Yohann CRANSAC

Expert Microsoft SCCM


 

Qu’est que le Conditional Access de Endpoint Security ?

Les Policy de Conditional Access garantissent que vos appareils sont conformes avant d’accéder à vos services cloud. Il existe une fonction de case à cocher pour accorder l’accès uniquement aux appareils conformes (Compliant Intune).

De cette façon, vous pouvez créer une Policy de Conditional Access pour protéger vos services et autoriser l’accès uniquement aux appareils marqués comme conformes.

Le Conditional Access est une fonctionnalité Entreprise Mobility + Security (EMS) et Intune. L’accès conditionnel est inclus avec une licence Entreprise Mobility + Security (EMS).

Intune optimise la sécurité en ajoutant la conformité des appareils mobiles et la gestion des applications mobiles à la solution.

Configuration requise (Intune)

  • Les appareils doivent être inscrits dans Endpoint Security (Donc dans Intune ou Co-Managé avec MECM)
  • Les appareils doivent être joints à Azure AD ou à Hybrid AD
  • Appareil Windows 10 Entreprise ou Éducation géré par Intune
  • EMS E3 ou E5 (Azure AD P1 minimum)

Section de configuration :

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

C’est ici que nous pouvons configurer les Policy de Conditional Access :

Une image contenant texte

Description générée automatiquement

Exemple d’une Policy de Conditional Access qui n’autorise l’accès aux ressources de l’entreprise cas partir d’un device conforme au status Hybrid Azure AD Join

Ci-dessous, les identités qui serons soumisse a la règle de CA (Conditional Access)

Ici, la règle sera appliquée à un groupe d’utilisateurs possédant tous une adresse mail de la société

Une image contenant texte, capture d’écran, écran

Description générée automatiquement

Ici, les applications Cloud qui serons affecté par le CA

Une image contenant texte

Description générée automatiquement

Pour cet exemple, toutes les Apps Cloud seront affectées par le CA

Dans cette section, on peut y définir le type de plateforme affectées :

Ici, le type de client utilisé par l’Apps Cloud (Client lourd, Web, etc…)

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

Ici, tous les clients lourd mobile et desktop

Depuis l’une des derniers Services Release de Intune, il est dorénavant possible d’y appliqué des « Filters » pour device pour par exemple, exclure automatiquement un certain type de device ou d’OS (Ex : Surface Hub)

La partie la plus importante, la section « Access Control », qu’elle type de conformité devras respecter le device auquel est soumis l’utilisateur :

Ici, le device devras respecter le status conforme « Hybrid Azure AD Join » pour un « Grant access » 

Lors de la connexion a une ressource de l’entreprise (Microsoft Teams, Outlook, SharePoint, etc…) affecté par le CA, ce message apparaitra après la connexion et refusera l’accès si le device n’ai pas conforme à la stratégie de conformité définie précédemment :

Une image contenant texte

Description générée automatiquement

C’est l’une des grandes forces de la suite Entreprise Mobility + Security (EMS) et Intune et sa capacité à restreindre l’accès à Microsoft 365 aux périphériques enregistrés et conformes à la solution d’administration.

Cela permet grandement en cas de vol de compte, l’accès aux ressources de l’entreprise depuis un autres device ne faisant pas partie de la société.

Avec l’exemple ci-dessous, seul un device préparer en interne par un Master MECM/MDT ou AutoPilot peux accéder aux ressources de la société.