Mettez fin aux accès non autorisés sur les appareils personnels grâce à l’Accès Conditionnel

Les règles d’Accès Conditionnel (Conditional Access) sont un outil clé pour sécuriser les données d’entreprise.

L’une de mes règles préférées est « Exiger que l’appareil soit marqué comme conforme ».

Voici l’idée : votre appareil doit être enrôlé dans Intune ET répondre aux règles de conformité spécifiques que vous avez définies. J’insiste sur le ET. Cela garantit que seuls les appareils gérés peuvent accéder aux données de l’entreprise, les gardant en sécurité et empêchant une utilisation non autorisée sur des appareils personnels.

Après le « pourquoi », passons au « comment ».

Mon appareil personnel

Je déploie les règles d’accès conditionnel sur deux types d’appareils : Windows et Mac.

Ces appareils sont personnels et non enrôlés. Pourtant, pour l’instant, je peux accéder à mes données d’entreprise via les applications Office 365 car je ne les ai pas encore sécurisées.

Créer la règle d’Accès Conditionnel

Allez dans Entra et recherchez Entra Conditional Access. Créez une nouvelle stratégie :

Ciblez les utilisateurs : déterminez quels utilisateurs vous souhaitez restreindre. Commencez par un petit groupe pour tester l’expérience utilisateur final.

Ciblez les ressources : Office 365 est un bon début. Une fois cette règle déployée, je vous suggère de sécuriser les portails d’administration (Intune, Defender, etc.). Ainsi, seuls les appareils gérés pourront accéder à vos outils d’administration.

Plateformes : Je veux sécuriser mes données sur mes stations de travail, mais l’Accès Conditionnel est aussi compatible avec les appareils mobiles.

Applications clientes : Vous pouvez décider de laisser les utilisateurs utiliser le client Web et bloquer uniquement le client lourd (desktop), ou bloquer les deux. Laisser l’accès Web est une bonne transition selon moi.

L’action (Grant) : MFA ? Authentification forte ? Protection d’application ?

Il existe de nombreuses possibilités. Sur mobile, vous pouvez combiner les règles d’Accès Conditionnel avec des politiques de protection d’application (App Protection Policies) pour forcer l’usage des applications d’entreprise.

Cette règle va donc : pour les utilisateurs du groupe AZ-GRP-USR-EndUser0 s’authentifiant sur les applications Office 365, sur Windows et/ou macOS, afficher un message indiquant que l’appareil doit être enrôlé et conforme. Ces utilisateurs seront bloqués si l’appareil n’est pas enrôlé.

Expérience utilisateur final

Jusqu’ici, les utilisateurs utilisaient les applications Office et accédaient sans restriction aux données. C’est terminé !

Dès que l’utilisateur ouvre à nouveau l’application, une authentification lui est demandée : « Appareils ou applications clientes qui répondent à la politique de conformité de gestion XXX »

Cela signifie : Vous devez être enrôlé ET être conforme.

Sur macOS, l’expérience diffère légèrement mais le résultat est identique : l’utilisateur est redirigé vers aka.ms/enrollmymac, l’URL pour télécharger l’application Portail d’Entreprise (Company Portal).

Note : Sur les deux plateformes, on demande à l’utilisateur d’enrôler son appareil. Assurez-vous que les restrictions d’enrôlement Intune sont correctement configurées. Si votre stratégie interdit les postes personnels, vérifiez bien vos restrictions.

Note bis : Gardez un œil sur vos règles de conformité. Veillez à ne pas vous enfermer dehors, surtout si vous utilisez le Secure Score de Defender. J’ai vu des administrateurs perdre l’accès au portail Intune après avoir testé des scripts PowerShell localement sur leurs appareils gérés.

Conclusion

Le travail d’équipe entre l’Accès Conditionnel et la conformité Microsoft Intune change la donne pour la sécurisation des données. C’est un duo de super-héros qui garde tout en sécurité.

En utilisant ces deux outils, les entreprises ne se contentent pas de se défendre contre les menaces, elles créent un espace numérique robuste. C’est un choix judicieux pour un environnement de travail plus sûr et plus fluide.

Laisser un commentaire

En savoir plus sur Poem to MDM

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture