Pour limiter l'accès à Office 365 afin que seuls les terminaux Windows 10 gérés puissent y accéder, créez une règle de stratégie d'accès spécifique à une application configurée avec le type de terminal Inscription Windows 10. Cela permettra aux terminaux non gérés de s'inscrire et d'être gérés.

Vous pouvez créer ou mettre à jour une deuxième règle de stratégie d'accès qui utilise le type de périphérique Windows 10. La règle est configurée pour la méthode d'authentification par certificat (déploiement de cloud) sans dispositif de secours configuré. Lorsque les utilisateurs tentent d'accéder à Office 365, le lancement de l'application Office 365 échoue si le périphérique n'est pas géré. La règle d'inscription de Windows 10 est alors appliquée pour inscrire et gérer le périphérique. Les tentatives d'accès à Office 365 avec un périphérique géré sont authentifiées en fonction de la deuxième règle de stratégie d'accès.

Conditions préalables

  • Office 365 configuré avec le fournisseur d'identité principal. Celui-ci peut être Workspace ONE Access, Okta ou ADFS. Vous devez configurer Workspace ONE Access en tant que fournisseur d'identité secondaire lorsqu'Okta ou ADFS est le fournisseur d'identité principal.
  • L'inscription du périphérique est gérée via OOBE (out-of-Box Experience) de Windows 10 ou lors de la jonction du domaine Azure Active Directory.
  • Méthodes d'authentification configurées et activées pour le fournisseur d'identité.
  • Ajout de l'application Office 365 au catalogue du Hub.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Ressources > Stratégies, cliquez sur Ajouter une stratégie.
  2. Ajoutez le nom et la description de la stratégie dans les zones de texte respectives.
  3. Dans la section S'applique à, sélectionnez les applications qui nécessitent un accès restreint.
  4. Cliquez sur Suivant.
  5. Cliquez sur Ajouter une règle de stratégie pour ajouter une règle.
    Option Description
    Si la plage réseau d'un utilisateur est Sélectionnez une plage réseau.
    et l'utilisateur accédant au contenu à partir de Sélectionnez le type de périphérique Inscription de Windows 10.
    et l'utilisateur appartenant aux groupes Si cette règle d'accès va s'appliquer à des groupes spécifiques, recherchez les groupes dans la zone de recherche.

    Si aucun groupe n'est sélectionné, la règle de stratégie d'accès s'applique à tous les utilisateurs.

    Puis effectuez cette action Sélectionnez S'authentifier à l'aide de....
    l'utilisateur peut ainsi s'authentifier à l'aide de Sélectionnez la méthode d'authentification à utiliser.
    Important : N'utilisez aucun certificat (déploiement de Cloud). Les périphériques ne disposent d'aucun certificat adéquat avant l'inscription du périphérique.

    Pour exiger que les utilisateurs s'authentifient via deux méthodes d'authentification, cliquez sur +, et, dans le menu déroulant, sélectionnez une seconde méthode d'authentification.

    Si la méthode précédente échoue ou qu'elle ne s'applique pas, alors Configurez une méthode d'authentification de secours, si nécessaire.
    Nouvelle authentification après Sélectionnez la durée de la session après laquelle les utilisateurs doivent s'authentifier à nouveau.
  6. Cliquez sur Enregistrer.

Que faire ensuite

Vous pouvez désormais mettre à jour la stratégie d'accès configurée pour le type de périphérique Windows 10. La méthode d'authentification sélectionnée continue d'être un certificat (déploiement de Cloud), mais vous devez supprimer toutes les méthodes d'authentification de secours qui ont été configurées.