Gestion des applications pour Windows - VMware Workspace ONE UEM - VMware Docs
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Gestion des applications pour Windows VMware Workspace ONE UEM
Gestion des applications pour Windows
Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :
https://docs.vmware.com/fr/
VMware, Inc. VMware France SAS.
3401 Hillview Ave. Tour Franklin
Palo Alto, CA 94304 100-101 Terrasse Boieldieu
www.vmware.com 92042 Paris La Défense 8 Cedex
France
www.vmware.com/fr
©
Copyright 2021 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques
commerciales.
VMware, Inc. 2Table des matières
1 Gestion des applications pour Windows dans Workspace ONE UEM 4
2 Gérer les applications avec Microsoft Store pour Entreprises 6
3 Intégration de Flexera Software Vulnerability Manager 12
4 Stratégies de protection d'application Microsoft Intune 14
VMware, Inc. 3Gestion des applications pour
Windows dans Workspace ONE
UEM
1
Utilisez Workspace ONE UEM powered by AirWatch pour transférer des applications Windows
vers des terminaux Windows Desktop (Windows 10). Affichez les types de fichier pris en charge
par le système pour chaque type d'application.
Types d'application et plate-formes prises en charge pour
Windows
Workspace ONE UEM classe les applications comme étant internes, publiques ou Web.
L'importation d'applications se fait selon le type. Cette rubrique décrit les plateformes et le
déploiement pris en charge pour chacun des types d'application.
VMware, Inc. 4Gestion des applications pour Windows
Tableau 1-1. Types d'application et plate-formes prises en charge pour Windows
Type d'application Plateformes prises en charge
Interne(s) Windows Desktop (Windows 10)
n APPX
Note Importez un fichier APPX, qui peut être x86,
x64 ou ARM. Toutefois, l'APPX est installé uniquement
sur des terminaux qui utilisent la même architecture. Par
exemple, si vous utilisez ARM, Workspace ONE UEM
n'effectue pas la mise en file d'attente d'une commande
d'installation pour les architectures x64 et x86. Il n'envoie
pas l'application vers des terminaux qui utilisent des
architectures x64 ou x86.
n EXE : Importez un package EXE d'applications Win32
pour Windows 10.
n MSI : Le fichier MSI, également appelé Windows
Installer, est un pack contenant les éléments
nécessaires à l'installation, au maintien et à la
suppression du logiciel.
n ZIP : Importez un package ZIP d'applications Win32
pour Windows 10.
Publiques (gratuites et payantes) Microsoft Store for Business vous permet d'acquérir, de
gérer et de distribuer des applications en masse. Si vous
utilisez Workspace ONE UEM pour gérer vos terminaux
Windows 10, vous pouvez intégrer les deux systèmes.
Après l'intégration, obtenez des applications de Microsoft
Store for Business, distribuez-les et gérez leurs versions
mises à jour avec Workspace ONE UEM.
Vous pouvez attribuer les applications publiques
importées depuis Microsoft Store for Business et
appliquez-les aux terminaux à l'aide de la fonction de
déploiement flexible. Vous pouvez attribuer des licences
en ligne et hors ligne en fonction de votre politique de
gestion des licences.
Liens Web Workspace ONE UEM console prend en charge
Windows Desktop (Windows 10) pour transférer et gérer
des applications de liens Web. La configuration d'un profil
Raccourcis Internet vous permet de déployer des URL
vers les terminaux des utilisateurs afin de faciliter l'accès
aux sites Web importants.
Vous pouvez ajouter des applications des liens Web en
suivant deux méthodes :
n Sous forme d'application dans la section Ressources
de la console Workspace ONE UEM.
n Sous forme de profil de terminal Raccourci Internet
dans la section Terminaux ONE UEM Console.
VMware, Inc. 5Gérer les applications avec
Microsoft Store pour Entreprises 2
Microsoft Store for Business vous permet d'acquérir, de gérer et de distribuer des applications en
masse. Si vous utilisez Workspace ONE UEM pour gérer vos terminaux Windows 10 et versons
ultérieures, vous pouvez intégrer les deux systèmes. Après l'intégration, achetez des applications
sur Microsoft Store pour Entreprises, distribuez-les et gérez leurs versions mises à jour avec
Workspace ONE UEM. Pour plus d'informations sur Microsoft Store pour Entreprises, reportez-
vous à https://technet.microsoft.com/itpro/windows/manage/windows-store-for-business.
Conditions requises communes pour le modèle de licence
hors ligne et en ligne
n Terminaux Windows 10 et versions ultérieures - Utilisez Windows Desktop (terminaux
Windows 10) lors de l'attribution des applications. Le groupe organisationnel que vous
sélectionnez doit être de type Client.
n Services Azure Active Directory – Configurez les services Azure Active Directory dans
Workspace ONE UEM pour activer la communication entre les systèmes. Cette configuration
permet à Workspace ONE UEM de gérer les terminaux Windows et leurs applications.
Vous n'avez pas besoin d'un compte Azure Premium pour l'intégration avec Microsoft Store
for Business. Cette intégration est un processus distinct de l'enrôlement MDM automatique.
Important L'intégration ne fonctionne que lorsque le groupe d'organisation (OG) ciblé est un
groupe de type Client dans lequel vous avez configuré les services Azure Active Directory.
n Compte d'administrateur Microsoft Store for Business avec autorisations globales – Obtenez
des applications avec un compte d'administrateur Microsoft Store for Business. Les
autorisations globales permettent aux administrateurs d'accéder à tous les systèmes pour
acquérir, gérer et distribuer des applications.
n Le stockage de fichiers est activé pour les environnements sur site – Workspace ONE
UEM stocke les applications Microsoft Store for Business sur un système de stockage
de fichiers sécurisé. Les environnements sur site doivent activer cette fonction dans
Workspace ONE UEM Console en ajoutant l'identificateur et le nom de tenant sur la page des
services d'annuaire. Cette condition fait partie du processus de configuration des services
Azure AD.
VMware, Inc. 6Gestion des applications pour Windows
Conditions requises pour le modèle de licence en ligne
Azure Active Directory – Les utilisateurs de terminaux doivent utiliser Azure Active Directory pour
s'authentifier et accéder au contenu.
Conditions requises pour le modèle de licence hors ligne
Workspace ONE UEM importe tous les modules d'application et désactive les actions
d'attribution pendant que le processus est en cours. Lorsque vous réimportez des modules à
certaines fins telles que des mises à jour, Workspace ONE UEM charge uniquement les modules
qui ont été modifiés. Si vous ne limitez pas l'utilisation de l'App Store sur les terminaux, les
mises à jour des applications sont transférées aux terminaux depuis Microsoft Store for Business.
Si vous limitez l'utilisation de l'App Store sur les terminaux, les applications mises à jour sont
alors importées vers Workspace ONE UEM. Ensuite, avertissez les utilisateurs des terminaux pour
installer la dernière version depuis AirWatch Catalog.
Comparaison des modèles de licences en ligne et hors ligne
de Microsoft Store for Business
Les modèles en ligne et hors ligne de Microsoft Store for Business offrent différentes
capacités. Sélectionnez le modèle en fonction de la manière dont vous souhaitez gérer votre
déploiement. Les capacités incluent le système qui gère les licences, l'emplacement où les
modules d'application sont stockés et quel système s'authentifie pour accéder aux ressources.
Tableau 2-1. Comparaison des modèles en ligne et hors ligne – Fonctionnalités différentes
Fonctionnalité Modèle de licence en ligne Modèle de licence hors ligne
Contrôle de licence Licences gérées par Microsoft Store Licences gérées par l'entreprise.
for Business. Utilisez le modèle de licence hors
Les utilisateurs peuvent recevoir les ligne pour contrôler les packs
applications et récupérer les licences d'applications et les mises à jour.
à l'extérieur de votre déploiement Ce modèle offre une certaine
Workspace ONE UEM. flexibilité, mais nécessite une
attention particulière pour s'assurer
que les applications sont à jour et les
licences sont renouvelées.
Hôte du pack d'applications Pack d'applications hébergé par Pack d'applications hébergé par le
Microsoft Store for Business. stockage de fichiers Workspace ONE
UEM sur site ou dans l'environnement
SaaS de Workspace ONE UEM.
VMware, Inc. 7Gestion des applications pour Windows
Tableau 2-1. Comparaison des modèles en ligne et hors ligne – Fonctionnalités différentes (suite)
Fonctionnalité Modèle de licence en ligne Modèle de licence hors ligne
Azure Active Directory Les terminaux doivent utiliser votre Les terminaux ne doivent pas
système Azure Active Directory pour nécessairement utiliser le système
s'authentifier. Azure Active Directory pour
Activez le système Azure Active s'authentifier.
Directory pour que Workspace ONE En revanche, vous devez activer
UEM et Windows Store for Business le système Azure Active Directory
puissent communiquer. pour que Workspace ONE UEM et
Microsoft Store for Business puissent
communiquer.
Limiter l'App Store Les terminaux ne peuvent pas Ils peuvent toujours installer les
installer les applications, car la applications, car les packages
restriction bloque Microsoft Store for d'applications sont hébergés dans
Business sur le terminal. l'environnement Workspace ONE
UEM.
Tableau 2-2. Comparaison des modèles en ligne et hors ligne – Fonctionnalités identiques
Fonctionnalité Modèle de licence en ligne Modèle de licence hors ligne
Niveau auquel les licences sont Licences réclamées par Workspace Licences réclamées par Workspace
récupérées ONE UEM pour l'application au niveau ONE UEM pour l'application au niveau
de l'utilisateur. de l'utilisateur.
