Partager via

Paramètres de stratégie de protection des applications pour Windows

  • Article

Cet article décrit les paramètres de stratégie de protection des applications (APP) pour Windows. Les paramètres de stratégie décrits peuvent être configurés pour une stratégie de protection des applications dans le volet Paramètres du Centre d’administration Intune lorsque vous créez une nouvelle stratégie.

Vous pouvez activer l’accès MAM protégé aux données de l’organisation via Microsoft Edge sur des appareils Windows personnels. Cette fonctionnalité est connue sous le nom de Gestion des applications mobiles Windows et fournit des fonctionnalités utilisant des stratégies de configuration d’application (ACP) Intune, des stratégies de protection des applications Intune (APP), la défense contre les menaces clientes du Centre de sécurité Windows et l’accès conditionnel à la protection des applications. Pour plus d’informations sur la gestion des applications mobiles Windows, consultez Protection des données pour Windows MAM, Créer une stratégie de protection des applications MTD pour Windows et Configurer Microsoft Edge pour Windows avec Intune.

Il existe deux catégories de paramètres de stratégie de protection des applications pour Windows :

Importante

La gestion des applications mobiles Intune sur Windows prend en charge les appareils non gérés. Si un appareil est déjà géré, l’inscription gam Intune est bloquée et les paramètres d’application ne sont pas appliqués. Si un appareil est géré après l’inscription GAM, les paramètres d’application ne sont plus appliqués.

Protection des données

Les paramètres de protection des données ont un impact sur les données et le contexte de l’organisation. En tant qu’administrateur, vous pouvez contrôler le déplacement des données vers et hors du contexte de la protection de l’organisation. Le contexte de l’organisation est défini par les documents, services et sites accessibles par le compte d’organisation spécifié. Les paramètres de stratégie suivants permettent de contrôler les données externes reçues dans le contexte de l’organisation et les données d’organisation envoyées à partir du contexte de l’organisation.

Transfert de données

Setting Comment utiliser Valeur par défaut
Recevoir des données de Sélectionnez l’une des options suivantes pour spécifier les sources à partir de laquelle les utilisateurs de l’organisation peuvent recevoir des données :
  • Toutes les sources : les utilisateurs de l’organisation peuvent ouvrir des données à partir de n’importe quel compte, document, emplacement ou application dans le contexte de l’organisation.
  • Aucune source : les utilisateurs de l’organisation ne peuvent pas ouvrir les données de comptes externes, de documents, d’emplacements ou d’applications dans le contexte de l’organisation. REMARQUE : Pour Microsoft Edge, Aucune source ne contrôle le comportement de chargement des fichiers via le glisser-déplacer ou la boîte de dialogue d’ouverture de fichier. L’affichage et le partage de fichiers locaux entre les sites/onglets seront bloqués.


 Toutes les sources
Envoyer des données d’organisation à Sélectionnez l’une des options suivantes pour spécifier les destinations auxquelles les utilisateurs de l’organisation peuvent envoyer des données :
  • Toutes les destinations : les utilisateurs de l’organisation peuvent envoyer des données d’organisation à n’importe quel compte, document, emplacement ou application.
  • Aucune destination : les utilisateurs de l’organisation ne peuvent pas envoyer de données d’organisation à des comptes externes, des documents, des emplacements ou des applications à partir du contexte de l’organisation. REMARQUE : Pour Microsoft Edge, Aucune destination ne bloque le téléchargement de fichiers. Cela signifie que le partage de fichiers entre des sites/onglets sera bloqué.


 Toutes les destinations
Autoriser les opérations couper, copier et coller pour Sélectionnez l’une des options suivantes pour spécifier les sources et les destinations que les utilisateurs de l’organisation peuvent couper ou copier ou coller des données d’organisation :
  • N’importe quelle destination et toute source : les utilisateurs de l’organisation peuvent coller des données à partir de et couper/copier des données dans n’importe quel compte, document, emplacement ou application.
  • Aucune destination ou source : les utilisateurs de l’organisation ne peuvent pas couper, copier ou coller des données vers ou à partir de comptes externes, de documents, d’emplacements ou d’applications à partir ou dans le contexte de l’organisation. REMARQUE : Pour Microsoft Edge, aucun comportement couper, copier et coller des blocs de destination ou de source dans le contenu web uniquement. Couper, copier et coller sont désactivés à partir de tout le contenu web, mais pas des contrôles d’application, y compris la barre d’adresse.


