Configuration des stratégies de protection des applications (APP) dans Microsoft Intune

Configuration des stratégies de protection des applications (APP) dans Microsoft Intune

14/06/2024

Cet article technique et pédagogique est destiné à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et la mise en œuvre de stratégies de protection des applications (APP), également connues sous le nom de gestion des applications mobiles (MAM) sans connexion, dans Microsoft Intune. Les applications sont cruciales pour protéger les données d'entreprise sur les appareils mobiles, qu'elles soient gérées par Intune (MDM) ou non (BYOD - Bring Your Own Device), garantissant que les données de l'organisation restent sécurisées et isolées des données personnelles [1].

Présentation

Dans un contexte où la mobilité est essentielle et où l’utilisation d’appareils personnels à des fins professionnelles (BYOD) est de plus en plus courante, la protection des données d’entreprise devient un défi de taille. Les politiques de protection des applications (APP) de Microsoft Intune offrent une solution robuste à ce problème, permettant aux organisations de contrôler la manière dont les données d'entreprise sont accessibles, utilisées et partagées au sein d'applications mobiles spécifiques sans avoir besoin de gérer l'ensemble de l'appareil. Cela signifie que vous pouvez protéger les données dans des applications telles qu'Outlook, Word, Excel, SharePoint et d'autres applications gérées par Intune, même sur des appareils qui ne sont pas inscrits dans MDM [2].

Ce guide pratique couvrira la création et la configuration des politiques APP pour iOS/iPadOS et Android, y compris la définition des contrôles d'accès, de la protection des données et des exigences de conformité. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre une stratégie efficace de protection des données, protégeant les informations sensibles et garantissant la conformité réglementaire sur les appareils mobiles.

Pourquoi les politiques de protection des applications (APP) sont-elles cruciales ?

  • Protection des données d'entreprise : empêche la perte de données (DLP) en contrôlant les actions telles que copier, coller, enregistrer sous et imprimer l'écran dans les applications gérées.
  • Prise en charge BYOD : permet aux utilisateurs d'utiliser leurs appareils personnels pour travailler tout en protégeant les données de l'entreprise sans empiéter sur la vie privée.
  • Contrôles d'accès flexibles : nécessite un code PIN, des données biométriques ou des informations d'identification d'entreprise pour accéder aux applications gérées, garantissant ainsi que seuls les utilisateurs autorisés peuvent accéder aux données de l'entreprise.
  • Isolement des données : garantit que les données de l'entreprise ne peuvent pas être déplacées vers des applications ou un stockage personnels non gérés.
  • Conformité : permet de répondre aux exigences réglementaires qui exigent la protection des données sur les appareils mobiles.
  • Expérience utilisateur améliorée : offre une expérience utilisateur cohérente et sécurisée dans toutes les applications d'entreprise.

Prérequis

Pour implémenter des stratégies de protection des applications (APP) dans Microsoft Intune, vous aurez besoin des éléments suivants :

  1. Licence : Une licence qui inclut Microsoft Intune (par exemple Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Accès administratif : un compte avec les autorisations « Administrateur Intune », « Administrateur d'applications Intune » ou « Administrateur global » dans le centre d'administration Microsoft Intune (https://endpoint.microsoft.com).
  3. Applications gérées par Intune : les applications que vous souhaitez protéger doivent être « MAM-aware » (conformes à MAM), telles que les applications Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) et d'autres applications métier qui ont été intégrées au SDK Intune App Protection [4].
  4. Tester les appareils : appareils iOS/iPadOS et Android pour tester les politiques.

Étape par étape : configuration des politiques de protection des applications (APP)

Créons une stratégie d'application pour iOS/iPadOS et Android afin de protéger les données d'entreprise dans les applications Microsoft 365.

1. Accès au Centre d'administration Microsoft Intune

  1. Ouvrez votre navigateur et accédez à « https://endpoint.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.

2. Création d'une nouvelle politique de protection des applications

  1. Dans le volet de navigation de gauche, sélectionnez Applications > Politiques de protection des applications.
  2. Cliquez sur Créer une politique et sélectionnez la plateforme souhaitée (ex : « iOS/iPadOS »). Nous répéterons le processuspour Android.

Étape 1 : Informations de base

  1. Nom : APP - iOS - Protection des données d'entreprise (ou APP - Android - Protection des données d'entreprise).
  2. Description : « Politique de protection des données d'entreprise dans les applications Microsoft 365 sur les appareils iOS/iPadOS. »
  3. Cliquez sur Suivant.

Étape 2 : Candidatures

Ici vous sélectionnez les applications qui seront ciblées par cette politique.

  1. Applications cibles : sélectionnez « Toutes les applications Microsoft » (pour protéger toutes les applications Microsoft 365 et autres applications Microsoft prenant en charge l'APP) ou « Sélectionner des applications personnalisées » (pour choisir des applications spécifiques).
  2. Pour cet exemple, sélectionnez « Toutes les applications Microsoft ».
  3. Cliquez sur Suivant.

Étape 3 : Protection des données

Cette section définit la manière dont les données d'entreprise seront protégées dans les applications.

Transferts de données :

  1. Envoyer les données de l'organisation à d'autres applications : sélectionnez « Toutes les applications » ou « Aucune application ».
    • Conseil : Pour une sécurité maximale, « Aucune application » empêche le déplacement des données d'entreprise vers des applications personnelles. Si vous avez besoin d'interopérabilité avec des applications métiers non gérées, envisagez « Toutes les applications » avec des restrictions supplémentaires.
  2. Recevoir des données d'autres applications : Sélectionnez « Toutes les applications » ou « Aucune application ».
  3. Autoriser les utilisateurs à enregistrer des copies des données de l'organisation : Sélectionnez « Aucune application ».
  4. Autoriser les utilisateurs à enregistrer des copies des données de l'organisation sur les services cloud sélectionnés : Si vous devez autoriser l'enregistrement sur des services cloud spécifiques (par exemple OneDrive for Business, SharePoint), configurez-le ici.

Cryptage :

  1. Crypter les données de l'organisation : Sélectionnez « Oui ».

Caractéristiques :

  1. Restreindre les fonctions couper, copier et coller : Sélectionnez « Pour les applications de stratégie uniquement » (pour autoriser le copier/coller entre les applications gérées, mais pas pour les applications personnelles) ou « Bloquer » (pour l'empêcher complètement).
  2. Empêcher les captures d'écran et l'enregistrement d'écran : Sélectionnez « Oui ».
  3. Synchronisez les contacts avec les applications natives : sélectionnez « Bloquer ».

  4. Impression des données de l'organisation : Sélectionnez « Bloquer ».

  5. Cliquez sur Suivant.

Étape 4 : Conditions d'accès

Cette section définit les conditions qu'un utilisateur doit remplir pour accéder aux applications gérées.

  1. PIN pour l'accès : Sélectionnez « Exiger un code PIN ».
    • Type de code PIN : « Numérique » ou « Numérique complexe ».
    • Longueur minimale du code PIN : 4 (ou plus, selon la politique de sécurité).
    • Autoriser l'empreinte digitale au lieu du code PIN : « Oui » (pour plus de commodité).
  2. Identifiants de l'entreprise pour l'accès : Sélectionnez « Exiger les informations d'identification de l'entreprise » (pour une réauthentification périodique).

  3. Vérification de l'état de l'appareil/de l'application : Sélectionnez « Oui ».

    • Niveau de menace maximum autorisé : « Faible » ou « Moyen » (s'intègre à Microsoft Defender pour Endpoint pour iOS/Android).

  4. Cliquez sur Suivant.

Étape 5 : Lancement conditionnel

Cette section définit ce qui se passe si l'appareil ou l'application ne répond pas aux exigences de la stratégie.

  1. Code PIN d'accès : configurez le « Nombre maximum de tentatives de code PIN » (ex : « 5 »). Action : « Réinitialiser le code PIN » ou « Effacer les données ».
  2. Identifiants hors ligne : configurez la « période de grâce hors ligne » (par exemple « 720 » minutes). Action : « Bloquer l'accès » ou « Effacer les données ».

  3. Niveau de menace sur l'appareil : configurez le « Niveau de menace maximum autorisé » (par exemple « Moyen »). Action : « Bloquer l'accès » ou « Effacer les données ».

  4. Cliquez sur Suivant.

Étape 6 : Devoirs

Attribuez la stratégie aux utilisateurs ou aux groupes qui utiliseront les applications gérées.

  1. Inclure : sélectionnez « Sélectionner des groupes » et ajoutez les groupes d'utilisateurs qui doivent recevoir cette stratégie (par exemple « Tous les utilisateurs » ou un groupe spécifique d'utilisateurs d'entreprise).

  2. Supprimer : (Facultatif) Supprimez des groupes spécifiques si nécessaire.

  3. Cliquez sur Suivant.

Étape 7 : Vérifier et créer

  1. Vérifiez tous les paramètres de stratégie.
  2. Cliquez sur Créer.

3. Répéter pour l'autre plate-forme (Android)

Répétez les étapes de la section 2 pour créer une stratégie pour la plateforme Android, en ajustant le nom et la description de la stratégie si nécessaire. Les paramètres de protection des données, les exigences d'accès et la libération conditionnelle sont similaires mais peuvent avoir de petitesIl existe des variantes spécifiques à la plateforme.

Validation et tests

La validation des politiques APP est essentielle pour garantir qu’elles fonctionnent comme prévu et protègent les données de l’entreprise.

1. Tests sur des appareils gérés et non gérés

  1. Appareil non géré (BYOD) : sur un appareil personnel qui n'est pas inscrit dans Intune (MDM), installez une application gérée (ex : Outlook). Connectez-vous avec un compte d'entreprise qui entre dans le champ d'application de la politique APP.
    • Vérifiez si l'application demande le code PIN d'accès ou la biométrie.
    • Essayez de copier les données de l'entreprise vers une application personnelle (par exemple le Bloc-notes). L'action doit être bloquée.
    • Essayez de prendre une capture d'écran dans l'application gérée. L'action doit être bloquée ou la capture d'écran doit apparaître vide.
  2. Appareil géré (MDM) : sur un appareil inscrit Intune (MDM), testez les mêmes actions pour vous assurer que la stratégie APP est correctement appliquée en conjonction avec les stratégies MDM.

2. Vérification des journaux de diagnostic Intune

Les journaux de diagnostic Intune peuvent fournir des informations sur l’application des stratégies APP.

  1. Dans le centre d'administration Microsoft Intune, accédez à Dépannage + Support.
  2. Recherchez l'utilisateur test.
  3. Dans la section Applications, vous pouvez voir l'état de la stratégie de protection des applications appliquée à l'utilisateur et aux applications.

3. Vérification du rapport sur l'état de la politique de protection des applications

  1. Dans le centre d'administration Microsoft Intune, accédez à Applications > Surveiller > État de protection des applications.
  2. Ce rapport fournit un aperçu de l'état des politiques APP, y compris les utilisateurs et les applications qui les ont reçues ainsi que les erreurs éventuelles.

Conseils de sécurité et bonnes pratiques

  • Commencer par l'audit : pour les nouvelles implémentations, commencez avec des politiques moins restrictives ou en mode audit (si disponible) pour comprendre l'impact avant d'appliquer des blocs complets.
  • Communication claire : communiquez clairement aux utilisateurs les politiques de l'APP, leurs avantages et la manière dont elles affectent l'utilisation de leurs appareils. Cela aide à réduire la résistance et à augmenter la conformité.
  • Cohérence multiplateforme : maintenez les politiques d'application cohérentes sur iOS/iPadOS et Android pour une expérience utilisateur unifiée et une posture de sécurité cohérente.
  • Intégration avec accès conditionnel : combinez les politiques d'application avec l'accès conditionnel Azure AD pour exiger que les applications soient sécurisées par application avant d'accorder l'accès aux ressources de l'entreprise [5].
  • Révision périodique : examinez et ajustez régulièrement vos politiques d'application pour vous adapter à l'évolution des besoins de l'entreprise, au paysage des menaces et aux mises à jour des applications.
  • Donner la priorité aux applications sensibles : commencez par appliquer des politiques d'application aux applications qui contiennent les données les plus sensibles ou qui sont les plus utilisées à des fins d'entreprise.
  • PIN et biométrie : exigez un code PIN ou des données biométriques pour accéder aux applications gérées afin d'obtenir une couche de sécurité supplémentaire, en particulier sur les appareils partagés.

Dépannage courant

  • La stratégie APP n'est pas appliquée : vérifiez si l'utilisateur fait partie du groupe d'inclusion de stratégie. Assurez-vous que l’application est une application gérée par Intune et qu’elle figure dans la liste des applications cibles. Consultez les journaux de diagnostic Intune.
  • Utilisateurs bloqués de manière inattendue : vérifiez les paramètres de « lancement conditionnel » de la stratégie. Il se peut que l'appareil ou l'application viole une condition (par exemple, code PIN incorrect, appareil rooté/jailbreaké).
  • Fuite de données d'entreprise : vérifiez les paramètres de « Protection des données », en particulier les restrictions « Envoyer les données de l'organisation à d'autres applications » et « Autoriser les utilisateurs à enregistrer des copies des données de l'organisation ».
  • L'application n'apparaît pas comme gérée : assurez-vous que l'application est déployée en tant qu'application gérée par Intune ou que l'utilisateur est connecté avec son compte professionnel dans l'application.
  • Problèmes de performances des applications : dans certains cas, des politiques d'application très restrictives peuvent affecter les performances des applications. Surveillez les commentaires des utilisateurs et ajustez les politiques si nécessaire.
  • Conflits avec d'autres stratégies : si des stratégies MDM et APP sont appliquées au même appareil, assurez-vous qu'il n'y a pas de conflits. Politiques de génération d'applicationsCes politiques s'appliquent uniquement aux données de l'application, tandis que les politiques MDM s'appliquent à l'appareil dans son ensemble.

Conclusion

Les politiques de protection des applications (APP) dans Microsoft Intune sont un outil essentiel pour protéger les données d'entreprise sur les appareils mobiles, offrant flexibilité et sécurité aux environnements BYOD. En mettant en œuvre des contrôles granulaires sur la manière dont les données sont accessibles, utilisées et partagées au sein des applications gérées, les organisations peuvent considérablement atténuer le risque de perte de données et garantir la conformité réglementaire. Une configuration minutieuse des applications, combinée à des tests rigoureux et à la formation des utilisateurs, permet aux équipes informatiques et de sécurité d'étendre la protection des données au-delà du périmètre traditionnel, garantissant ainsi que les informations les plus précieuses de l'entreprise restent sécurisées, quel que soit l'appareil utilisé. Grâce à ce guide, les professionnels de la sécurité seront en mesure de renforcer la sécurité mobile et de protéger les actifs informationnels dans un monde de plus en plus connecté.

Références :

[1] Microsoft Apprendre. Aperçu des politiques de protection des applications. Disponible sur : https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Apprendre. Créer et déployer des politiques de protection des applications. Disponible sur : https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Apprendre. Exigences de licence Microsoft Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Apprendre. Applications protégées par Microsoft Intune. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Apprendre. Accès conditionnel avec Intune App Protection. Disponible sur : https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access