Réutilisation de licence Les administrateurs peuvent annuler Les administrateurs peuvent annuler
les licences par Workspace ONE UEM les licences par Workspace ONE UEM
et les réutiliser. et les réutiliser.
Importer des applications publiques acquises depuis
Microsoft Store for Business
Vous pouvez importer des applications publiques acquises depuis Microsoft Store for Business
dans Workspace ONE UEM Console. Le processus est le même pour les modèles de licence
en ligne et hors ligne. Pour le modèle de licence hors ligne, vous pouvez envisager d'importer
ces applications lorsque votre réseau d'entreprise n'est pas trop occupé. En raison du nombre
d'applications concernées, le processus d'importation peut utiliser plus de bande passante que
les autres systèmes Workspace ONE UEM.
1 Naviguez vers le groupe organisationnel où vous avez installé vos services Azure Active
Directory.
2 Accédez à Ressources > Applications > Natives > Publiques et sélectionnez Ajouter une
application.
3 Sélectionnez la plateforme.
4 Sélectionnez Importer depuis le BSP et cliquez sur Suivant.
VMware, Inc. 8Gestion des applications pour Windows
5 Affichez la liste des applications que Workspace ONE UEM importe depuis votre compte
Microsoft Store pour Business. Vous ne pouvez pas modifier cette liste dans Workspace ONE
UEM Console.
6 Sélectionnez Terminer.
n Modèle de licence hors ligne – Le système télécharge des applications sur le système de
stockage de fichiers distant.
n Modèle de licence en ligne – Le système stocke les applications dans Microsoft Store for
Business et attend une commande d'installation.
Déployer des applications publiques acquises depuis
Microsoft Store for Business
Vous pouvez attribuer les applications publiques acquises depuis Microsoft Store for Business
et les appliquer aux terminaux à l'aide de la fonctionnalité de déploiement flexible. Vous pouvez
attribuer des licences en ligne et hors ligne en fonction de votre politique de gestion des licences.
1 Accédez à Ressources > Applications > Natives > Publiques.
2 Sélectionnez l'application et choisissez Attribuer.
3 Complétez les options Ajouter une attribution pour ajouter une règle.
Paramètre Description
Attribution – Licences Attribuez des groupes à l'application avec des licences en ligne.
en ligne Si des terminaux font partie de votre système Azure Active Directory et que votre
déploiement comprend des licences en ligne disponibles, les terminaux reçoivent
l'application.
Si vous attribuez des licences en ligne et hors ligne au groupe, le système donne la
préférence aux licences en ligne.
Attribution – Licences Attribuez des groupes à l'application avec des licences hors ligne.
hors ligne Si votre déploiement a des licences hors ligne disponibles, les terminaux reçoivent
l'application.
Si vous attribuez des licences en ligne et hors ligne au groupe, le système donne la
préférence aux licences en ligne.
Déploiement – Affichez la méthode de déploiement. L'option À la demande déploie du contenu vers un
Méthode de agent de déploiement en permettant à l'utilisateur de décider s'il souhaite ou non installer
déploiement le contenu.
d'applications
Déploiement – DLP Configurez un profil de terminal avec un profil de restrictions pour définir les politiques
de protection contre la perte des données pour l'application.
Cliquez sur Configurer. Le système accède à la zone Profils. Sélectionnez Ajouter >
Ajouter un profil > Windows > Windows Desktop > Profil de terminal > Restrictions.
Activez les options qui s'appliquent aux données que vous souhaitez protéger.
4 Sélectionnez Ajouter et classez les attributions par priorité si vous avez plusieurs règles
d'attribution.
VMware, Inc. 9Gestion des applications pour Windows
5 Déployez l'application en sélectionnant Enregistrer et publier.
Récupérer et réattribuer votre licence d'application
Lorsque vous attribuez des applications Microsoft Store for Business aux terminaux, le
processus d'attribution récupère les licences correspondantes avant le début de l'installation
de l'application. La vue détaillée vous fournit la liste des terminaux de l'utilisateur et la licence
demandée associée. Vous pouvez également supprimer l'attribution d'application pour demander
et réattribuer des licences. La synchronisation des licences hors ligne et en ligne dans la vue
détaillée de l'application vous fournit les utilisateurs correspondants des licences.
Vous pouvez accéder à Ressources > Applications > Affichage en liste > Publiques et
sélectionner l'application Microsoft Store for Business. Cette action affiche la vue détaillée. Dans
cette vue, utilisez l'action Synchroniser les licences pour importer la liste des utilisateurs qui
correspond aux licences récupérées. Pour voir les licences récupérées, sélectionnez l'onglet
Licences.
Note Workspace ONE UEM importe également les associations de licences lorsque vous
sélectionnez l'option Importer depuis le BSP au moment de l'importation initiale de vos
applications Microsoft Store pour Business. Cette synchronisation n'est pas effectuée en même
temps que la synchronisation du pack d'applications.
