Stratégies de protection des applications dans Intune : scénarios MAM vs MDM

Microsoft Intune prend en charge deux modèles principaux de gestion de la sécurité des terminaux et des applications :

• Gestion des appareils mobiles (MDM) : Une approche au niveau de l’appareil qui nécessite une inscription complète à Intune.
• Gestion des applications mobiles (MAM) : Une approche au niveau de l’application qui protège les données de l’entreprise sans nécessiter l’inscription de l’appareil.

Intune utilise des stratégies de protection des applications pour définir et appliquer les règles de sécurité des applications. Il s’agit notamment du chiffrement des données, des contrôles de copier/coller et d’enregistrement, du lancement conditionnel des apps et des exigences d’authentification des utilisateurs pour des applications spécifiques (principalement les apps Microsoft 365).

Ce guide décrit les étapes de configuration et d’application des stratégies de protection des applications d’Intune pour les appareils MAM uniquement (BYOD) et MDM (appartenant à l’entreprise). Il explique également comment Intune prend en charge la coexistence des deux, lorsqu’un seul appareil peut être géré via le MDM et le MAM pour permettre l’application de politiques à plusieurs niveaux.

📌 Stratégies de déploiement recommandées :

Guide pour les stratégies de protection des applications (SPA) de Microsoft Intune

Ce guide vous apprend à appliquer des stratégies de protection des applications (SPA) dans Microsoft Intune pour les scénarios MAM uniquement et MDM. Il explique également l’intégration de l’accès conditionnel, les méthodes de validation et les principales considérations en matière de déploiement.

📌 Prérequis généraux :

• Licences Microsoft Intune et Azure AD Premium P1
• Les applications doivent prendre en charge le SDK Intune (par exemple, Outlook, Teams, OneDrive).
• Pour le MAM : Aucune inscription n’est nécessaire.
• Pour le MDM : L’appareil doit être enregistré dans Intune.
• Accès au centre d’administration de Microsoft Endpoint Manager
• Les utilisateurs doivent être affectés aux groupes de sécurité Azure AD visés par la stratégie.

Appliquez des politiques de protection des applications : MAM uniquement (pour BYOD)

Les stratégies MAM uniquement protègent les données de l’entreprise dans les applications sans inscrire l’appareil dans le MDM.

📌 Cas d’utilisation : Cette solution est idéale pour les utilisateurs « Bring Your Own Device » (BYOD), pour lesquels les entreprises souhaitent sécuriser les données de l’entreprise dans les applications sans avoir à gérer l’ensemble de l’appareil.

📌 Conditions préalables :

• Les appareils doivent prendre en charge le SDK Intune ou être intégrés à l’aide de l’outil Intune App Wrapping Tool.
• Les utilisateurs doivent être titulaires d’une licence Intune + Azure AD Premium P1/P2.

Étape par étape :

1. Ouvrez le Centre d’administration Microsoft Intune.
2. Allez dans Applications > stratégies de protection des applications > Créer une stratégie.
3. Choisissez la plateforme : iOS/iPadOS/Android/Windows
4. Sous Applications à cibler, sélectionnez Microsoft et les applications tierces prises en charge.
5. Cliquez sur Suivant, puis configurez les paramètres de protection des applications :
   • Protection des données : définissez comment les utilisateurs peuvent interagir avec les données dans les applications (y compris couper/copier/coller/enregistrer et chiffrer les données).
   • Conditions d’accès : définissez les conditions que les utilisateurs doivent remplir pour accéder aux applications (y compris le code PIN, la biométrie ou le lancement conditionnel).
   • Lancement conditionnel : définissez des exigences de sécurité en matière d’ouverture de session pour votre politique de protection de l’accès (y compris le blocage de l’accès ou l’effacement des données après un intervalle de déconnexion).
6. Cliquez sur Suivant, puis affectez la stratégie à des groupes d’utilisateurs (et non à des appareils) dans la page Attributions. (Référez-vous au point 1 dans ⚠️ Les points à surveiller)
7. Cliquez sur Suivant, vérifiez les paramètres, puis cliquez sur Créer.
8. Surveillez depuis Surveillance > État de la protection de l’application.

