Tutoriel : Protéger Exchange Online e-mail sur les appareils iOS gérés avec Microsoft Intune

Ce tutoriel vous montre comment utiliser Microsoft Intune stratégies de conformité des appareils avec l’accès conditionnel Microsoft Entra pour permettre aux appareils iOS d’accéder à Exchange Online uniquement lorsqu’ils sont gérés par Intune et qu’ils utilisent l’application Outlook.

Dans ce tutoriel, vous apprendrez comment le faire :

  • Créez une stratégie de conformité d’appareil iOS Intune qui définit les conditions qu’un appareil doit remplir pour être considéré comme conforme.
  • Créez une stratégie d’accès conditionnel Microsoft Entra qui exige que les appareils iOS s’inscrivent dans Intune, se conforment aux stratégies Intune et utilisent l’application mobile Outlook pour accéder à Exchange Online courrier électronique.

Configuration requise

Pour ce tutoriel, utilisez des abonnements d’essai hors production pour éviter d’affecter un environnement de production. Connectez-vous avec le compte que vous avez créé lors de la configuration de l’abonnement d’évaluation. Ce compte dispose des autorisations nécessaires pour effectuer chaque tâche dans ce didacticiel.

Ce didacticiel nécessite un locataire de test avec les abonnements suivants :

Se connecter à Intune

Pour ce tutoriel, connectez-vous au Centre d’administration Microsoft Intune avec le compte que vous avez créé lorsque vous vous êtes inscrit à l’abonnement d’essai Intune.

Créer un profil d’appareil par courrier

Ce tutoriel nécessite un profil d’appareil iOS/iPadOS Email. Pour en créer un, suivez les instructions de l’Étape 11 : Créer un profil d’appareil. Le profil de messagerie nécessite que les appareils iOS/iPadOS utilisent un compte de messagerie professionnel.

Lorsque vous créez le profil de messagerie, affectez le profil au même groupe d’appareils que vous utiliserez ultérieurement pour la stratégie de conformité des appareils et les stratégies d’accès conditionnel que vous créez dans les étapes suivantes de ce didacticiel.

Après avoir créé le profil de messagerie, revenez ici pour continuer.

Créer une stratégie de protection des applications

Ce didacticiel nécessite une stratégie de protection des applications Intune qui cible Outlook sur iOS/iPadOS. La stratégie de protection des applications fonctionne avec la stratégie d’accès conditionnel que vous créez ultérieurement, ce qui nécessite qu’une stratégie de protection des applications soit présente avant qu’un appareil puisse accéder à Exchange Online.

Pour créer la stratégie de protection des applications, suivez les instructions fournies dans Créer et affecter des stratégies de protection des applications. Lorsque vous configurez la stratégie, utilisez les paramètres suivants :

  • Plateforme : sélectionnez iOS/iPadOS.
  • Applications : définissez stratégie cible surCore Microsoft Apps ou sélectionnez Microsoft Outlook individuellement.
  • Protection des données, Exigences d’accès et Lancement conditionnel : acceptez les valeurs par défaut (protection des données de base d’entreprise) pour ce didacticiel.
  • Affectations : affectez la stratégie au même groupe d’utilisateurs que celui que vous utilisez pour les stratégies de conformité et d’accès conditionnel de ce didacticiel.

Après avoir créé la stratégie de protection des applications, revenez ici pour continuer.

Créer la stratégie de conformité des appareils iOS

Configurez une stratégie de conformité d’appareil Intune pour définir les conditions qu’un appareil doit respecter pour être considéré comme conforme. Pour ce tutoriel, vous créez une stratégie de conformité des appareils pour les appareils iOS. Les stratégies de conformité sont spécifiques à la plateforme, donc vous avez besoin d’une stratégie de conformité distincte pour chaque plateforme d’appareil que vous souhaitez évaluer.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Conformité des appareils>.

  3. Sous l’onglet Stratégies , choisissez Créer une stratégie.

  4. Dans la page Créer une stratégie , pour Plateforme , sélectionnez iOS/iPadOS, puis sélectionnez Créer pour continuer.

  5. Sous l’onglet Informations de base , entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif au nouveau profil. Pour cet exemple, entrez test de stratégie de conformité iOS.
    • Description : Facultatif : entrez le test de stratégie de conformité iOS.