Vous pouvez récupérer et réutiliser les licences affichées dans l'onglet Licences en supprimant
l'attribution de l'application au terminal de l'utilisateur. Workspace ONE UEM propose plusieurs
méthodes pour supprimer les affectations. La suppression retire l'application du terminal.
Tableau 2-3. Méthodes pour récupérer des licences
Méthode Description
Affichage des détails Sélectionnez la fonction Supprimer l'application dans la section Affichage des détails de
l'application.
Cette action entraîne la suppression de l'application dans les groupes attribués à cette
application.
Terminal Supprimez le terminal applicable de la console.
Groupe organisationnel Supprimez le groupe organisationnel. Cette action affecte toutes les ressources et tous les
terminaux du groupe organisationnel.
Groupe d'attributions Supprimez le Smart Group ou le groupe d'utilisateurs attribué à l'application. Cette action
affecte chaque terminal du groupe.
Utilisateur Supprimez le compte utilisateur applicable de la console.
VMware, Inc. 10Gestion des applications pour Windows
Configurer l'intégration Azure AD
Pour configurer l'intégration Azure AD, utilisez un compte d'administrateur Azure pour vous
connecter au magasin et activer l'outil de gestion Workspace ONE UEM.
1 Créez un compte administrateur Azure pour Workspace ONE UEM. Configurez un compte
administrateur avec des rôles d'administrateur général dans votre annuaire par défaut dans
Microsoft Azure. Utilisez ce compte pour télécharger des applications depuis Microsoft Store
for Business. Vous n'avez pas besoin d'un compte Azure Premium pour créer un compte
administrateur pour Microsoft Store for Business.
a Dans Azure, accédez à votre Active Directory Azure.
b Sélectionnez Utilisateurs et groupes, puis + Nouvel utilisateur.
c Définissez le rôle de répertoire comme Administrateur général.
d Créez un mot de passe temporaire pour vous connecter à Microsoft Store for Business.
2 Activez Workspace ONE UEM dans Microsoft Store for Business et obtenez des applications.
Activez l'outil de gestion Workspace ONE UEM dans Microsoft Store for Business avec vos
informations d'identification de compte administrateur Azure. Si vous utilisez l'attribution de
licences hors ligne, activez l'acquisition des applications de licence hors ligne.
a Accédez à Microsoft Store for Business et connectez-vous avec votre compte
administrateur Azure.
b Accédez à Gérer > Paramètres > Distribuer > Outils de gestion et activez l'outil
VMware Workspace ONE UEM.
c Pour les licences hors ligne, accédez à Gérer > Paramètres > Magasin > Expérience
d'achat et activez Afficher les applications sous licence hors ligne aux clients du
magasin.
d Dans Store for Business, ajoutez des applications à votre inventaire. Vous pouvez ajouter
des applications avec des licences hors ligne ou en ligne selon votre politique de gestion
des licences.
VMware, Inc. 11Intégration de Flexera Software
Vulnerability Manager 3
Flexera Software Vulnerability Manager (parfois abrégé en tant que SVM) inclut de nombreuses
fonctionnalités et l'une d'elles fournit une liste catégorisée de correctifs pour des milliers
d'applications, ainsi que leurs scores de vulnérabilité. Dans Workspace ONE UEM, vous pouvez
afficher, valider et attribuer des applications Windows 10 gérées en fonction du score signalé par
Flexera Software Vulnerability Manager.
Configurations requises
n Utilisez Flexera Software Vulnerability Manager v7.6.1.16 ou 2021 R1.
n Utilisez la Workspace ONE UEM Console 2101 ou une version ultérieure.
n Utilisez des terminaux Windows 10 enrôlés avec Workspace ONE UEM et sur lesquels l'agent
Flexera Software Vulnerability Manager est en cours d'exécution.
n Utilisez SVM Patch Daemon v5.0.381 ou une version ultérieure.
Comment configurer l'intégration ?
Configurez votre SVM Patch Daemon et utilisez les applications souhaitées dans Workspace ONE
UEM.
1 Configurez SVM Patch Daemon avec vos informations d'identification Workspace ONE UEM.
a Démarrez SVM Patch Daemon et sélectionnez l'onglet Workspace ONE.
b Entrez vos informations d'identification pour l'instance Workspace ONE UEM.
c Sélectionnez le type d’authentification.
d Fournissez la clé REST API pour la hiérarchie de locataires dans laquelle vous souhaitez
publier les correctifs.
SVM Patch Daemon affiche une liste de groupes organisationnels Workspace ONE UEM.
e Sélectionnez le groupe organisationnel Workspace ONE UEM applicable pour votre
intégration.
f Testez la connexion et validez le niveau de journalisation dans l'onglet SVM.