Cette stratégie s’applique même si l’appareil n’est pas géré (scénario MAM avec ou sans inscription).

Appliquez des stratégies de protection des applications : Appareils inscrits dans le MDM

L’application de stratégies de protection des applications sur les appareils inscrits dans le MDM suit les mêmes étapes que ci-dessus, mais elle est généralement combinée à d’autres mesures :

• Politiques de conformité
• Profils de configuration des appareils
• Politiques d’accès conditionnel

Cela constitue un niveau de protection supplémentaire en plus des configurations au niveau de l’appareil.

📌 Cas d’utilisation : idéal pour les appareils émis par l’entreprise avec une gestion complète.

📌 Conditions préalables :

• les appareils doivent être inscrits dans Intune MDM
• Les utilisateurs doivent être titulaires d’une licence pour Microsoft Intune
• Les applications ciblées doivent prendre en charge les stratégies de protection des applications d’Intune

Étape par étape :

1. Ouvrez le Centre d’administration Microsoft Intune.
2. Accédez à Applications > Stratégies de protection des applications > Créer une stratégie.
3. Choisissez la plateforme : iOS/iPadOS/Android/Windows
4. Sur la page Applications , sélectionnez les applications Microsoft et les applications tierces prises en charge.
5. Cliquez sur Suivant, puis configurez les paramètres de protection des applications :
   1. Protection des données : définissez comment les utilisateurs peuvent interagir avec les données dans les applications (y compris couper/copier/coller/enregistrer et chiffrer les données de l’application).
   2. Conditions d’accès : définissez les conditions que les utilisateurs doivent remplir pour accéder aux applications (y compris le code PIN, la biométrie ou le lancement conditionnel).
   3. Lancement conditionnel : définissez des exigences de sécurité en matière d’ouverture de session pour votre politique de protection de l’accès (y compris le blocage de l’accès ou l’effacement des données après un intervalle de déconnexion).
6. Cliquez sur Suivant, puis attribuez la stratégie aux groupes d’utilisateurs disposant d’appareils inscrits au programme MDM. (Référez-vous au point 1 dans ⚠️ Les points à surveiller)
7. Cliquez sur Suivant, vérifiez tous les paramètres et cliquez sur Créer pour déployer la stratégie.
8. Surveillez depuis Surveillance > État de la protection de l’application.

Quelle est la différence entre MDM et MAM ?

Les stratégies MDM contrôlent l’état des appareils. Parallèlement, les stratégie de MAM protègent davantage les données au niveau des applications gérées.

💡 Remarque : Intune donne la priorité à la protection MDM lorsque les deux sont présents.

Renforcer le contrôle d’accès basé sur la protection des applications

Les entreprises peuvent appliquer des stratégies d’accès conditionnel basées sur les applications afin de s’assurer que seules les applications protégées peuvent accéder aux données de l’entreprise.

📌 Cas d’utilisation : à utiliser pour :

• Bloquer l’accès à partir d’applications ou d’appareils non gérés
• Assurer la conformité des données au niveau de l’application (MAM uniquement ou hybride)
• Mettre en place une sécurité de type Zero Trust.

📌 Conditions préalables :

• licences Intune et Azure AD Premium P1/P2
• Licence d’utilisateur Microsoft 365 valide
• Les applications doivent être protégées par une stratégie de protection des applications existante

Étape par étape : (Référez-vous au point 2 dans ⚠️ Les points à surveiller)

1. Connectez-vous à Centre d’administration Microsoft Entra (Azure AD).
2. Accédez à : Entra ID > Protection > Accès conditionnel > Stratégies > Nouvelle stratégie.
3. Sous Attributions, sélectionnez les utilisateurs ou les groupes à cibler. (Référez-vous au point 1 dans ⚠️ Les points à surveiller)
4. Choisissez les applications cibles (par exemple, Exchange Online, SharePoint).
5. Sous Contrôles d’accès > Accorder :
   • Sélectionnez la stratégie de protection des applications requise.
   • Facultatif : exigez une application approuvée et exigez la MFA
6. Activez la stratégie et cliquez sur Créer.