 N’importe quelle destination et toute source

Les fonctionnalités

Setting Comment utiliser Valeur par défaut
Impression des données de l'Org Sélectionnez Bloquer pour empêcher l’impression des données de l’organisation. Sélectionnez Autoriser pour autoriser l’impression des données de l’organisation. Les données personnelles ou non managées ne sont pas affectées. Allow

Contrôles d’intégrité

Définissez les conditions de contrôle d’intégrité pour votre stratégie de protection des applications. Sélectionnez un paramètre et entrez la valeur que les utilisateurs doivent respecter pour accéder aux données de votre organisation. Sélectionnez ensuite l’action que vous souhaitez effectuer si les utilisateurs ne respectent pas vos conditions. Dans certains cas, plusieurs actions peuvent être configurées pour un seul paramètre. Pour plus d’informations, consultez Actions de contrôle d’intégrité.

Conditions de l’application

Configurez les paramètres de contrôle d’intégrité suivants pour vérifier la configuration de l’application avant d’autoriser l’accès aux comptes et données de l’organisation.

Remarque

Le terme application gérée par une stratégie fait référence aux applications configurées avec des stratégies de protection des applications.

Setting Comment utiliser Valeur par défaut
Période de grâce hors connexion Nombre de minutes pendant lesquelles une application gérée par une stratégie peut s’exécuter hors connexion. Indiquez le délai (en minutes) avant que les conditions d'accès à l'application ne soient vérifiées à nouveau.

Les actions comprennent :

  • Bloquer l’accès (minutes) : nombre de minutes pendant lesquelles les applications gérées par une stratégie peuvent s’exécuter hors connexion. Indiquez le délai (en minutes) avant que les conditions d'accès à l'application ne soient vérifiées à nouveau. Après l'expiration de la période configurée, l'application bloque l'accès aux données professionnelles ou scolaires jusqu'à ce qu'un accès au réseau soit disponible. Le minuteur de période de grâce hors connexion pour bloquer l’accès aux données est calculé en fonction du dernier archivage auprès du service Intune. Ce format de définition des stratégies prend en charge un nombre entier positif.
  • Réinitialiser les données (jours) : après ce nombre de jours (défini par l’administrateur) d’exécution hors connexion, l’application demande à l’utilisateur de se connecter au réseau et de se réauthentifier. Si l'utilisateur s'authentifie avec succès, il peut continuer à accéder à ses données et l'intervalle hors ligne sera réinitialisé. Si l’utilisateur ne parvient pas à s’authentifier, l’application effectue une réinitialisation sélective du compte et des données de l’utilisateur. Voir Comment effacer uniquement les données d'entreprise des applications gérées par Intune pour plus d'informations sur les données qui sont supprimées avec un effacement sélectif. Le minuteur de période de grâce hors connexion pour l’effacement des données est calculé par l’application en fonction du dernier archivage auprès du service Intune. Ce format de définition de stratégie prend en charge un nombre entier positif.
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.

 Bloquer l’accès (minutes) : 720 minutes (12 heures)

Réinitialiser les données (jours) : 90 jours
Version minimale de l'application Spécifiez une valeur pour la valeur minimale de la version de l’application.

Les actions comprennent :

  • Avertissement – L'utilisateur reçoit une notification si la version de l'application sur l'appareil ne répond pas aux exigences. Cette notification peut être rejetée.
  • Bloquer l'accès – L'accès de l'utilisateur est bloqué si la version de l'application sur l'appareil ne répond pas aux exigences.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Étant donné que les applications ont souvent des schémas de gestion de version distincts entre elles, créez une stratégie avec une version d’application minimale ciblant une application.

Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.

Ce paramètre de stratégie prend en charge les formats de version de bundle d’applications Windows correspondants (major.minor ou major.minor.patch).		 Aucune valeur par défaut
Version min. du SDK Spécifiez une valeur minimale pour la version du kit de développement logiciel (SDK) Intune.

