors service des appareils s’ils ne sont pas conformes depuis un certain temps. Cette action marque un appareil éligible comme prêt à être mis hors service. Un administrateur peut ensuite afficher une liste d’appareils marqués pour la mise hors service et doit prendre une action explicite pour mettre hors service un ou plusieurs appareils. La mise hors service d’un appareil supprime l’appareil de la gestion Intune et supprime toutes les données d’entreprise de l’appareil. Pour plus d’informations sur cette action, consulter Actions disponibles pour la non-conformité.
Créer une stratégie de conformité : avec les informations contenues dans l’article lié, vous pouvez passer en revue les prérequis, parcourir les options de configuration des règles, spécifier des actions en cas de non-conformité et affecter la stratégie à des groupes. Cet article contient également des informations sur les temps d’actualisation des stratégies.
Afficher les paramètres de conformité de l’appareil pour les différentes plateformes d’appareils :
- Administrateur d’appareils Android
- Android Entreprise
- Android Open Source Project (AOSP)
- iOS
- Linux
- MacOS
- Windows Holographic for Business
- Windows 10/11
-
Windows 8.1 et versions ultérieures
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Paramètres de conformité personnalisés : avec les paramètres de conformité personnalisés, vous pouvez développer les options de conformité des appareils intégrées d’Intune. Les paramètres personnalisés offrent la flexibilité nécessaire pour baser la conformité sur les paramètres disponibles sur un appareil sans avoir à attendre qu’Intune ajoute ces paramètres.
Vous pouvez utiliser des paramètres de conformité personnalisés avec les plateformes suivantes :
- Linux – Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
- Windows 10
- Windows 11
Surveiller l’état de conformité
Intune comprend un tableau de bord de conformité des appareils que vous utilisez pour surveiller l’état de conformité des appareils et pour accéder à des stratégies et des appareils pour plus d’informations. Pour en savoir plus sur ce tableau de bord, consultez Surveiller la conformité des appareils.
Intégrer avec l’accès conditionnel
Lorsque vous utilisez l’accès conditionnel, vous pouvez configurer vos stratégies d’accès conditionnel pour utiliser les résultats de vos stratégies de conformité des appareils afin de déterminer les appareils qui peuvent accéder aux ressources de votre organisation. Ce contrôle d’accès s’ajoute et se distingue des actions de non-conformité que vous incluez dans les stratégies de conformité des appareils.
Lorsqu’un appareil s’inscrit dans Intune, il s’inscrit dans l’ID Microsoft Entra. L’état de conformité des appareils est signalé à l’ID Microsoft Entra. Si vos stratégies d’accès conditionnel ont des contrôles d’accès définis sur Exiger que l'appareil soit marqué comme conforme, l’accès conditionnel utilise cet état de conformité pour déterminer s’il faut accorder ou bloquer l’accès à la messagerie et aux autres ressources de l’organisation.
Si vous utilisez l’état de conformité de l’appareil avec des stratégies d’accès conditionnel, examinez la façon dont votre locataire configure l’option Marquer les appareils sans stratégie de conformité affectée en tant qu’option , que vous gérez sous Paramètres de stratégie de conformité.
Pour plus d’informations sur l’utilisation de l’accès conditionnel avec vos stratégies de conformité d’appareil, consultez Accès conditionnel basé sur l’appareil.
En savoir plus sur l’accès conditionnel dans la documentation Microsoft Entra :
Informations de référence sur la non-conformité et l’accès conditionnel sur les différentes plateformes
Le tableau suivant décrit la gestion des paramètres non conformes quand une stratégie de conformité est utilisée avec une stratégie d’accès conditionnel.
Corrigé : le système d’exploitation de l’appareil applique la conformité. Par exemple, l’utilisateur est obligé de définir un code PIN.
En quarantaine : le système d’exploitation de l’appareil n’applique pas la conformité. Par exemple, les appareils Android et Android Entreprise ne forcent pas l’utilisateur à chiffrer l’appareil. Quand l’appareil n’est pas conforme, les actions suivantes se produisent :
- Si une stratégie d’accès conditionnel s’applique à l’utilisateur, l’appareil est bloqué.