Ces politiques fonctionnent en tandem avec les stratégies de protection des applications (SPA).

💡 Vous pouvez également consulter Comment configurer les stratégies d’accès conditionnel dans Azure AD ?.

Méthode de validation 1 : utiliser PowerShell pour interroger la conformité des utilisateurs/applications

PowerShell peut être utilisé avec l’API Graph pour récupérer les attributions des stratégies et évaluer l’état d’application sur les appareils et les applications.

📌 Cas d’utilisation : à utiliser pour :

• Valider les attributions d’APP pour les utilisateurs tenants
• Vérifier quels appareils ou utilisateurs sont gérés par le MAM
• Générer des rapports de conformité pour les environnements MSP ou d’entreprise

📌 Conditions préalables :

• Droits d’administrateur avec les rôles Intune Admin, Global Admin ou Security Reader
• Le SDK Microsoft Graph PowerShell doit être installé.

Voici comment :

1. Installez le SDK Graph (si ce n’est pas déjà fait) :

Install-Module Microsoft.Graph -Scope CurrentUser

2. Connectez-vous à Microsoft Graph :

Connect-MgGraph -Scopes "DeviceManagementApps.Read.All","Policy.Read.All"

Il vous sera demandé de vous connecter avec un compte administrateur.

3. Dressez la liste de toutes les stratégies de protection des applications et de leurs attributions :

Get-MgDeviceAppManagementTargetedManagedAppPolicy

4. Interrogez l’attribution d’un utilisateur spécifique :

Get-MgDeviceAppManagementManagedAppRegistration -UserId <[email protected]>

💡 Remarque : Vous pouvez exporter les résultats au format CSV en utilisant Export-Csv-Path « filename.csv » pour l’établissement de rapports.

Méthode de validation 2 : utiliser le registre Windows pour déterminer l’agent MAM ou MDM

Cette méthode permet de déterminer si un appareil est géré par MDM ou MAM. Dans les deux cas, il s’agit d’identifier l’agent qui applique activement les stratégies.

📌 Cas d’utilisation : à utiliser pour :

• Résoudre les conflits d’inscription
• Confirmer le statut MDM ou MAM des terminaux pendant la migration
• Différencier la configuration BYOD de celle d’entreprise

📌 Conditions préalables :

• Vous devez être connecté(e) en tant qu’administrateur.
• Les appareils doivent être enregistrés ou joints à Azure AD et avoir une configuration MAM ou MDM.

⚠️ Attention : La modification du registre peut entraîner des problèmes pour le système. Créez une sauvegarde avant de poursuivre. (Référez-vous au point 3 dans ⚠️ Les points à surveiller)

Voici comment :

1. Appuyez sur Windows + R, saisissez regedit et cliquez sur Entrée.
2. Cliquez sur Oui si l’UAC vous le demande.
3. Pour vérifier les clés d’enrôlement MDM, accédez à :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments

Vérifiez :

• • EnrollmentType (0 = MDM, 6 = MDM+EAS)
  • ProviderName
  • UPN

4. Pour vérifier l’inscription au MAM, ouvrez :

HKEY_CURRENT_USER\Software\Microsoft\MSEnrollment\EnrollmentEntries

Vérifiez les clés pour :

• • ADDTenantID
  • AzureADDeviceID
  • UPN

5. Accédez au chemin suivant pour vérifier l’héritage WIP MAM :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\

Vérifiez les clés pour :

• • SystemSecurity
  • DataProtection
  • WindowsInformationProtection (WIP = legacy MAM for Windows)

Sur Android/iOS, les politiques MAM sont appliquées via le SDK et ne peuvent pas être vérifiées en accédant au registre local.

