L’App Protection Policy (APP) est un élément de sécurité présent dans Microsoft Intune qui permet de protéger les données présentes dans les applications Microsoft (Teams, Outlook, Sharepoint…) et vos applications métiers sur l’ensemble des appareils BYOD et de l’entreprise.
Comment fonctionne une politique simple d’APP pour les appareils mobiles BYOD ?
Fonctionnement sans politique MAM (Mobile Application Management)
Lorsque aucune restriction n’est mise en place, les données de l’entreprise peuvent être transférées et utilisées dans un environnement personnel et non managé. Cela peut causer une fuite de données, de façon volontaire ou non.
Fonctionnement avec politique MAM
Avec le MAM et une règle d’App Protection Policy, il est possible de restreindre l’utilisation des données de l’entreprise. Seules les applications approuvées et managées par l’entreprise peuvent accéder aux données de l’entreprise.
Quelques exemples de ce qu’il est possible de faire :
Exiger un code PIN ou une empreinte digitale pour accéder à toutes les applications managées par l’entreprise
Empêcher les utilisateurs de copier/coller des données de l’entreprise dans des applications personnelles
Restreindre l’accès aux données de l’entreprise aux seules applications approuvées
Source : Microsoft
Pour les appareils BYOD qui ne sont pas enrôlés dans Intune, il y a certaines limitations à connaître :
Il n’est pas possible de déployer des applications sur l’appareil. L’utilisateur doit les télécharger de lui-même depuis le Play Store ou l’Apple Store
Il n’est pas possible de déployer des certificats sur ces appareils
Il n’est pas possible de déployer les paramètres Wi-Fi et VPN de l’entreprise sur ces appareils.
Avec cette méthode, il n’y a que les applications et les données qu’elles contiennent qui seront protégées et managées.
Liste des prérequis pour mettre en place une App Protection Policy
Avant de commencer avec les explications techniques, voici la liste des prérequis :
L’utilisateur doit avoir un compte Microsoft Entra de l’entreprise
L’utilisateur doit avoir une licence Microsoft Intune attribuée à son compte
L’utilisateur doit appartenir à un groupe d’utilisateurs ciblé par une politique d’App Protection Policy (nous verrons les assignations un peu plus loin)
L’utilisateur doit se connecter à l’application à l’aide de son compte Microsoft
Exemple de mise en place d’une App Protection Policy dans Intune
Rendez-vous dans votre tenant Intune, puis dans Apps > Policy > App Protection Policy cliquez ensuite sur « Create Policy ».
Choisissez ensuite pour quel type d’appareils vous voulez créer et déployer votre App Protection Policy, dans notre exemple, nous choisirons Android.
Dans la partie Name, assurez-vous d’utiliser la nomenclature qui est propre à votre organisation. Dans la partie description, n’hésitez pas à expliquer ce que fait votre APP.
Dans notre exemple, nous ciblerons uniquement des applications publiques Microsoft. Mais si vous souhaitez cibler vos applications métiers, assurez-vous que le SDK de Microsoft est bien injecté dans vos applications.
Vous trouverez ici tout ce dont vous avez besoin pour utiliser les App Protection Policy avec vos applications.
Data protection
Sélectionnez Bloquer pour empêcher la sauvegarde des données de l’entreprise vers les services de sauvegarde Android.
Policy managed apps : Autorisez le transfert de données vers d’autres applications gérées par l’entreprise (par exemple, copier un paragraphe d’un document Word rattaché au compte Microsoft pro d’un salarié vers son application Outlook ou Teams gérées par une politique MAM).
Sélectionnez Bloquer pour empêcher la sauvegarde d’une copie des données vers un nouvel emplacement. Nous autorisons cependant la sauvegarde vers OneDrive for Business et vers SharePoint, tous deux étant des applications professionnelles, gérées.
Transfer messaging data >Any policy-managed messaging app : Pour forcer l’utilisation d’une application gérée lors de l’ouverture d’un lien dans une application de messagerie.
Receive data from other apps > Policy managed apps : Pour autoriser des données personnelles dans des applications professionnelles. Nous autoriserons uniquement OneDrive for Business et SharePoint comme cibles de cette autorisation.
Restrict cut, copy, and paste between other apps > Policy managed apps with paste in : Cela permet d’autoriser du contenu entrant collé à partir d’une autre application. Elle empêche, malgré tout, les utilisateurs de partager du contenu vers l’extérieur, à moins de le faire avec une application gérée.
Sélectionnez Bloquer pour le Screen capture and Google Assistant. En cas de blocage, les fonctionnalités de capture d’écran seront bloquées lors de l’utilisation des applications protégées par l’App Protection Policy.
Bloquer les claviers alternatifs.
Demandez le chiffrement partout
Bloquez la possibilité d’imprimer les données de l’entreprise
Laissez le reste par défaut.
Access requirements
PIN for access > Required : Cela permet de forcer la mise en place d’un code PIN lors de l’ouverture de l’application. Ce code est créé lors de la première utilisation de l’application avec son compte d’entreprise. On gère la complexité de ce code via plusieurs paramètres : numérique ou alphanumérique, l’autorisation ou non d’un code PIN simple (0000, 1234, etc.) et la longueur du code : de 4 à 16 caractères.
On peut également autoriser la biométrie pour permettre aux utilisateurs d’accéder aux applications avec leurs empreintes.
Il est également possible de demander le renouvellement de ce code PIN régulièrement. Tous les 60-90 jours est une valeur qui permet un changement fréquent tout en permettant aux utilisateurs de ne pas être noyés sous les demandes répétées de changement de code PIN. Un historique de 5 mots de passe (cette valeur peut être modifiée) permet d’empêcher la répétition des mêmes codes PIN, pour plus de sécurité.
Nous pouvons également demander à l’utilisateur de se réauthentifier avec son compte utilisateur, pour un niveau de sécurité encore accru. Attention cependant à ce que vos utilisateurs ne se sentent pas sur-sollicités par toutes ces couches de sécurité, afin de ne pas les décourager à utiliser vos applications.
L’authentification sera redemandée après 30 minutes d’inactivité.
