Les politiques de gestion des applications mobiles (MAM) sont un ensemble de règles qui contrôlent la manière dont les utilisateurs accèdent et utilisent les données de l’entreprise sur leurs appareils mobiles.
Elles permettent de protéger ces données contre les accès non autorisés, les fuites ou la perte, en particulier sur les appareils non gérés qui ne sont pas enrôlés dans une solution de gestion des appareils mobiles (MDM).
Car c’est bien là l’essentiel : protéger les données d’entreprise, même sur les appareils personnels qui ne sont pas enrôlés dans notre MDM préféré, Intune.
Dans cet article, nous verrons pourquoi une politique MAM protège vos données et comment la cibler sur les appareils non gérés via une règle d’accès conditionnel.
Concevoir la politique MAM dans Intune
Puisque l’objectif est de sécuriser une application, allez dans Applications > Politiques de protection d’application. Choisissez la plateforme et les applications que vous souhaitez sécuriser :
Une fois les applications sélectionnées, la partie amusante commence : la conception ! Voici quelques exemples de protections possibles (DLP) :
- Empêcher les captures d’écran au sein des applications.
- Contrôler la communication entre vos applications protégées et les autres applications.
- Chiffrer les données.
- Gérer le transfert de contenu Web.
Une fois le volet DLP configuré, déterminez comment vos utilisateurs accèdent aux applications :
- Quel niveau de complexité pour le code PIN ? À quelle fréquence doit-il être réinitialisé ?
- La biométrie est-elle acceptée ? Remplace-t-elle le code PIN ?
- Forcez-vous un code PIN dans l’application si l’appareil possède déjà un code de déverrouillage ?
Ces paramètres s’appliqueront aux appareils gérés et/ou non gérés. Pensez à l’expérience utilisateur sur les appareils personnels et essayez de trouver un compromis entre une sécurité solide et une ergonomie acceptable. Personne n’a envie de taper un code PIN alphanumérique de 8 caractères toutes les 10 minutes pour utiliser Outlook.
Enfin, le Lancement conditionnel définit les actions à exécuter dans des contextes spécifiques :
- Nombre de tentatives de code PIN avant réinitialisation.
- Nombre de jours hors ligne avant l’effacement (wipe) des données.
- Version minimale de l’OS autorisée.
Cibler les utilisateurs pour les appareils non gérés
Les politiques MAM doivent être ciblées sur des utilisateurs. Cependant, notez bien ceci : par défaut, une politique MAM impactera les appareils enrôlés ET non enrôlés.
Alors, comment distinguer la nature de l’appareil si vous ciblez des utilisateurs ? La réponse est : les Filtres.
Les filtres Intune permettent de spécifier des règles relatives aux appareils lors de vos assignations d’utilisateurs. Dans notre cas : assignez la politique MAM à tous les utilisateurs, mais uniquement pour les appareils non gérés.
Retournez dans votre politique MAM, ciblez vos utilisateurs et appliquez le filtre que vous avez créé. Avoir une politique MAM très stricte pour les appareils non gérés et une plus légère pour les appareils gérés (déjà sécurisés par vos baselines) est, selon moi, un excellent compromis.
Utiliser l’Accès Conditionnel pour forcer la politique MAM
C’est bien, vos applications sont protégées. Mais comment être sûr que les utilisateurs utilisent bien ces applications protégées et non une application quelconque ? Réponse : l’Accès Conditionnel.
Utilisez-le pour rediriger les utilisateurs vers un Outlook protégé, par exemple. Ciblez l’application Cloud souhaitée et sélectionnez le type d’application/authentification.
Il est temps de forcer l’usage d’une application protégée. Les organisations ont l’habitude d’implémenter deux exigences : une pour une application cliente approuvée, et une pour avoir une politique de protection d’application.
Si l’application n’est pas protégée, l’accès est refusé. Voici l’expérience lorsque j’essaie d’accéder à mes mails pro depuis le client mail natif iOS (qui n’est pas une application protégée) : l’accès est bloqué.
Conclusion
Le duo MAM et accès conditionnel est redoutable. Exploitez ces deux fonctionnalités pour sécuriser vos données d’entreprise sur tous les types d’appareils.
Faites le test avec votre compte professionnel sur votre appareil personnel. Connectez-vous à une application Microsoft 365 et voyez si vous pouvez accéder aux données. Posez-vous la question : est-ce le type d’accès que je souhaite pour mon entreprise ? Si la réponse est non, alors le MAM et l’Accès Conditionnel sont vos meilleurs alliés.