Méthode de validation 3 : utiliser la CMD pour valider l’état de l’inscription au MDM

Cette méthode permet d’obtenir un aperçu rapide de l’état de l’inscription MDM et de la connexion à Azure AD.

📌 Cas d’utilisation : à utiliser pour :

• Confirmer qu’un appareil est correctement enrôlé dans Intune MDM
• Dépanner les échecs de l’inscription automatique
• Valider les conditions préalables à l’application du PPA

📌 Conditions préalables :

• Vous devez être connecté(e) en tant qu’administrateur.

Voici comment :

1. Appuyez sur Win + X et sélectionnez Invite de commande (Admin) ou Terminal Windows (Admin).
2. Exécutez cette commande pour vérifier l’inscription de votre appareil au MDM :

dsregcmd /status

Localisez :

• • MDMUrl: Confirme le terminal MDM
  • DeviceCompliancePolicyReceived : OUI
  • WIPEnabled : OUI (uniquement si vous utilisez la protection des informations Windows)

L’utilitaire CMD ne fournit pas d’indicateurs directs de MAM mais permet de valider les conditions préalables de MDM.

Gérer la coexistence de la stratégie de groupe et de MDM Intune

Cette configuration est utilisée dans les environnements hybrides où une partie de la gestion provient de la stratégie de groupe et l’autre d’Intune MDM.

📌 Cas d’utilisation : à utiliser pour :

• Activer l’inscription automatique au MDM pour les appareils hybrides reliés à Azure AD
• Éviter les conflits entre les configurations GPO et Intune

📌 Conditions préalables :

• Les appareils doivent être reliés à un domaine et enregistrés auprès d’Azure AD ou être reliés de manière hybride.
• Accès administrateur à la console de gestion des stratégies de groupe (GPMC) ou au fichier local gpedit. msc.

Étape par étape :

1. Appuyez sur Win + R, saisissez gpedit.msc et cliquez sur Entrée.
2. Accédez à :

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > MDM

3. Activez :
   • Activez l’enrôlement automatique MDM à l’aide des identifiants Azure AD par défaut
   • Définissez « Identifiants utilisateur » comme type d’enrôlement (pour l’association hybride)
4. Appliquez la stratégie et redémarrez l’appareil.

Cela permet de s’assurer qu’un appareil est éligible pour une implémentation basée sur le MDM, ce qui permet de séparer la gestion du MDM de celle du MAM si nécessaire.

⚠️ Les points à surveiller

Autres considérations

Apprenez à connaître certaines des limites de la plateforme, les exigences des utilisateurs et la façon dont la MAM et l’accès conditionnel fonctionnent en tandem lors de l’application de SAP avec Intune :

Applications compatibles

Les stratégies de gestion des applications mobiles (MAM) ne s’appliquent qu’aux applications compatibles :

• Les applications qui ont été intégrées avec le SDK Intune App
• Les applications qui ont été empaquetées à l’aide de l’outil Intune App Wrapping Tool

Gestion basée sur l’utilisateur

La MAM est basée sur l’utilisateur et non sur l’appareil. Cela signifie que les utilisateurs doivent avoir une licence Intune attribuée à leur compte Microsoft Entra ID.

Limites de Windows

La prise en charge du MAM sur Windows est actuellement limitée à Microsoft Edge. Pour un contrôle complet des appareils et des applications, l’utilisateur doit s’inscrire au programme MDM via Intune.

Contrôle d’accès

Les stratégies d’accès conditionnel doivent être superposées pour restreindre l’accès en fonction de l’état et de la protection de l’application. Sans l’accès conditionnel, les utilisateurs peuvent contourner les protections en accédant aux données de l’entreprise par le biais d’applications non gérées.

Dépannage

Voici les problèmes courants et les solutions que vous pouvez rencontrer avec les stratégies de protection des applications (SPA) de Microsoft Intune dans les scénarios MAM et MDM :

La stratégie ne s’applique pas

Vérifiez que l’utilisateur fait partie du groupe cible et qu’il utilise une application prise en charge.