VMware, Inc. 12Gestion des applications pour Windows
2 Identifiez et publiez les vulnérabilités dans Software Vulnerability Manager.
a Dans Software Vulnerability Manager, examinez les correctifs critiques dans la section
SPS ou dans le module Correctif fournisseur.
b Identifiez la vulnérabilité à corriger, puis cliquez avec le bouton droit sur la sélection pour
créer un module.
c Configurez le module de vulnérabilité à l'aide de l'assistant de module. Sélectionnez
Daemon de correctifs comme mode de publication.
d Publiez le module et surveillez son état sur la page État du déploiement des correctifs.
e Vérifiez les détails de l'environnement Workspace ONE.
3 Affichez, validez et attribuez des applications dans Workspace ONE UEM.
Note Il peut être judicieux de commencer par procéder à un envoi vers un groupe test de
terminaux avant le transfert vers les terminaux de production.
a Dans la Workspace ONE UEM Console, accédez à Ressources > Applications > Natives et
sélectionnez le type d'application pour voir l'Affichage en liste des applications.
b Filtrez l'Affichage en liste à l'aide de l'attribut Flexera SVM pour voir l'application et la
criticité attribuée (score de vulnérabilité).
c Validez les métadonnées de l'application. Les métadonnées comprennent des
contingences d'installation et des critères de détection convertis à partir des règles
d'applicabilité de l'application dans Software Vulnerability Manager.
d Ajoutez des attributions de déploiement flexibles à l'application pour l'envoyer aux
terminaux. L'intégration installe l'application Flexera SVM uniquement sur les terminaux
qui correspondent aux métadonnées (règles d'applicabilité converties).
VMware, Inc. 13Stratégies de protection
d'application Microsoft Intune 4
®
VMware Workspace ONE optimisé par l'intégration AirWatch avec les stratégies de protection
d'application Microsoft Intune® supprime la gestion des stratégies de protection contre la perte
de données (DLP) pour vos stratégies de protection d'application Microsoft Intune dans deux
consoles.
Vous pouvez configurer les stratégies d'application de protection contre la perte des
données (DLP) pour votre protection d'application Microsoft Intune dans Workspace ONE
UEM. Après avoir intégré les deux systèmes, gérez les stratégies d'application DLP dans
Workspace ONE UEM Console afin que l'intégration reste à jour.
La plupart des stratégies de protection d'application Microsoft Intune sont disponibles pour la
plateforme Android et la plateforme iOS.
Effectuer la gestion dans Workspace ONE UEM Console
permet de garantir la synchronisation
Après avoir intégré les deux systèmes, gérez les stratégies d'application DLP dans
Workspace ONE UEM Console afin que l'intégration reste à jour. Workspace ONE UEM ne reçoit
pas les modifications apportées à d'autres parties de l'intégration. Les stratégies d'application
DLP ou les attributions de groupe de sécurité peuvent être désynchronisées.
Expérience utilisateur sur Android et iOS
Les plateformes iOS et Android ont des expériences utilisateur à la fois différentes et très
similaires lorsque les utilisateurs accèdent aux applications pour la première fois après une
intégration réussie avec Intune.
Expérience sur iOS
Lorsque l'utilisateur du terminal s'authentifie auprès d'applications Microsoft Office 365 sur
des terminaux iOS et que le profil est correctement transféré, le système affiche une fenêtre
contextuelle indiquant que l'organisation gère l'application. Il n'y a aucune étape supplémentaire
dans la configuration.
VMware, Inc. 14Gestion des applications pour Windows
Expérience sur Android
Pour gérer les terminaux Android et Android Enterprise, les utilisateurs doivent installer
l'application Intune Company Portal. Cette application agit comme un broker pour le SDK
d'application Intune, de la même manière qu'Workspace ONE Intelligent Hub agit comme un
broker pour les applications Workspace ONE UEM.
Expérience similaire sur iOS et Android
Les deux plateformes doivent définir Intune comme autorité MDM sur le terminal. Vous pouvez
configurer ce paramètre sur le terminal dans Locataire Azure > Toutes les ressources > Intune.
Activez Autorité MDM Intune à partir de la notification Démarrage.
Effectuez ces actions dans Azure pour intégrer Microsoft
Intune
Pour l'intégration, créez un compte utilisateur et attribuez à l'utilisateur les licences Microsoft
répertoriées.
Pour les environnements qui ne disposent pas de l'intégration Azure AD dans les services
d'annuaire dans Workspace ONE UEM Console, vous devez ajouter l'application AirWatch by
VMware dans Azure. Pour plus de détails, consultez la rubrique Configurer Workspace ONE UEM
pour utiliser Azure AD comme service d'identité.
Important Si OOBE (Out of the Box Enrollment) est déjà configuré avec un autre fournisseur
MDM autre que Workspace ONE UEM, ajoutez AirWatch by VMware et n'effectuez aucune saisie
ni modification d'autres paramètres dans Azure. Si vous entrez ou modifiez des configurations,
vous pouvez interrompre le processus d’enrôlement existant.
n Créez un compte de service (un utilisateur) dans Azure et attribuez à l'utilisateur les rôles
appropriés.
