• Article

Accès conditionnel dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations contenues dans cette rubrique s'appliquent à System Center 2012 Configuration Manager SP2 et System Center 2012 R2 Configuration Manager SP1.

Si vous utilisez l'Extension d'accès conditionnel pour Microsoft Intune, la fonctionnalité de cette extension est désormais incluse dans le produit principal et n'est plus affichée dans le nœud Extensions pour Microsoft Intune de la console Configuration Manager.

Cependant, pour System Center 2012 R2 Configuration Manager SP1, à compter du 2 novembre, la nouvelle fonctionnalité suivante est fournie par l’Extension d’accès conditionnel. L’extension apparaît dans le nœud Extensions pour Microsoft Intune de la console Configuration Manager.

  • Règle de conformité minimale du système d’exploitation

  • Règle de conformité maximale du système d’exploitation

Utilisez l'accès conditionnel dans Configuration Manager pour sécuriser la messagerie électronique et d'autres services sur des appareils qui sont inscrits avec Microsoft Intune, en fonction de conditions que vous spécifiez.

La procédure classique pour configurer l'accès conditionnel est la suivante :

Advanced conditional access flow

Utilisez l'accès conditionnel pour gérer l'accès aux services suivants :

  • Microsoft Exchange sur site

  • Microsoft Exchange Online

  • Exchange Online Dedicated

  • SharePoint Online

Vous pouvez contrôler l'accès à Exchange Online et Exchange sur site à partir du client de messagerie intégré sur les plateformes suivantes :

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieures

  • iOS 7.1 et versions ultérieures

  • Windows Phone 8.1 et versions ultérieures

  • Application de messagerie sur Windows 8.1 et versions ultérieures

Vous pouvez contrôler l'accès à SharePoint Online à partir des applications suivantes pour les plateformes répertoriées :

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android et iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Les applications de bureau Office peuvent accéder à Exchange Online et SharePoint Online sur des PC exécutant :

  • la version de bureau d'Office 2013 et versions ultérieures avec l'authentification moderne activée ;

  • Windows 7.0 ou Windows 8.1

Notes

Les PC doivent être joints au domaine ou être compatibles avec les stratégies définies dans Intune.

Pour implémenter un accès conditionnel, vous configurez deux types de stratégie dans Configuration Manager :

  • Les stratégies de conformité sont des stratégies facultatives que vous pouvez déployer dans des regroupements d'utilisateurs et qui évaluent des paramètres comme :

    • Code secret

    • Chiffrement

    • Si l'appareil est jailbroken ou rooté

    • Si la messagerie électronique sur l'appareil est gérée par une stratégie Configuration Manager ou Intune

    Si aucune stratégie de conformité n'est déployée sur un appareil, les stratégies d'accès conditionnel applicables vont traiter l'appareil comme étant conforme.

  • Les stratégies d'accès conditionnel sont configurées pour un service particulier. Elles définissent des règles qui déterminent notamment quels groupes d'utilisateurs de sécurité Azure Active Directory ou quels regroupements d'utilisateurs Configuration Manager sont ciblés ou exempts.

    Vous configurez la stratégie d'accès conditionnel Exchange local à partir de la console Configuration Manager. Toutefois, lorsque vous configurez une stratégie Exchange Online ou SharePoint Online, la console d'administration Microsoft Intune s'ouvre, dans laquelle vous configurez la stratégie.

    Contrairement aux autres stratégies Intune ou Configuration Manager, vous ne déployez pas les stratégies d'accès conditionnel. Au lieu de cela, vous les configurez une seule fois et elles s'appliquent à tous les utilisateurs gérés.

Quand un appareil ne remplit pas les conditions que vous configurez, l'utilisateur est guidé tout au long du processus d'inscription de cet appareil et du processus de résolution du problème qui empêche l'appareil d'être conforme.

Avant de commencer

Avant de commencer à utiliser l'accès conditionnel, vérifiez que les spécifications requises correctes sont satisfaites :

Type de stratégie

Configuration requise

Exchange Online (en utilisant l'environnement mutualisé partagé)

L'accès conditionnel à Exchange Online prend en charge les appareils qui exécutent :

  • Windows 8.1 et ultérieur (quand ils sont inscrits auprès de Intune)

  • Windows 7.0 ou Windows 8.1 (quand ils sont joints au domaine)

  • Windows Phone 8.1 et versions ultérieures

  • iOS 7.1 et versions ultérieures

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieures

En outre :

  • Les appareils doivent être joints à un espace de travail, qui inscrit l'appareil auprès du service Azure Active Directory Device Registration Service (AAD DRS).

    Les PC joints au domaine doivent être inscrits automatiquement auprès d'Azure Active Directory via la stratégie de groupe ou MSI. La section Accès conditionnel pour les PC dans cette rubrique décrit la configuration requise pour l'activation de l'accès conditionnel pour un PC.

    Le service AAD DRS sera activé automatiquement pour les clients Intune et Office 365. Les clients qui ont déjà déployé le service d'inscription d'appareils AD FS ne verront pas les appareils inscrits dans leur annuaire Active Directory local.

  • Vous devez utiliser un abonnement Office 365 qui inclut Exchange Online (comme E3) et les utilisateurs doivent disposer d'une licence pour Exchange Online.

  • Le connecteur Exchange Server est facultatif. Il connecte Configuration Manager à Microsoft Exchange Online et vous aide à surveiller les informations des appareils via la console Configuration Manager (voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange). Il n'est pas nécessaire d'utiliser le connecteur pour utiliser des stratégies de conformité ou d'accès conditionnel, mais il est obligatoire pour exécuter les rapports qui aident à évaluer l'impact de l'accès conditionnel.

