Une stratégie d'accès client utilise les informations d'identification d'authentification du client Office 365 pour accéder aux applications Office 365 dans votre déploiement Workspace ONE. Un client Office 365, tel que VMware Boxer, Microsoft Outlook et des clients de messagerie natifs iOS et Android, collecte les informations d'identification dans leur interface utilisateur pour s'authentifier. Une stratégie d'accès client permet à Workspace ONE Access de gérer les informations d'identification collectées pour l'authentification. Les politiques d'accès client vous permettent également de définir d'autres paramètres d'accès pour les applications Office 365. Les politiques définies dans une application Office 365 s'appliquent à toutes les autres applications Office 365. Les modifications apportées aux politiques d'accès client ont un impact sur la capacité des utilisateurs à accéder à ces applications.

Ordre des politiques d'accès client

Organisez les politiques d'accès client, car le système applique les politiques de haut en bas. Le système utilise la première politique pour authentifier un client ou lui refuser l'accès.

Par exemple, si vous créez une politique interdisant l'accès à tous les types de terminaux et si vous la déplacez au-dessus d'une politique autorisant l'accès aux terminaux Android, le système refuse l'accès à tous les terminaux qui tentent d'y accéder à l'aide du nom d'utilisateur et du mot de passe. Le système n'applique pas la politique autorisant l'accès aux terminaux Android. La première politique qui interdit l'accès prévaut.

Ajouter des applications Office 365 avec une politique d'accès client

Vous pouvez ajouter des applications Office 365 à Workspace ONE UEM Console afin de contrôler l'accès à l'aide de politiques d'accès client.
  1. Accédez à Ressources > Applications > SaaS et sélectionnez Nouveau.
  2. Définissez les options de l'onglet Définition.
    Tableau 1.
    Paramètre Description
    Recherche Entrez Office 365 pour afficher la liste des applications disponibles.
    Nom Saisissez ou consultez le nom de l'application SaaS.
    Description (Facultatif) Fournissez une description pour l'application. Cette zone de texte est généralement renseignée automatiquement.
    Icône (Facultatif) Si aucune icône n'est renseignée automatiquement, sélectionnez-en une.
    Catégorie (Facultatif) Attribuez des catégories pour aider les utilisateurs à trier et filtrer les applications dans le catalogue Workspace ONE.

    Configurez les catégories dans Workspace ONE Access afin qu'elles s'affichent dans la liste des catégories.

  3. Définissez les options de l'onglet Configuration.
    1. Les applications Office 365 utilisent le Type d'authentification WSFed 1.2 pour fournir une authentification unique.
      Paramètre Description
      URL cible Saisissez l'URL pour diriger les utilisateurs vers l'application SaaS sur Internet.
      URL d'authentification unique (SSO, Single Sign-On) Entrez l'URL Assertion Consumer Service (ACS).

      Workspace ONE envoie cette URL à votre fournisseur en vue d'une authentification unique.

      ID d'application Entrez l'ID qui identifie le tenant du fournisseur de services à Workspace ONE. Workspace ONE envoie l'assertion SAML à l'ID.

      Certains fournisseurs de services utilisent l'URL SSO.

      Format du nom d'utilisateur Sélectionnez le format requis par les fournisseurs de services pour le format d'objet SAML.
      Valeur du nom d'utilisateur Saisissez la valeur d'ID de nom que Workspace ONE envoie dans la déclaration d'objet de l'assertion SAML.

      Cette valeur est la valeur de la zone de texte de profil par défaut d'un nom d'utilisateur défini auprès d'un fournisseur de services d'application.

    2. Ajoutez des valeurs à Paramètres de l'application pour permettre à l'application de démarrer.
    3. Si vous souhaitez un meilleur contrôle de la messagerie dans les processus SSO avec Workspace ONE, ajoutez Propriétés avancées pour WSFED 1.2.
      Paramètre Description
      Vérification des informations d'identification Sélectionnez la méthode de vérification des informations d'identification.
      Algorithme de signature Sélectionnez l'algorithme de signature qui correspond à l'algorithme de résumé.

