Comment contrôler des applications à l'aide de stratégies de gestion des applications mobiles dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Depuis System Center 2012 Configuration Manager SP2, les stratégies de gestion des applications mobiles vous permettent de modifier les fonctionnalités des applications que vous déployez pour aider à les aligner avec les stratégies de conformité et de sécurité de votre entreprise. Par exemple, vous pouvez restreindre les opérations Couper, Copier et Coller au sein d'une application limitée, ou configurer une application pour ouvrir tous les liens web dans Managed Browser. Les stratégies de gestion des applications prennent en charge :
les appareils qui exécutent Android 4 et versions ultérieures ;
les appareils qui exécutent iOS 7 et versions ultérieures.
.jpeg "System_CAPS_tip") Conseil |
|---|
Outre les appareils gérés, il est possible d’utiliser des stratégies de gestion des applications mobiles pour protéger les applications sur les appareils non gérés par Intune. Grâce à cette nouvelle fonctionnalité, vous pouvez appliquer des stratégies de gestion des applications mobiles pour les applications se connectant aux services Office 365. Ces stratégies ne sont pas prises en charge pour les applications se connectant à Exchange sur site ou SharePoint. Pour utiliser cette nouvelle fonctionnalité, vous devez utiliser le portail Azure en version préliminaire. Les rubriques suivantes peuvent vous aider dans la prise en main : |
Contrairement aux éléments de configuration et aux lignes de base dans Configuration Manager, vous ne déployez pas une stratégie de gestion d'application directement. Au lieu de cela, vous associez la stratégie au type de déploiement d'application que vous voulez restreindre. Quand le type de déploiement d'application est déployé et installé sur les appareils, les paramètres que vous spécifiez prennent effet.
Pour appliquer des restrictions à une application, celle-ci doit intégrer le Kit de développement logiciel (SDK) d'application Microsoft Intune. Il existe deux méthodes pour obtenir ce type d'application :
Utiliser une application gérée par une stratégie (Android et iOS) : intègre le Kit de développement logiciel (SDK) d’application. Pour ajouter ce type d'application, spécifiez un lien vers l'application à partir d'un magasin d'applications tel que l'iTunes Store ou Google Play. Aucun traitement supplémentaire n'est nécessaire pour ce type d'application. Pour obtenir une liste des applications gérées par une stratégie qui sont disponibles pour les appareils iOS et Android, consultez Applications gérées pour les stratégies de gestion des applications mobiles Microsoft Intune.
Utiliser une application « encapsulée » (Android et iOS) : applications repackagées pour inclure le Kit de développement logiciel (SDK) d’application à l’aide de l’outil de création de package de restrictions d’application Microsoft Intune. On utilise généralement cet outil pour traiter les applications d'entreprise qui ont été créées en interne. Vous ne pouvez pas l'utiliser pour traiter les applications qui ont été téléchargées à partir du magasin d'applications. Consultez Préparer des applications Android pour la gestion des applications mobiles avec l'outil de création de package de restrictions d'application Microsoft Intune et Préparer des applications iOS pour la gestion des applications mobiles avec l'outil de création de package de restrictions d'application Microsoft Intune.
Créer et déployer une application avec une stratégie de gestion des applications mobiles
Étape 1 : obtenir le lien vers une application gérée par une stratégie ou créer une application encapsulée
Étape 2 : créer une application Configuration Manager qui contient une application
Étape 3 : créer une stratégie de gestion d’application
Étape 4 : associer la stratégie de gestion d’application à un type de déploiement
Étape 5 : contrôler le déploiement de l’application
Étape 1 : obtenir le lien vers une application gérée par une stratégie ou créer une application encapsulée
Pour obtenir un lien vers une application gérée par une stratégie (iOS et Android) - À partir du magasin d'applications, recherchez et notez l'URL de l'application gérée par une stratégie que vous souhaitez déployer.
Par exemple, l’URL de l’application Microsoft Word pour iPad est https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8
Pour créer une application encapsulée (iOS et Android) -Utilisez les informations fournies dans les rubriques Préparer des applications iOS pour la gestion des applications mobiles avec l'outil de création de package de restrictions d'application Microsoft Intune et Préparer des applications Android pour la gestion des applications mobiles avec l'outil de création de package de restrictions d'application Microsoft Intune pour créer une application encapsulée.
L'outil crée une application traitée et un fichier manifeste associé. Vous utiliserez ces fichiers quand vous créerez une application Configuration Manager contenant l'application.