- L’application du portail d’entreprise Intune informe l’utilisateur de tout problème de conformité.
Paramètre de stratégie | Plateforme |
---|---|
Distributions autorisées | Linux(only) - Mis en quarantaine |
Chiffrement de l’appareil |
-
Android 4.0 et versions ultérieures: mis en quarantaine - Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine - Android Enterprise: mis en quarantaine - iOS 8.0 et versions ultérieures: corrigé (en définissant le code pin) - macOS 10.11 et versions ultérieures: mis en quarantaine - Linux : mis en quarantaine - Windows 10/11: mis en quarantaine |
Profil de messagerie |
-
Android 4.0 et versions ultérieures: non applicable - Samsung Knox Standard 4.0 et versions ultérieures: non applicable - Android Enterprise: non applicable - iOS 8.0 et ultérieur: mis en quarantaine - macOS 10.11 et versions ultérieures: mis en quarantaine - Linux : non applicable - Windows 10/11 : non applicable |
Appareil jailbroken ou rooté |
-
Android 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre) - Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine (pas un paramètre) - Android Enterprise: mis en quarantaine (pas un paramètre) - iOS 8.0 et versions ultérieures: mis en quarantaine (pas un paramètre) - macOS 10.11 et versions ultérieures: non applicable - Linux : non applicable - Windows 10/11 : non applicable |
Version maximale du système d’exploitation |
-
Android 4.0 et versions ultérieures: mis en quarantaine - Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine - Android Enterprise: mis en quarantaine - iOS 8.0 et ultérieur: mis en quarantaine - macOS 10.11 et versions ultérieures: mis en quarantaine - Linux : voir Distributions autorisées - Windows 10/11: mis en quarantaine |
Version minimale du système d’exploitation |
-
Android 4.0 et versions ultérieures: mis en quarantaine - Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine - Android Enterprise: mis en quarantaine - iOS 8.0 et ultérieur: mis en quarantaine - macOS 10.11 et versions ultérieures: mis en quarantaine - Linux : voir Distributions autorisées - Windows 10/11: mis en quarantaine |
Configuration d’un code confidentiel ou mot de passe |
-
Android 4.0 et versions ultérieures: mis en quarantaine - Samsung Knox Standard 4.0 et versions ultérieures: mis en quarantaine - Android Enterprise: mis en quarantaine - iOS 8.0 et versions ultérieures: corrigé - macOS 10.11 et versions ultérieures: corrigé - Linux : mis en quarantaine - Windows 10/11 : corrigé |
Attestation de l’intégrité Windows |
-
Android 4.0 et versions ultérieures: non applicable - Samsung Knox Standard 4.0 et versions ultérieures: non applicable - Android Enterprise: non applicable - iOS 8.0 et versions ultérieures: non applicable - macOS 10.11 et versions ultérieures: non applicable - Linux : non applicable - Windows 10/11: mis en quarantaine |
Remarque
L’application Portail d’entreprise entre dans le flux de correction d’inscription lorsque l’utilisateur se connecte à l’application et que l’appareil n’a pas réussi à s’enregistrer auprès d’Intune pendant 30 jours ou plus (ou que l’appareil n’est pas conforme en raison d’une perte de conformité de contact ). Dans ce flux, nous essayons de lancer un archivage une fois de plus. Si cela ne réussit toujours pas, nous émettons une commande de mise hors service pour permettre à l’utilisateur de réinscrire l’appareil manuellement.
Étapes suivantes
- Créer et déployer une stratégie et passer en revue les conditions préalables
- Surveillance de la conformité des appareils
- Questions, problèmes et solutions concernant les stratégies et les profils d’appareil dans Microsoft Intune
- La section Informations de référence sur les entités de stratégie contient des informations sur les entités de stratégie Intune Data Warehouse