Tutoriel : Protéger Exchange Online e-mail sur les appareils iOS gérés avec Microsoft Intune
Ce tutoriel montre comment utiliser les stratégies de conformité des appareils Microsoft avec Microsoft Entra stratégie d’accès conditionnel pour autoriser les appareils iOS à accéder à Exchange uniquement lorsqu’ils sont gérés par Intune et qu’ils utilisent une application de messagerie approuvée.
Dans ce tutoriel, vous apprendrez comment le faire :
- Créer une stratégie de conformité d’appareil Intune iOS pour définir les conditions qu’un appareil doit respecter pour être considéré comme conforme.
- Créez une stratégie d’accès conditionnel Microsoft Entra qui exige que les appareils iOS s’inscrivent dans Intune, se conforment aux stratégies Intune et utilisent l’application mobile Outlook approuvée pour accéder à Exchange Online courrier électronique.
Configuration requise
Pour ce didacticiel, nous vous recommandons d’utiliser des abonnements d’essai hors production.
Au cours de ce tutoriel, les abonnements d’essai vous permettent d’éviter d’affecter un environnement de production avec des configurations incorrectes. Les essais nous permettent également d’utiliser uniquement le compte que vous avez créé lors de la création de l’abonnement d’évaluation pour configurer et gérer Intune, car il dispose des autorisations nécessaires pour effectuer chaque tâche de ce didacticiel. L’utilisation de ce compte élimine la nécessité de créer et de gérer des comptes d’administration dans le cadre du didacticiel.
Ce didacticiel nécessite un locataire de test avec les abonnements suivants :
- abonnement Microsoft Intune Plan 1 (inscrivez-vous pour obtenir un compte d’essai gratuit)
- Microsoft Entra ID P1 (essai gratuit)
- Abonnement Microsoft 365 Apps for business incluant Exchange (essai gratuit)
Se connecter à Intune
Pour ce tutoriel, lorsque vous vous connectez au centre d’administration Microsoft Intune, connectez-vous avec le compte qui a été créé lorsque vous vous êtes inscrit à l’abonnement d’essai Intune. Vous continuerez à utiliser ce compte pour vous connecter au centre d’administration tout au long de ce didacticiel.
Créer un profil d’appareil par courrier
Ce tutoriel vous oblige à créer un profil d’appareil iOS/iPadOS Email. Pour ce faire, suivez les instructions de l’Étape 11 : Créer un profil d’appareil à partir de la zone Essayer Intune tâches de la documentation Intune. Le profil de messagerie est utilisé pour exiger que les appareils iOS/iPad utilisent la messagerie professionnelle.
Lorsque vous créez le profil de messagerie, affectez le profil au même groupe d’appareils que vous utiliserez ultérieurement pour la stratégie de conformité des appareils et les stratégies d’accès conditionnel que vous créez dans les étapes suivantes de ce didacticiel.
Après avoir créé le profil de messagerie, revenez ici pour continuer.
Créer la stratégie de conformité des appareils iOS
Configurez une stratégie de conformité d’appareil Intune pour définir les conditions qu’un appareil doit respecter pour être considéré comme conforme. Pour ce tutoriel, nous créons une stratégie de conformité des appareils pour les appareils iOS. Les stratégies de conformité sont spécifiques à la plateforme, donc vous avez besoin d’une stratégie de conformité distincte pour chaque plateforme d’appareil que vous souhaitez évaluer.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Conformité des appareils>.
Sous l’onglet Stratégies , choisissez Créer une stratégie.
Dans la page Créer une stratégie , pour Plateforme , sélectionnez iOS/iPadOS. Sélectionnez Créer pour continuer.
Sous l’onglet Informations de base , entrez les propriétés suivantes :
- Nom : attribuez un nom descriptif au nouveau profil. Pour cet exemple, entrez test de stratégie de conformité iOS.
- Description : Facultatif : entrez le test de stratégie de conformité iOS.
Sélectionnez Suivant pour continuer.
Sous l’onglet Paramètres de conformité :
Développez Email, puis définissez Impossible de configurer la messagerie sur l’appareil surExiger.
Développez Intégrité de l’appareil et définissez Appareils jailbreakés sur Bloquer.
Développez Sécurité du système et configurez les paramètres suivants :
- Exiger un mot de passe pour déverrouiller les appareils mobiles à Exiger
- Mots de passe simples à bloquer
- Longueur minimale du mot de passe4
Conseil
Les valeurs par défaut grisées et en italique sont uniquement des recommandations. Vous devez remplacer les valeurs qui sont des recommandations pour configurer un paramètre.
- Type de mot de passe obligatoire en alphanumérique
- Nombre maximal de minutes après le verrouillage de l’écran avant que le mot de passe ne soit requispour immédiatement
- Expiration du mot de passe (jours) à 41
- Nombre de mots de passe précédents pour empêcher la réutilisation à 5
Pour continuer, sélectionnez Suivant.
Sélectionnez Suivant pour ignorer les actions en cas de non-conformité.
Sous l’onglet Affectations , pour Groupes inclus, sélectionnez Ajouter tous les appareils ou sélectionnez un groupe qui contient uniquement les appareils qui doivent recevoir cette stratégie. Veillez à utiliser la même affectation que celle que vous avez utilisée pour le profil d’appareil de messagerie.
Sélectionnez Suivant pour continuer.
Sous l’onglet Vérifier + créer , passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.
Créer la stratégie d'accès conditionnel
Ensuite, utilisez le centre d’administration Microsoft Intune pour créer une stratégie d’accès conditionnel. Vous intégrez l’accès conditionnel à Intune pour contrôler les appareils et les applications qui peuvent se connecter à la messagerie et aux ressources de votre organisation.