Étape 2 : créer une application Configuration Manager qui contient une application
La procédure de création de l'application Configuration Manager diffère selon que vous utilisez une application gérée par une stratégie (lien externe) ou une application qui a été créée avec l'outil de création de package de restrictions d'application Microsoft Intune pour iOS (package d'application pour iOS). Appliquez l'une des procédures suivantes pour créer l'application Configuration Manager.
Pour créer une application pour une application d'outil de création de package de restrictions d'application Microsoft Intune pour iOS
-
Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
-
Dans l'espace de travail Bibliothèque de logiciels, développez Gestion d'applications, puis cliquez sur Applications.
-
Sous l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une application pour ouvrir l'Assistant Création d'une application.
-
Sous l'onglet Général, sélectionnez Détecter automatiquement les informations de cette application à partir des fichiers d'installation.
-
Dans la liste déroulante Type, sélectionnez Package d'application pour iOS (fichier *.ipa).
-
Cliquez sur Parcourir pour sélectionner le package d'application à importer, puis cliquez sur Suivant.
-
Sur la page Informations générales, entrez le texte descriptif et les informations de catégorie que vous souhaitez montrer aux utilisateurs sur le portail d'entreprise.
-
Effectuez toutes les étapes de l'Assistant.
La nouvelle application s'affiche dans le nœud Applications de l'espace de travail Bibliothèque de logiciels.
Pour créer une application contenant un lien vers une application gérée par une stratégie
-
Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
-
Dans l'espace de travail Bibliothèque de logiciels, développez Gestion d'applications, puis cliquez sur Applications.
-
Sous l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une application pour ouvrir l'Assistant Création d'une application.
-
Sous l'onglet Général, sélectionnez Détecter automatiquement les informations de cette application à partir des fichiers d'installation.
-
Dans la liste déroulante Type, sélectionnez l'un des éléments suivants :
- Pour iOS : **Package d’application pour iOS dans l’App Store** - Pour Android : **Package d’application pour Android sur Google Play** -
Entrez l'URL de l'application (obtenue à l'étape 1), puis cliquez sur Suivant.
-
Sur la page Informations générales, entrez le texte descriptif et les informations de catégorie que vous souhaitez montrer aux utilisateurs sur le portail d'entreprise.
-
Effectuez toutes les étapes de l'Assistant.
La nouvelle application s'affiche dans le nœud Applications de l'espace de travail Bibliothèque de logiciels.
Étape 3 : créer une stratégie de gestion d’application
Ensuite, vous allez créer une stratégie de gestion d'application que vous associerez à l'application. Vous pouvez créer une stratégie générale ou Managed Browser.
Pour créer une stratégie de gestion d'application
-
Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
-
Dans l'espace de travail Bibliothèque de logiciels, développez Gestion d'applications, puis cliquez sur Stratégies de gestion d'application.
-
Sous l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie de gestion d'application.
-
Dans la page Général, entrez le nom et la description de la stratégie, puis cliquez sur Suivant.
-
Dans la page Type de stratégie, sélectionnez la plateforme et le type de cette stratégie, puis cliquez sur Suivant. Les types de stratégies suivants sont disponibles :
- **Général** : le type de stratégie Général permet de modifier les fonctionnalités des applications que vous déployez pour les adapter aux stratégies de sécurité et de conformité de votre entreprise. Par exemple, vous pouvez limiter les opérations Couper, Copier et Coller dans une application restreinte. - **Managed Browser** : spécifiez s’il faut autoriser ou empêcher Managed Browser d’ouvrir une liste d’URL. Le type de stratégie Managed Browser vous permet de modifier les fonctionnalités de l'application Intune Managed Browser. Il s'agit d'un navigateur web qui vous permet de gérer les actions que les utilisateurs peuvent effectuer, y compris les sites qu'ils peuvent visiter et le mode d'ouverture des liens vers du contenu dans le navigateur. Pour plus d'informations sur l'application Intune Managed Browser, consultez [cette page](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) pour iOS et [cette page](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) pour Android. -
Dans la page Stratégie iOS ou Stratégie Android, configurez les valeurs suivantes selon les besoins, puis cliquez sur Suivant. Les options peuvent différer selon le type d'appareil pour lequel vous configurez la stratégie.
Valeur
Plus d'informations
Afficher le contenu web uniquement dans Managed Browser
Quand ce paramètre est activé, tous les liens dans l'application sont ouverts dans Managed Browser. Pour que cette option fonctionne, vous devez avoir déployé cette application sur des appareils.