1. Ouvrez Centre d’administration Intune > Applications > Stratégies de protection des applications.
2. Ouvrez la stratégie concernée et naviguez jusqu’à Attributions.
3. Confirmez que l’utilisateur fait partie d’un groupe Azure AD inclus.

💡 À noter : Vous pouvez consulter la liste des applications protégées par Microsoft Intune pour confirmer la compatibilité des applications.

L’application n’est pas protégée

Vérifiez si l’application est intégrée ou si elle est prise en charge par le SDK. Comment ?

1. Pour les applications publiques, vous pouvez consulter la liste des applications protégées Microsoft Intune et rechercher le nom de l’application.
2. Pour les applications LOB (Line-of-Business) personnalisées, demandez à votre équipe de développement d’applications si le SDK Intune App a été ajouté.
3. Confirmez que l’application a été traitée à l’aide de l’outil Intune App Wrapping Tool.

(💡 Consultez Empaqueter les applications Android avec Intune Wrapping Tool.)

Échec du MAM avec inscription

Confirmez la licence Intune et que l’appareil n’est pas inscrit dans le MDM.

1. Ouvrez Centre d’administration Microsoft 365 > Utilisateur > Sélectionnez un utilisateur > Licences.
2. Vérifiez si une licence Intune a été attribuée à l’utilisateur.
3. Pour vérifier si l’appareil n’est pas inscrit dans le MDM :

• Appuyez sur Win + I pour ouvrir Paramètres > Comptes > Compte professionnel ou scolaire.
• Si l’appareil est répertorié comme étant connecté à Azure AD, il est géré via MDM. Vous pouvez supprimer le compte et l’ajouter à nouveau avec une intention MAM uniquement.

Erreurs de refus d’accès

Examinez l’accès conditionnel et l’état de conformité dans les journaux Azure :

• Allez sur Azure Portal > Entra ID > Sécurité > Accès conditionnel > Informations et Rapports. Filtrez ensuite par utilisateur affecté, application et défaillance.

Pour vérifier l’état de conformité :

• Ouvrez Centre d’adminstration Intune > Appareils > Sélectionnez un appareil > Conformité de l’appareil.
• Vérifier l’état de conformité et la dernière heure d’enregistrement.

Diagnostics

Voici où trouver les journaux :

• Journaux de la console Intune (iOS/Android)
• Journaux du portail de l’entreprise
• Endpoint.microsoft.com > Surveillance de l’état de la protection de l’application >

Services NinjaOne

NinjaOne améliore la protection au niveau de l’application et de l’appareil grâce à :

Grâce à eux, les MSP peuvent gérer et sécuriser divers parcs d’appareils, quel que soit le type de gestion.

Configurer la stratégie de protection des applications Intune pour les scénarios BYOD et MDM

Les stratégies de protection des applications offrent un moyen flexible et puissant de protéger les données de l’entreprise, que l’appareil soit ou non enregistré dans une plateforme de gestion. Ces politiques permettent aux MSP et aux équipes informatiques d’appliquer une sécurité cohérente au niveau des applications sur les appareils dans les environnements MAM uniquement (BYOD) et MDM (appartenant à l’entreprise).

Ce guide fournit des étapes claires pour la création, la configuration et l’attribution de SAP dans les deux cas. Il comprend également des outils pratiques pour valider le déploiement par le biais du registre, du CMD et des GPO. Vous découvrirez également les bonnes pratiques pour l’intégration de Compliance Access et comment NinjaOne aide les MSP à rationaliser l’application des politiques à l’échelle.

Articles connexes :

• MDM vs MAM : 8 différences essentielles
• Explorer la gestion de la mobilité d’entreprise
• Guide complet de la gestion unifiée des terminaux
• Comment déployer des applications à l’aide du Centre d’administration Microsoft Intune ?
• Choisir le bon outil de déploiement de logiciels : Intune vs NinjaOne, un point de vue utilisateur