Exchange Online Dedicated

L'accès conditionnel à Exchange Online Dedicated prend en charge les appareils qui exécutent :

  • Windows 8 et versions ultérieures (quand ils sont inscrits auprès de Intune)

  • Windows 7.0 ou Windows 8.1 (quand ils sont joints au domaine)

    Accès conditionnel aux PC joints au domaine uniquement pour les locataires dans le nouvel environnement dédié Exchange Online.

  • Windows Phone 8 et versions ultérieures

  • Tout appareil iOS utilisant un client de messagerie Exchange ActiveSync (EAS)

  • Android 4 et ultérieur.

  • Pour les clients dans l'environnement Exchange Online Dedicated hérité :

    Vous devez utiliser le connecteur Exchange Server qui connecte Configuration Manager à Microsoft Exchange local. Cela vous permet de gérer les appareils mobiles et active l'accès conditionnel (voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange).

  • Pour les clients dans le nouvel environnement Exchange Online Dedicated :

    Le connecteur Exchange Server est facultatif. Il connecte Configuration Manager à Microsoft Exchange Online et vous aide à gérer les informations des appareils (voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange). Il n'est pas nécessaire d'utiliser le connecteur pour utiliser des stratégies de conformité ou d'accès conditionnel, mais il est obligatoire pour exécuter les rapports qui aident à évaluer l'impact de l'accès conditionnel.

Exchange sur site

L'accès conditionnel à Exchange sur site prend en charge les :

  • Windows 8 et versions ultérieures (quand ils sont inscrits auprès de Intune)

  • Windows Phone 8 et versions ultérieures

  • Application de messagerie native sur iOS

  • Application de messagerie native sur Android 4 ou version ultérieure

  • L’application Microsoft Outlook n’est pas prise en charge sur Android et iOS.

En outre :

  • Votre version d’Exchange doit être Exchange 2010 ou une version ultérieure. Le groupe de serveurs d’accès au client (CAS) du serveur Exchange est pris en charge.

    System_CAPS_tipConseil

    Si votre environnement Exchange est dans une configuration de serveur CAS, vous devez configurer le connecteur Exchange local pour pointer vers l’un des serveurs CAS.

  • Vous devez utiliser le connecteur Exchange Server qui connecte Configuration Manager à Microsoft Exchange local. Cela vous permet de gérer les appareils mobiles et active l'accès conditionnel (voir Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange).

    • Assurez-vous d’utiliser la dernière version du connecteur Exchange local. Le connecteur Exchange local doit être installé et configuré via la console Configuration Manager. Pour obtenir une description détaillée, consultez Comment gérer des périphériques mobiles à l'aide de Configuration Manager et d'Exchange.

    • Le connecteur doit être installé uniquement sur le site principal de System Center Configuration Manager.

    • Ce connecteur prend en charge l’environnement CAS Exchange. Quand vous configurez le connecteur, vous devez faire en sorte qu’il communique avec l’un des serveurs CAS Exchange.

  • Exchange ActiveSync peut être configuré avec l'authentification basée sur certificat ou l'entrée d'informations d'identification utilisateur.

SharePoint Online

L'accès conditionnel à SharePoint Online prend en charge les appareils qui exécutent :

  • Windows 8.1 et ultérieur (quand ils sont inscrits auprès de Intune)

  • Windows 7.0 ou Windows 8.1 (quand ils sont joints au domaine)

  • Windows Phone 8.1 et versions ultérieures

  • iOS 7.1 et versions ultérieures

  • Android 4.0 et versions ultérieures, Samsung Knox Standard 4.0 et versions ultérieures

En outre :

  • Les appareils doivent être joints à un espace de travail, qui inscrit l'appareil auprès du service Azure Active Directory Device Registration Service (AAD DRS).

    Les PC joints au domaine doivent être inscrits automatiquement auprès d'Azure Active Directory via la stratégie de groupe ou MSI. La section Accès conditionnel pour les PC dans cette rubrique décrit la configuration requise pour l'activation de l'accès conditionnel pour un PC.

    Le service AAD DRS sera activé automatiquement pour les clients Intune et Office 365. Les clients qui ont déjà déployé le service d'inscription d'appareils AD FS ne verront pas les appareils inscrits dans leur annuaire Active Directory local.

  • Un abonnement SharePoint Online est requis et les utilisateurs doivent disposer d'une licence pour SharePoint Online.

Accès conditionnel pour les PC

Vous pouvez configurer l'accès conditionnel pour les PC qui exécutent des applications de bureau Office pour accéder à Exchange Online et SharePoint Online pour les PC qui répondent aux exigences suivantes :

  • Le PC doit exécuter Windows 7.0 ou Windows 8.1.

  • Le PC doit être joint au domaine ou être conforme.

    Pour être conforme, le PC doit être inscrit dans Intune et être conforme aux stratégies.

    Pour les PC joints à un domaine, vous devez le configurer pour qu’il s’inscrive automatiquement auprès d’Azure Active Directory.

  • L'authentification moderne Office 365 doit être activée et toutes les mises à jour Office les plus récentes doivent être installées.

    L'authentification moderne permet aux clients Windows Office 2013 d'utiliser la connexion basée sur la bibliothèque ADAL (Active Directory Authentication Library) et permet de bénéficier d'une sécurité accrue telle que l'authentification multifacteur et l'authentification basée sur certificat.

  • Configurez des règles de revendications AD FS pour bloquer les protocoles autres que l'authentification moderne.

Étapes suivantes

Lisez les rubriques suivantes pour savoir comment configurer des stratégies de conformité et des stratégies d'accès conditionnel pour votre scénario :