Interdire les sauvegardes Android ou Interdire les sauvegardes iTunes et iCloud
Désactive la sauvegarde de toutes les informations à partir de l'application.
Autoriser l'application à transférer des données vers d'autres applications
Spécifie les applications auxquelles cette application peut envoyer des données. Vous pouvez choisir de n'autoriser le transfert de données vers aucune application, d'autoriser le transfert vers d'autres applications restreintes ou d'autoriser le transfert vers toute application.
Pour les appareils iOS, pour empêcher le transfert de documents entre les applications gérées et non gérées, vous devez aussi configurer et déployer une stratégie de sécurité d'appareil mobile qui désactive le paramètre Autoriser les documents gérés dans d'autres applications non gérées.
Notes
Si vous choisissez d'autoriser uniquement le transfert vers d'autres applications restreintes, les visionneuses d'images et PDF Intune (si elles sont déployées) seront utilisées pour ouvrir le contenu des types respectifs.
Autoriser l'application à recevoir des données d'autres applications
Spécifie les applications à partir desquelles cette application peut recevoir des données. Vous pouvez choisir de :
n'autoriser le transfert de données à partir d'aucune application ;
autoriser uniquement le transfert à partir d'autres applications restreintes ;
autoriser le transfert à partir de n'importe quelle application.
Interdire « Enregistrer sous »
Désactive l'utilisation de l'option Enregistrer sous dans toute application qui utilise cette stratégie.
Restreindre les opérations couper, copier et coller avec d'autres applications
Spécifie comment les opérations couper, copier et coller peuvent être utilisées avec l'application. Choisissez parmi :
Bloqué : ne pas autoriser les opérations couper, copier et coller entre cette application et d'autres applications.
Applications gérées par la stratégie : autoriser uniquement les opérations couper, copier et coller entre cette application et les autres applications restreintes.
Applications gérées par la stratégie avec Coller dans : autoriser le collage de données coupées ou copiées à partir de cette application uniquement dans d'autres applications restreintes. Autoriser le collage dans cette application de données coupées ou copiées à partir de n'importe quelle application.
N'importe quelle application : aucune restriction pour les opérations couper, copier et coller vers ou à partir de cette application.
Demander un code confidentiel simple pour l'accès
Oblige l'utilisateur à entrer un code confidentiel qu'il spécifie pour utiliser cette application. L'utilisateur sera invité à définir ce code lors de la première exécution de l'application.
Nombre de tentatives avant réinitialisation du code confidentiel
Spécifiez le nombre de tentatives de saisie du code confidentiel qui peuvent être effectuées avant que l'utilisateur soit obligé de réinitialiser le code confidentiel.
Exiger des informations d'identification d'entreprise pour l'accès
Exige que l'utilisateur entre ses informations d'ouverture de session d'entreprise pour accéder à l'application.
Exiger la conformité à la stratégie d'entreprise pour l'accès
Autorise l'utilisation de l'application uniquement si l'appareil n'est pas jailbroken ou rooté.
Revérifier les exigences d'accès après (minutes)
Dans le champ Délai, indiquez le délai au bout duquel les conditions d'accès pour l'application sont revérifiées après son démarrage.
Dans le champ Période de grâce hors connexion, si l'appareil est hors connexion, spécifiez le délai au bout duquel les conditions d'accès pour l'application sont revérifiées.
Chiffrer les données de l'application
Spécifie que toutes les données associées à cette application seront chiffrées, y compris les données stockées en externe, telles que les cartes SD.
Notes
Chiffrement pour iOS
Pour les applications associées à une stratégie de gestion des applications mobiles Configuration Manager, les données sont chiffrées au repos à l'aide du chiffrement au niveau de l'appareil fourni par le système d'exploitation. Cette option est activée via la stratégie de code confidentiel d'appareil qui doit être définie par l'administrateur informatique. Quand un code confidentiel est nécessaire, les données sont chiffrées selon les paramètres de la stratégie de gestion des applications mobiles. Comme indiqué dans la documentation Apple, les modules utilisés par iOS 7 sont certifiés FIPS 140-2.