Note Il s'agit là d'étapes générales. Pour plus d'informations sur la configuration d'Azure,
reportez-vous à la documentation de Microsoft.
a Accédez à votre portail Azure en entrant portal.azure.com dans votre navigateur.
b Créez un utilisateur ou synchronisez-le avec Active Directory sur site.
Désactivez l'authentification multifacteur (MFA) pour le domaine de cet utilisateur.
c Attribuez à cet utilisateur les rôles répertoriés.
n Administrateur Intune
n Administrateur d'application
n Lecteur de répertoire
n Enregistreur de répertoire
VMware, Inc. 15Gestion des applications pour Windows
n Si vous avez créé un utilisateur dans Azure AD, utilisez ce compte pour vous connecter à
Azure sur portal.azure.com. Assurez-vous que le mot de passe est valide et qu'il n'est pas
nécessaire de le mettre à jour.
n Vous devez attribuer à l'utilisateur les licences répertoriées dans Azure.
n Stratégies de protection d'application Microsoft Intune
n Microsoft Enterprise Mobility + Security E3 ou E5
Configurer les paramètres Intune
Dans Workspace ONE UEM Console, configurez et appliquez les stratégies d'application de
protection contre la perte des données (DLP) pour les applications et données de protection
d'application Microsoft Intune®. Configurez d'abord l'onglet Authentification pour que les
systèmes puissent communiquer. Configurez ensuite vos paramètres DLP et attribuez-les à des
groupes.
Workspace ONE UEM n'applique pas directement les stratégies aux applications. Le SDK
Microsoft contrôle et applique les stratégies.
Note L'avertissement modifie la version du système d'exploitation et la version de
l'application. La version du correctif Android informe uniquement l'utilisateur par un message
d'avertissement. Cependant, les alertes d'avertissement n'empêchent pas les utilisateurs finaux
d'utiliser l'application.
Prérequis
Pour configurer et appliquer des stratégies d'application DLP à des applications Intune, vous
devez disposer des privilèges nécessaires pour configurer des stratégies d'application dans
Intune.
Procédure
1 Accédez à Groupes et paramètres > Tous les paramètres > Applications > Stratégies de
protection d'application Microsoft Intune®.
2 Sélectionnez l'onglet Authentification et entrez le nom d'utilisateur et le mot de passe de
l'administrateur Azure.
Les administrateurs peuvent utiliser des stratégies d'application DLP d'Office 365 pour
protéger les applications et les données Office 365 avec les API Microsoft Graph. Pour les
stratégies DLP d'Office 365, vous avez besoin d'informations d'identification d'administrateur
pour connecter votre locataire à Workspace ONE UEM.
Paramètre Description
Nom d'utilisateur Entrez le nom d'utilisateur utilisé pour configurer votre locataire dans Workspace ONE UEM.
Mot de passe Entrez le mot de passe utilisé pour configurer votre locataire dans Workspace ONE UEM.
VMware, Inc. 16Gestion des applications pour Windows
Workspace ONE UEM utilise ces informations d'identification pour rechercher et attribuer les
stratégies d'application DLP aux groupes de sécurité Microsoft.
3 Sélectionnez l'onglet Protection contre la perte de données et configurez les stratégies
de protection d'application DLP Microsoft Intune de votre choix. Configurez des stratégies
d'application DLP pour les applications et données de vos stratégies de protection
d'application Microsoft Intune gérées.
Paramètres de déplacement
des données Description
Empêcher la sauvegarde Empêche les utilisateurs de sauvegarder des données à partir de leurs
applications gérées.
Autoriser les applications à n Toutes : les utilisateurs peuvent envoyer des données d'applications gérées
transférer des données vers vers n'importe quelle application.
d’autres applications n Limitées : les utilisateurs peuvent envoyer des données depuis leurs
applications gérées vers d'autres applications gérées.
n Aucune : empêche les utilisateurs d'envoyer des données d'applications
gérées vers n'importe quelle application.
Autoriser les applications n Toutes : les utilisateurs peuvent recevoir des données d'applications sur leurs
à recevoir des données applications gérées.
d'autres applications n Limitées : les utilisateurs peuvent recevoir des données d'autres applications
gérées sur leurs applications gérées.
n Aucune : empêche les utilisateurs de recevoir des données de toutes les
applications sur leurs applications gérées.
Empêcher d'enregistrer sous Empêche les utilisateurs d'enregistrer les données d'application des stratégies
de protection d'application Microsoft Intune gérées sur un autre système ou une
autre zone de stockage.
