L'App Protection Policy, ou APP est une politique de protection des applications qui protège les données d’entreprise au niveau des applications, même sur des appareils personnels (BYOD). Elle permet de sécuriser les applications mobiles sans nécessiter l'enrôlement complet de l'appareil dans Intune. Elle permet de sécuriser les données présentes dans les applications Microsoft (Teams, Outlook, Sharepoint…) et les applications métiers sur l’ensemble des appareils mobiles (BYOD et appareils d'entreprise).
App Protection Policy dans Intune : comment fonctionne ?
Fonctionnement sans politique MAM
Lorsque aucune restriction d'App Protection Policy n’est mise en place dans Intune, les données de l'entreprise peuvent être transférées et utilisées dans un environnement personnel et non managé. Cela peut causer une fuite de données, de façon volontaire ou non.
Fonctionnement avec politique MAM
En combinant le MAM et une règle d’App Protection Policy dans Intunne, il est possible de restreindre l’utilisation des données de l’entreprise. Seules les applications approuvées et managées par l’entreprise peuvent accéder aux données de l’entreprise.
Quelques exemples de ce qu’il est possible de faire avec une App Protection Policy dans Intune :
- Exiger un code PIN ou une empreinte digitale pour accéder à toutes les applications managées par l’entreprise.
- Empêcher les utilisateurs de copier/coller des données de l'entreprise dans des applications personnelles.
- Restreindre l'accès aux données de l'entreprise aux seules applications approuvées.
Pour les appareils BYOD qui ne sont pas enrôlés dans Intune, il y a certaines limitations à connaître :
- Il n'est pas possible de déployer des applications sur l'appareil. L'utilisateur doit les télécharger de lui-même depuis le Play Store ou l’Apple Store.
- Il n'est pas possible de déployer des certificats sur ces appareils.
- Il n'est pas possible de déployer les paramètres Wi-Fi et VPN de l'entreprise sur ces appareils.
Avec cette méthode, il n’y a que les applications et les données qu’elles contiennent qui seront protégées et managées.
À lire aussi : MAM vs BYOD : quelles différences ?
Liste des prérequis pour mettre en place une App Protection Policy dans Intune
Avant de commencer avec les explications techniques, voici la liste des prérequis :
- L'utilisateur doit avoir un compte Microsoft Entra de l’entreprise.
- L'utilisateur doit avoir une licence Microsoft Intune attribuée à son compte.
- L'utilisateur doit appartenir à un groupe d’utilisateurs ciblé par une politique d’App Protection Policy (nous verrons les assignations un peu plus loin).
- L'utilisateur doit se connecter à l'application à l'aide de son compte Microsoft.
Exemple de mise en place d'une App Protection Policy dans Intune
Comment créer une App Protection Policy dans Intune ?
Rendez-vous dans votre tenant Intune, puis dans Apps > Policy > App Protection Policy cliquez ensuite sur « Create Policy ».
Choisissez ensuite pour quel type d’appareils vous voulez créer et déployer votre App Protection Policy, dans notre exemple, nous choisirons Android.
Dans la partie Name, assurez-vous d’utiliser la nomenclature qui est propre à votre organisation. Dans la partie description, n’hésitez pas à expliquer ce que fait votre APP.
Dans notre exemple, nous ciblerons uniquement des applications publiques Microsoft. Mais si vous souhaitez cibler vos applications métiers, assurez-vous que le SDK de Microsoft est bien injecté dans vos applications.
Vous trouverez ici tout ce dont vous avez besoin pour utiliser les App Protection Policy avec vos applications.
Comment protéger les données avec App Protection Policy ?
Voici comment procéder pour sécuriser ses données avec APP dans Intune :
- Sélectionnez Bloquer pour empêcher la sauvegarde des données de l'entreprise vers les services de sauvegarde Android.
- Policy managed apps : Autorisez le transfert de données vers d'autres applications gérées par l’entreprise (par exemple, copier un paragraphe d’un document Word rattaché au compte Microsoft pro d’un salarié vers son application Outlook ou Teams gérées par une politique MAM).
- Sélectionnez Bloquer pour empêcher la sauvegarde d'une copie des données vers un nouvel emplacement. Nous autorisons cependant la sauvegarde vers OneDrive for Business et vers SharePoint, tous deux étant des applications professionnelles, gérées.
- Transfer messaging data > Any policy-managed messaging app : Pour forcer l’utilisation d’une application gérée lors de l’ouverture d’un lien dans une application de messagerie.
- Receive data from other apps > Policy managed apps : Pour autoriser des données personnelles dans des applications professionnelles. Nous autoriserons uniquement OneDrive for Business et SharePoint comme cibles de cette autorisation.
- Restrict cut, copy, and paste between other apps > Policy managed apps with paste in : Cela permet d’autoriser du contenu entrant collé à partir d'une autre application. Elle empêche, malgré tout, les utilisateurs de partager du contenu vers l'extérieur, à moins de le faire avec une application gérée.
- Sélectionnez Bloquer pour le Screen capture and Google Assistant. En cas de blocage, les fonctionnalités de capture d'écran seront bloquées lors de l’utilisation des applications protégées par l’App Protection Policy.
- Bloquer les claviers alternatifs.
- Demandez le chiffrement partout
- Bloquez la possibilité d’imprimer les données de l’entreprise
- Laissez le reste par défaut.
Comment gérer les Access requirements dans App Protection Policy Intune ?
PIN for access > Required : Cela permet de forcer la mise en place d’un code PIN lors de l’ouverture de l’application. Ce code est créé lors de la première utilisation de l’application avec son compte d’entreprise. On gère la complexité de ce code via plusieurs paramètres : numérique ou alphanumérique, l’autorisation ou non d’un code PIN simple (0000, 1234, etc.) et la longueur du code : de 4 à 16 caractères.
On peut également autoriser la biométrie pour permettre aux utilisateurs d’accéder aux applications avec leurs empreintes.
Il est également possible de demander le renouvellement de ce code PIN régulièrement. Tous les 60-90 jours est une valeur qui permet un changement fréquent tout en permettant aux utilisateurs de ne pas être noyés sous les demandes répétées de changement de code PIN. Un historique de 5 mots de passe (cette valeur peut être modifiée) permet d’empêcher la répétition des mêmes codes PIN, pour plus de sécurité.
Nous pouvons également demander à l’utilisateur de se réauthentifier avec son compte utilisateur, pour un niveau de sécurité encore accru. Attention cependant à ce que vos utilisateurs ne se sentent pas sur-sollicités par toutes ces couches de sécurité, afin de ne pas les décourager à utiliser vos applications.
L’authentification sera redemandée après 30 minutes d’inactivité.
Pour aller plus loin sur Intune :
Article – Gestion de la flotte mobile Intune : 5 changements à anticiper pour 2025
Article – MDM Intune : top 8 des règles d’accès conditionnel
Article – MAM ou MDM : comment gérer les mobiles d’entreprise ?