Chiffrement pour Android
Pour les applications associées à une stratégie de gestion des applications mobiles Configuration Manager, le chiffrement est fourni par Microsoft. Les données sont chiffrées de manière synchrone durant les opérations d'E/S de fichier conformément au paramètre indiqué dans la stratégie de gestion des applications mobiles. Les applications gérées sur Android utilisent le chiffrement AES-128 en mode CBC, avec utilisation des bibliothèques de chiffrement de plateforme. La méthode de chiffrement n'est pas certifiée FIPS 140-2. Le contenu sur le stockage de l'appareil est toujours chiffré.
Bloquer la capture d'écran (appareils Android uniquement)
Spécifie que les fonctionnalités de capture d'écran de l'appareil sont bloquées lors de l'utilisation de cette application.
-
Dans la page Managed Browser, indiquez si Managed Browser est autorisé à ouvrir uniquement les URL figurant dans la liste ou si vous souhaitez l'empêcher d'ouvrir les URL figurant dans la liste, gérez les URL de la liste, puis cliquez sur Suivant.
.jpeg "System_CAPS_warning")
AvertissementPour plus d'informations, voir Gérer l'accès à Internet à l'aide de stratégies Managed Browser avec Configuration Manager.
-
Effectuez toutes les étapes de l'Assistant.
La nouvelle stratégie s'affiche dans le nœud Stratégies de gestion d'application de l'espace de travail Bibliothèque de logiciels.
Étape 4 : associer la stratégie de gestion d’application à un type de déploiement
Lorsqu'un type de déploiement est créé pour une application qui nécessite une stratégie de gestion d'application, Configuration Manager reconnaît qu'une stratégie de gestion d'application doit être liée à ce type de déploiement quand l'application associée est déployée et vous invite à associer une stratégie de gestion d'application. Pour Managed Browser, vous devrez associer une stratégie Général et une stratégie Managed Browser. Pour plus d'informations, voir Création et déploiement d'applications pour les appareils mobiles dans Configuration Manager.
Important
Si l'application est déjà déployée, le déploiement du nouveau type de déploiement échouera tant que cette association n'aura pas été effectuée. Vous pouvez créer l'association dans les Propriétés de l'application, sous l'onglet Gestion des applications.
Important
Pour les appareils qui exécutent des systèmes d'exploitation antérieurs à iOS 7.1, les stratégies associées ne sont pas supprimées lors de la désinstallation de l'application.
Si l'inscription de l'appareil dans Configuration Manager est annulée, les stratégies ne sont pas supprimées des applications. Les applications pour lesquelles des stratégies étaient appliquées conservent les paramètres de stratégie après la désinstallation et la réinstallation de l'application.
Étape 5 : contrôler le déploiement de l’application
Une fois que vous avez créé et déployé une application associée à une stratégie de gestion des applications mobiles, vous pouvez analyser l'application et résoudre les éventuels conflits de stratégie.
-
Dans la console Configuration Manager, cliquez sur Bibliothèque de logiciels.
-
Dans l'espace de travail Surveillance, développez Vue d'ensemble, puis cliquez sur Déploiements.
-
Sélectionnez le déploiement et, sous l'onglet Accueil, cliquez sur Propriétés.
-
Dans le volet de détails du déploiement, cliquez sur Stratégies de gestion d'application sous Objets associés.
Pour plus d'informations sur la surveillance des applications, consultez Comment surveiller des applications dans Configuration Manager.
Résolution des conflits de stratégie
En cas de conflit de stratégie de gestion des applications mobiles lors du premier déploiement vers l'utilisateur ou l'appareil, la valeur de paramètre spécifique en conflit est supprimée de la stratégie déployée vers l'application et celle-ci utilise une valeur de conflit intégrée.
En cas de conflit de stratégie de gestion des applications mobiles lors de déploiements ultérieurs vers l'application ou l'utilisateur, la valeur de paramètre spécifique en conflit n'est pas mise à jour sur la stratégie de gestion des applications mobiles déployée vers l'application et celle-ci utilise la valeur existante pour ce paramètre.
Dans les cas où l'appareil ou l'utilisateur reçoit deux stratégies en conflit, le comportement suivant s'applique :
Si une stratégie a déjà été déployée sur l'appareil, les paramètres de stratégie existants ne sont pas remplacés.
Si aucune stratégie n'a encore été déployée sur l'appareil et que deux paramètres en conflit sont déployés, le paramètre par défaut intégré à l'appareil est utilisé.
Applications gérées par une stratégie disponibles
Pour obtenir une liste des applications gérées par une stratégie qui sont disponibles pour les appareils iOS et Android, consultez Applications gérées pour les stratégies de gestion des applications mobiles Microsoft Intune.