Restreindre les fonctions n N'importe quelle application : les utilisateurs peuvent couper, copier et coller
couper/copier/coller des des données entre leurs applications gérées et n'importe quelle application.
autres applications n Bloqué : empêche les utilisateurs de couper, copier et coller des données
entre les applications gérées et toutes les applications.
n Applications gérées par des stratégies : les utilisateurs peuvent couper,
copier et coller des données entre les applications gérées par les stratégies
de protection d'application Microsoft Intune.
n Applications gérées par des stratégies avec Coller : les utilisateurs peuvent
couper et copier des données à partir de leurs applications gérées et coller les
données dans d'autres applications gérées.
Les utilisateurs peuvent également couper et copier des données de
n’importe quelle application dans leurs applications gérées.
Limiter l’affichage du contenu Force l'ouverture dans un navigateur géré des liens figurant dans les applications
Web dans le navigateur géré gérées.
Chiffrer les données de Chiffre les données relatives aux applications gérées lorsque le terminal est
l’application dans l'état sélectionné. Le système chiffre les données stockées n'importe où,
y compris sur les lecteurs de stockage externes et les cartes SIM.
Désactiver la synchronisation Empêche les applications gérées d'enregistrer les contacts dans le carnet
du contenu d'adresses natif.
VMware, Inc. 17Gestion des applications pour Windows
Paramètres de déplacement
des données Description
Désactivation de l'impression Empêche les utilisateurs d’imprimer les données associées aux applications
gérées.
Emplacements de stockage Les administrateurs peuvent contrôler où les utilisateurs peuvent stocker les
de données autorisés données des applications gérées.
Paramètres d'accès Description
Exiger l'accès par code PIN Exige que les utilisateurs entrent un code PIN pour accéder aux
applications gérées.
Les utilisateurs créent le code PIN lors de leur premier accès.
Nombre maximal de tentatives Définit le nombre d'entrées que les utilisateurs peuvent tenter d'effectuer
avant réinitialisation du code PIN avant que le système réinitialise le code PIN.
Autoriser un code PIN simple Les utilisateurs peuvent créer des codes PIN à quatre chiffres avec des
caractères répétés.
Longueur du code PIN Définit le nombre de caractères que les utilisateurs doivent définir pour leur
code PIN.
Caractères du code PIN autorisés Définit les caractères que les utilisateurs doivent configurer pour leur code
PIN.
Autoriser les empreintes à la place Les utilisateurs peuvent accéder aux applications gérées avec leur
du code PIN empreinte digitale plutôt qu'avec un code PIN.
Exiger les identifiants professionnels Les utilisateurs peuvent accéder aux applications gérées avec leurs
pour l'accès informations d'identification d'entreprise.
Empêcher les applications gérées Empêche les utilisateurs d’accéder aux applications gérées sur les
de fonctionner sur des terminaux terminaux compromis.
jailbroken ou rootés
Revérifier les conditions d'accès Spécifie que le système doit valider le code PIN, l'empreinte digitale ou
après (minutes) les informations d'identification lorsque la session d'accès atteint l'un des
intervalles de temps définis.
n Délai d'expiration : nombre de minutes d'inactivité des sessions
d'accès pour les applications gérées.
n Période de grâce hors ligne : nombre de minutes durant lesquelles les
terminaux avec des applications gérées sont hors ligne.
Intervalle hors ligne (en jours) Configure la suppression des données d'applications gérées des terminaux
avant l'effacement des données lorsque les terminaux sont hors ligne pendant un nombre de jours défini.
d'application
Paramètres pour Android Description
Bloquer la capture d'écran et Si la case Oui est sélectionnée, les analyses de l'assistant Android et les
l'assistant Android captures d'écran ne sont pas disponibles avec une application Office.
Version minimale du système Entrez la version minimale requise d'Android que les utilisateurs doivent
d'exploitation requise utiliser pour obtenir un accès sécurisé à l'application.
Version minimale du système Entrez la version minimale d'Android que les utilisateurs doivent utiliser
d'exploitation requise (avertissement pour obtenir un accès sécurisé à l'application.
uniquement)
VMware, Inc. 18Gestion des applications pour Windows
Paramètres pour Android Description
Version minimale de l'application Entrez la version minimale de l'application requise que les utilisateurs
requise doivent utiliser pour obtenir un accès sécurisé à l'application.
Version minimale de l'application Entrer la version minimale de l'application que les utilisateurs doivent
requise (avertissement uniquement) utiliser pour obtenir un accès sécurisé à l'application.
Version minimale du correctif Entrez le plus ancien niveau de correctif de sécurité Android requis
Android requise que les utilisateurs peuvent utiliser pour obtenir un accès sécurisé à
l'application.
Version minimale du correctif Entrez le plus ancien niveau de correctif de sécurité Android que les
Android requise (avertissement utilisateurs peuvent utiliser pour obtenir un accès sécurisé à l'application.
uniquement)
4 Sélectionnez l'onglet Groupes attribués et attribuez les stratégies d'application DLP aux
groupes de sécurité Microsoft. Les groupes de sécurité sont précédemment configurés dans
Azure.