    Sélectionnez Suivant pour continuer.

  6. Sous l’onglet Paramètres de conformité :

    1. Développez Email, puis définissez Impossible de configurer la messagerie sur l’appareil surExiger.

    2. Développez Intégrité de l’appareil et définissez Appareils jailbreakés sur Bloquer.

    3. Développez Sécurité du système et configurez les paramètres suivants :

      • Exiger un mot de passe pour déverrouiller les appareils mobiles à Exiger
      • Mots de passe simples à bloquer
      • Longueur minimale du mot de passe4

      Conseil

      Les valeurs par défaut grisées et en italique sont uniquement des recommandations. Vous devez remplacer les valeurs qui sont des recommandations pour configurer un paramètre.

      • Type de mot de passe obligatoire en alphanumérique
      • Nombre maximal de minutes après le verrouillage de l’écran avant que le mot de passe ne soit requispour immédiatement
      • Expiration du mot de passe (jours) à 41
      • Nombre de mots de passe précédents pour empêcher la réutilisation à 5

    Pour continuer, sélectionnez Suivant.

    Configuration de la stratégie de conformité iOS.

  7. Sélectionnez Suivant pour ignorer les actions en cas de non-conformité.

  8. Sous l’onglet Affectations , pour Groupes inclus, sélectionnez Ajouter tous les appareils ou sélectionnez un groupe qui contient uniquement les appareils qui doivent recevoir cette stratégie. Veillez à utiliser la même affectation que celle que vous avez utilisée pour le profil d’appareil de messagerie.

    Sélectionnez Suivant pour continuer.

  9. Sous l’onglet Vérifier + créer , passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.

Créer la stratégie d'accès conditionnel

Ensuite, utilisez le centre d’administration Microsoft Intune pour créer une stratégie d’accès conditionnel. Vous intégrez l’accès conditionnel à Intune pour contrôler les appareils et les applications qui peuvent se connecter à la messagerie et aux ressources de votre organization.

La stratégie d’accès conditionnel :

  • Exigez que les appareils qui exécutent une plateforme s’inscrivent à Intune et se conforment à votre stratégie de conformité Intune avant que ces appareils puissent être utilisés pour accéder à Exchange Online.
  • Exiger que les appareils utilisent l’application Outlook pour l’accès à la messagerie.

Vous pouvez configurer des stratégies d’accès conditionnel dans le centre d’administration Microsoft Entra ou le centre d’administration Microsoft Intune. Les étapes suivantes utilisent le centre d’administration Intune.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. SélectionnezAccès> conditionnel sécurité> du point de terminaisonCréer une stratégie.

  3. Pour Nom, entrez Stratégie de test pour la messagerie Microsoft 365.

  4. Sous Affectations, pour Utilisateurs ou agents, sélectionnez 0 utilisateurs et groupes sélectionnés. Sous l’onglet Inclure , sélectionnez Tous les utilisateurs. La valeur de Users est mise à jour sur Tous les utilisateurs.

  5. Également, sous Affectations, pour Ressources cibles , sélectionnez Aucune ressource cible sélectionnée. Pour la liste déroulante Sélectionner ce à quoi cette stratégie s’applique, sélectionnez Ressources (anciennement applications cloud).

    Ensuite, pour protéger microsoft 365 Exchange Online courrier électronique, sélectionnez cette application :

    1. Sous l’onglet Inclure , choisissez Sélectionner les ressources.
    2. Pour Sélectionner des ressources spécifiques, sélectionnez Aucune pour ouvrir le volet Ressources .
    3. Dans la liste des ressources, cochez la case pour Office 365 Exchange Online, puis sélectionnez Sélectionner.

    Sélectionnez Office 365 Exchange Online à ajouter à la stratégie.

  6. Également, sous Affectations, pour Conditions , sélectionnez 0 condition sélectionnée. Dans la nouvelle page disponible, pour Plateformes d’appareils, sélectionnez Non configuré pour ouvrir le volet Plateformes d’appareils .

    1. Définissez Configurer sur Oui.
    2. Sous l’onglet Inclure , sélectionnez N’importe quel appareil, puis Sélectionnez Terminé.

    Configurer les plateformes d’appareils

  7. Une fois de plus, sous Affectations, ouvrez Conditions>Applications clientes.

    1. Définissez Configurer sur Oui.

    2. Pour ce tutoriel, sélectionnez Applications mobiles et clients de bureau, qui font partie de Clients d’authentification modernes (qui fait référence à des applications comme Outlook pour iOS et Outlook pour Android). Décochez toutes les autres cases.

    3. Sélectionnez Terminé, puis sélectionnez Terminé à nouveau.

    Sélectionnez les applications et les clients comme conditions pour la stratégie.

  8. Sous Contrôles d’accès, pour Accorder , sélectionnez Non configuré pour ouvrir le volet Accorder :

    1. Dans le volet Accorder, sélectionnez Accorder l’accès.

    2. Sélectionnez Exiger que l'appareil soit marqué comme conforme.

    3. Sélectionnez Exiger une stratégie de protection des applications.

    4. Sous Pour plusieurs contrôles, sélectionnez Demander tous les contrôles sélectionnés. Ce paramètre garantit que les deux exigences que vous avez sélectionnées sont appliquées quand un appareil tente d’accéder à la messagerie.

    5. Choisissez Sélectionner.

    Contrôles de sélection

  9. Sous Activer la stratégie, sélectionnez Activé.

    Pour activer la stratégie, définissez le curseur Activer la stratégie sur Activé.

  10. Sélectionnez Créer pour enregistrer vos modifications. Le profil est affecté.

Remarque

Certains services dépendants, tels que Microsoft Teams, s’intègrent aux ressources Exchange Online et sont régis par l’application de la stratégie liée en amont. Par conséquent, les utilisateurs doivent se conformer aux stratégies Exchange avant de se connecter à Microsoft Teams.

Si vous disposez d’une stratégie d’accès conditionnel qui limite les demandes d’authentification pour les ressources Exchange Online, les utilisateurs doivent répondre aux exigences de la stratégie Exchange avant de se connecter à Teams. Le non-respect de ces stratégies affecte la possibilité de se connecter à Teams.

Pour plus d’informations, consultez la documentation Microsoft sur les dépendances de service et l’application des stratégies.

Essayez

Avec les stratégies que vous avez créées, tout appareil iOS qui tente de se connecter à la messagerie Microsoft 365 doit s’inscrire dans Intune et utiliser l’application mobile Outlook pour iOS/iPadOS. Pour tester ce scénario sur un appareil iOS, essayez de vous connecter à Exchange Online à l’aide des informations d’identification d’un utilisateur dans votre locataire de test. Vous êtes invité à inscrire l’appareil et à installer l’application mobile Outlook.

  1. Pour effectuer un test sur uniPhone, accédez à Paramètres Applications>>>Comptes> de messagerieAjouter un compte, puis sélectionnez Microsoft Exchange.

    Remarque

    Le chemin d’accès dans Paramètres peut varier selon la version d’iOS. Les étapes précédentes sont basées sur iOS 26. Pour connaître les dernières étapes, consultez Ajouter un compte de messagerie à votre iPhone ou iPad sur le site de support Apple.

  2. Entrez l’adresse e-mail d’un utilisateur dans votre locataire de test, puis appuyez sur Suivant.

  3. Appuyez sur Se connecter.

  4. Entrez le mot de passe de l’utilisateur de test, puis appuyez sur Se connecter.

  5. Un message s’affiche indiquant que votre appareil doit être géré pour accéder à la ressource, accompagné d’une option pour vous inscrire.

Nettoyer les ressources

Lorsque les stratégies de test ne sont plus nécessaires, vous pouvez les supprimer.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Conformité des appareils>.

  3. Dans la liste Nom de la stratégie, sélectionnez votre stratégie de test, puis sélectionnez Supprimer. Confirmez la suppression.

  4. SélectionnezAccès conditionnelde sécurité> du point de terminaison.

  5. Sélectionnez votre stratégie de test, puis sélectionnez Supprimer. Confirmez la suppression.

Prochaines étapes

Dans ce tutoriel, vous avez créé des stratégies qui exigent que les appareils iOS s’inscrivent dans Intune et utilisent l’application Outlook pour accéder à la messagerie Exchange Online. Pour en savoir plus sur l’utilisation de Intune avec l’accès conditionnel pour protéger d’autres applications et services, consultez Configurer l’accès conditionnel.

  • Last updated on