La stratégie d’accès conditionnel :
- Exigez que les appareils qui exécutent une plateforme s’inscrivent à Intune et se conforment à votre stratégie de conformité Intune avant que ces appareils puissent être utilisés pour accéder à Exchange Online.
- Exiger que les appareils utilisent l’application Outlook pour l’accès à la messagerie.
Les stratégies d’accès conditionnel sont configurables dans le centre d’administration Microsoft Entra ou dans le centre d’administration Microsoft Intune. Étant donné que nous sommes déjà dans le centre d’administration, nous pouvons créer la stratégie ici.
Connectez-vous au Centre d’administration Microsoft Intune.
SélectionnezAccès> conditionnel sécurité> du point de terminaisonCréer une stratégie.
Pour Nom, entrez Stratégie de test pour la messagerie Microsoft 365.
Sous Affectations, pour Utilisateurs, sélectionnez 0 utilisateurs et groupes sélectionnés. Sous l’onglet Inclure , sélectionnez Tous les utilisateurs. La valeur de Users est mise à jour sur Tous les utilisateurs.
Également, sous Affectations, sélectionnez Ressources cibles. Dans la liste déroulante Sélectionner ce à quoi cette stratégie s’applique , sélectionnez Applications cloud.
Ensuite, comme nous voulons protéger microsoft 365 Exchange Online courrier électronique, sélectionnez cette application en procédant comme suit :
- Dans l’onglet Inclure, choisissez Sélectionner les applications.
- Pour la catégorie Sélectionner , sélectionnez Aucun pour ouvrir le volet Sélectionner avec sa liste d’applications.
- Dans la liste des applications, cochez la case pour Office 365 Exchange Online, puis sélectionnez Sélectionner.
Également, sous Affectations, sélectionnez Conditions Plateformes> d’appareils pour ouvrir le volet Plateformes d’appareils.
- Définissez Configurer sur Oui.
- Dans l’onglet Inclure, sélectionnez N’importe quel appareil, puis Terminé.
Une fois de plus, sous Affectations, sélectionnez Conditions>Applications clientes.
Définissez Configurer sur Oui.
Pour ce tutoriel, sélectionnez Applications mobiles et clients de bureau, qui font partie de Clients d’authentification modernes (qui fait référence à des applications comme Outlook pour iOS et Outlook pour Android). Décochez toutes les autres cases.
Sélectionnez Terminé, puis sélectionnez Terminé à nouveau.
Sous Contrôles d’accès, sélectionnez Accorder.
Dans le volet Accorder, sélectionnez Accorder l’accès.
Sélectionnez Exiger que l'appareil soit marqué comme conforme.
Sélectionnez Demander une application cliente approuvée.
Sous Pour plusieurs contrôles, sélectionnez Demander tous les contrôles sélectionnés. Ce paramètre garantit que les deux exigences que vous avez sélectionnées sont appliquées quand un appareil tente d’accéder à la messagerie.
Choisissez Sélectionner.
Sous Activer la stratégie, sélectionnez Activé.
Sélectionnez Créer pour enregistrer vos modifications. Le profil est affecté.
Remarque
Certains services dépendants, tels que Microsoft Teams, s’intègrent aux ressources Exchange Online et sont régis par l’application de la stratégie liée en amont. Par conséquent, les utilisateurs doivent se conformer aux stratégies Exchange avant de se connecter à Microsoft Teams.
Si vous disposez d’une stratégie d’accès conditionnel qui limite les demandes d’authentification pour les ressources Exchange Online, les utilisateurs doivent répondre aux exigences de la stratégie Exchange avant de se connecter à Teams. Le non-respect de ces stratégies affecte la possibilité de se connecter à Teams.
Pour plus d’informations, consultez la documentation Microsoft sur les dépendances de service et l’application des stratégies.
Essayez
Avec les stratégies que vous avez créées, tout appareil iOS qui tente de se connecter à la messagerie Microsoft 365 doit s’inscrire dans Intune et utiliser l’application mobile Outlook pour iOS/iPadOS. Pour tester ce scénario sur un appareil iOS, essayez de vous connecter à Exchange Online à l’aide des informations d’identification d’un utilisateur dans votre locataire de test. Vous êtes invité à inscrire l’appareil et à installer l’application mobile Outlook.
Pour tester sur un iPhone, accédez à Paramètres>Mots de passe et comptes>Ajouter un compte>Exchange .
Entrez l’adresse e-mail d’un utilisateur dans votre locataire de test, puis appuyez sur Suivant.
Appuyez sur Se connecter.
Entrez le mot de passe de l’utilisateur de test, puis appuyez sur Se connecter.
Un message s’affiche indiquant que votre appareil doit être géré pour accéder à la ressource, accompagné d’une option pour vous inscrire.
Nettoyer les ressources
Lorsque les stratégies de test ne sont plus nécessaires, vous pouvez les supprimer.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Conformité des appareils>.
Dans la liste Nom de la stratégie, sélectionnez le menu contextuel (...) de votre stratégie de test, puis sélectionnez Supprimer. Sélectionnez OK pour confirmer.
Sélectionnez Stratégiesd’accès> conditionnel de sécurité> despoints de terminaison.
Dans la liste Nom de la stratégie, sélectionnez le menu contextuel (...) de votre stratégie de test, puis sélectionnez Supprimer. Cliquez sur Oui pour confirmer.
Prochaines étapes
Dans ce tutoriel, vous avez créé des stratégies qui exigent que les appareils iOS s’inscrivent dans Intune et utilisent l’application Outlook pour accéder à la messagerie Exchange Online. Pour en savoir plus sur l’utilisation d’Intune avec accès conditionnel en vue de protéger d’autres applications et services, notamment les clients Exchange ActiveSync pour Microsoft 365 Exchange Online, consultez Configurer l’accès conditionnel.