Les actions comprennent :

  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version du SDK de stratégie de protection des applications Intune de l’application ne remplit pas la condition.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.		 Aucune valeur par défaut
Compte désactivé Spécifiez une action automatisée si le compte Microsoft Entra de l’utilisateur est désactivé. L’administrateur ne peut spécifier qu’une seule action. Il n’existe pas de valeur à définir pour ce paramètre. Les actions comprennent :
  • Bloquer l’accès : lorsque nous avons confirmé que l’utilisateur a été désactivé dans l’ID Microsoft Entra, l’application bloque l’accès aux données professionnelles ou scolaires.
  • Réinitialiser les données : lorsque nous avons confirmé que l’utilisateur a été désactivé dans l’ID Microsoft Entra, l’application effectue une réinitialisation sélective du compte et des données des utilisateurs.
NOTE: Si l’état de l’utilisateur ne peut pas être confirmé en raison de la connectivité, de l’authentification ou de toute autre raison, ces actions (Bloquer l’accès et Réinitialiser les données) ne seront pas appliquées.		 Aucune valeur par défaut

Conditions de l’appareil

Configurez les paramètres de contrôle d’intégrité suivants pour vérifier la configuration de l’appareil avant d’autoriser l’accès aux comptes et aux données de l’organisation. Des paramètres similaires basés sur un appareil peuvent être configurés pour les appareils inscrits. En savoir plus sur la configuration des paramètres de conformité des appareils inscrits.

Setting Comment utiliser Valeur par défaut
Version min. de l’OS Spécifiez un système d’exploitation Windows minimal pour utiliser cette application.

Les actions comprennent :

  • Avertir : l’utilisateur verra une notification si la version de Windows sur l’appareil ne répond pas à la condition requise. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version de Windows sur l’appareil ne répond pas à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.
Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.

Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision.

Pour rechercher la version de Windows, ouvrez une invite de commandes. La version s’affiche en haut de la fenêtre d’invite de commandes. Un exemple de format de version à utiliser est 10.0.22631.3155. Notez que si vous utilisez la winver commande , vous verrez uniquement la build du système d’exploitation (par exemple, 22631.3155), qui n’est pas le format correct à utiliser.
Version maximale du système d'exploitation Spécifiez un système d’exploitation Windows maximal pour utiliser cette application.

Les actions comprennent :

  • Avertir : l’utilisateur verra une notification si la version de Windows sur l’appareil ne répond pas à la condition requise. Cette notification peut être rejetée.
  • Bloquer l’accès : l’accès de l’utilisateur est bloqué si la version de Windows sur l’appareil ne répond pas à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.

Cette entrée peut apparaître plusieurs fois, chaque fois à l'appui d'une action différente.

Ce format de paramètre de stratégie prend en charge soit major.minor, major.minor.build, major.minor.build.revision.
Niveau de menace maximal autorisé pour l’appareil Les stratégies de protection d’applications peuvent tirer parti du connecteur Intune-MTD. Spécifiez un niveau de menace maximal acceptable pour utiliser cette application. Les menaces sont déterminées par l’application de fournisseur Mobile Threat Defense (MTD) que vous avez choisie sur l’appareil de l’utilisateur final. Spécifiez Sécurisé, Faible, Moyen ou Élevé. L’option Sécurisé ne requiert aucune menace sur l’appareil et constitue la valeur configurable la plus restrictive, tandis que l’option Élevé requiert une connexion active d’Intune à MTD.

Les actions comprennent :

  • Bloquer l’accès - L’accès à l’utilisateur sera bloqué si le niveau de menace déterminé par l’application fournisseur Mobile Threat Defense (MTD) que vous avez choisie sur l’appareil de l’utilisateur final n’est pas conforme à cette exigence.
  • Effacer les données – Le compte utilisateur associé à l'application est effacé de l'appareil.

Pour plus d'informations sur l'utilisation de ce paramètre, voir Activer MTD pour les appareils non inscrits.

Informations supplémentaires

Pour plus d’informations sur APP pour appareils Windows, consultez les ressources suivantes :