Paramètre Description
Tous les groupes de Entrez le nom du groupe de sécurité et attribuez-le aux stratégies d'application DLP.
sécurité Dans la liste, sélectionnez ce que le système affiche après une saisie.
Sélectionnez Ajouter un groupe et attribuez les stratégies d'application DLP au
groupe de sécurité.
Groupes de sécurité Répertorie les groupes de sécurité attribués aux stratégies d’application DLP.
attribués aux stratégies Sélectionnez Supprimer le groupe et supprimez l'attribution du groupe de sécurité.
O365
Messages d’avertissement pour les stratégies supprimées et
modifiées
Après le chargement des stratégies de protection d'application Microsoft Intune,
Workspace ONE UEM Console vérifie les suppressions et les modifications dans Intune dans le
portail Azure. Il est possible que les stratégies gérées ne soient pas synchronisées avec les
stratégies déployées. Pour avertir les administrateurs des suppressions et des modifications
possibles, Workspace ONE UEM Console affiche des messages d'avertissement en fonction du
scénario.
n La stratégie a été supprimée sur le portail Microsoft Intune. Cliquez sur Supprimer les
paramètres pour supprimer les paramètres des stratégies d'UEM.
Workspace ONE UEM Console affiche ce message après la suppression d'une stratégie iOS
et Android déployée dans Intune ou les deux. La sélection de Supprimer les paramètres
supprime les paramètres des deux stratégies de Workspace ONE UEM Console sans aucune
modification côté Azure. La page de la console ne s'actualise pas automatiquement.
VMware, Inc. 19Gestion des applications pour Windows
Les utilisateurs peuvent déployer de nouvelles stratégies iOS et Android sur Azure sans
erreur.
Note Si une seule des stratégies, iOS ou Android, est supprimée dans Azure, l'autre
stratégie reste dans Azure. Les utilisateurs doivent supprimer manuellement l'autre stratégie
s'ils choisissent de ne pas conserver les anciens paramètres.
n Les paramètres de stratégie ont été mis à jour sur le portail Microsoft Intune et ne sont
plus synchronisés avec Workspace ONE UEM. Cliquez sur Synchroniser les paramètres pour
mettre à jour cette stratégie dans UEM.
Workspace ONE UEM Console affiche ce message après que quelqu'un a modifié les
stratégies iOS et Android dans Intune dans le portail Azure et que les paramètres de
stratégie correspondent toujours entre les deux stratégies. La sélection de Synchronisation
des paramètres met à jour les paramètres des deux stratégies dans Workspace ONE UEM
pour qu'ils correspondent à ceux extraits des stratégies dans Azure. La page de la console ne
s'actualise pas automatiquement.
Note Ce scénario exclut les paramètres spécifiques à iOS ou Android tels que les
paramètres SDK d'iOS et les paramètres de l'assistant Android.
n La stratégie « Recevoir des données d'autres applications » est différente pour la
stratégie Android et la stratégie iOS dans le portail Azure. Ce paramètre doit être le
même pour Workspace ONE UEM afin de synchroniser les stratégies Android et iOS. Contactez
l'administrateur pour résoudre le problème.
Les stratégies « Recevoir des données d'autres applications » et « Envoyer des données
d'organisation à d'autres applications » diffèrent pour la stratégie Android et la
stratégie iOS dans le portail Azure. Ces paramètres doivent être identiques pour
que Workspace ONE UEM puisse synchroniser les stratégies Android et iOS. Contactez
l'administrateur pour résoudre le problème.
Les stratégies « Empêcher la sauvegarde », « Recevoir des données d'autres applications »
et « Envoyer des données d'organisation à d'autres applications » diffèrent pour la
stratégie Android et la stratégie iOS dans le portail Azure. Ces paramètres doivent être
identiques pour que Workspace ONE UEM puisse synchroniser les stratégies Android et iOS.
Contactez l'administrateur pour résoudre le problème.
Workspace ONE UEM Console affiche ces messages après que quelqu'un a modifié les
stratégies iOS et Android dans Intune dans le portail Azure et que les paramètres de stratégie
ne correspondent pas entre les deux stratégies. Les messages répertorient les différences de
paramètres entre les deux stratégies dans Azure. Ils présentent également la liste des noms
de stratégie répertoriés dans Azure et non ceux utilisés par Workspace ONE UEM Console.
Résolvez les conflits répertoriés dans les messages avant d'utiliser l'élément de menu
Synchronisation des paramètres de Workspace ONE UEM Console.
Note Ce scénario exclut les paramètres spécifiques à iOS ou Android tels que les
paramètres SDK d'iOS et les paramètres de l'assistant Android.
VMware, Inc. 20Gestion des applications pour Windows L'élément de menu Supprimer les paramètres et l'élément de menu Synchronisation des paramètres ne modifient aucun paramètre dans Intune dans le portail Azure. VMware, Inc. 21
Vous pouvez aussi lire