      Si votre fournisseur de service prend en charge l'algorithme SHA256, sélectionnez cet algorithme.

      Algorithme de résumé Sélectionnez l'algorithme de résumé qui correspond à l'algorithme de signature.

      Si votre fournisseur de service prend en charge l'algorithme SHA256, sélectionnez cet algorithme.

      Heure d'assertion Saisissez la durée (en secondes) de validité de l'assertion Workspace ONE envoyée au fournisseur de service pour authentification.
      Mappage des attributs personnalisés Si le fournisseur de service autorise les attributs personnalisés autres que la connexion SSO, ajoutez-les.
    4. Attribuez des stratégies pour sécuriser la connexion aux ressources d'application avec Stratégies d'accès.
      Paramètre Description
      Politique d'accès Sélectionnez une politique que Workspace ONE doit utiliser pour contrôler l'authentification et l'accès des utilisateurs.

      La politique d'accès par défaut est disponible si vous ne disposez pas de politique d'accès personnalisée.

      Vous pouvez configurer ces politiques dans UEM Console.

      Ouvrir dans VMware Browser Workspace ONE doit ouvrir l'application dans VMware Browser.

      Si vous utilisez VMware Browser, l'ouverture d'applications SaaS dans ce navigateur renforce la sécurité. Cette action conserve l'accès dans les ressources internes.

      Approbation de licence requise Exigez des approbations avant l'installation et l'activation d'une licence par l'application.
      • Tarification des licences – Sélectionnez le modèle de tarification pour acheter des licences pour l'application SaaS.
      • Type de licence – Sélectionnez le modèle d'utilisateur pour les licences (utilisateurs nommés ou utilisateurs simultanés).
      • Coût par licence – Saisissez le prix par licence.
      • Nombre de licences – Saisissez le nombre de licences achetées pour l'application SaaS.

      Configurez les approbations correspondantes dans la section Paramètres des applications SaaS.

  4. Ajoutez des Politiques d'accès client pour les clients Office 365. Une stratégie d'accès client permet à Workspace ONE Access de gérer les informations d'identification de l'interface utilisateur du client Office 365 collectés pour l'authentification. Cela concerne par exemple les clients VMware Boxer et Microsoft Outlook. Cliquez sur Ajouter une règle de politique et configurez les paramètres.
    Paramètres Description
    Si le client de l'utilisateur est Sélectionnez un client Office 365 disponible.
    Et si la plage de réseau d'un utilisateur est Sélectionnez la plage de réseau configurée lors du traitement des plages de réseau.
    Et si le type de terminal de l'utilisateur est Sélectionnez la plateforme de terminal autorisée pour l'accès.
    Et si l'utilisateur appartient au(x) groupe(s) Sélectionnez les groupes d'utilisateur autorisés à accéder au contenu en fonction des critères de cette politique.

    Si vous ne sélectionnez aucun groupe, la politique s'applique à tous les utilisateurs.

    Et si le protocole de messagerie du client est Sélectionnez le protocole autorisé pour le client Office 365.
    Effectuez cette action Autorisez ou refusez l'accès aux applications Office 365.
  5. Affichez le récapitulatif des applications SaaS et placez-le dans le processus d'attribution.

Configurer l'adaptateur de provisionnement pour les applications Office 365

Le provisionnement permet la gestion automatique des utilisateurs d'une application depuis un emplacement unique. Grâce aux adaptateurs de provisionnement, les applications Web peuvent récupérer des informations spécifiques à partir du service Workspace ONE UEM si nécessaire. Si le provisionnement est activé pour une application Web et si vous affectez un utilisateur à l'application dans le service Workspace ONE UEM, celui-ci est provisionné dans l'application Web. Le service Workspace ONE UEM inclut actuellement des adaptateurs de provisionnement pour Microsoft Office 365.Le service Workspace ONE UEM inclut actuellement des adaptateurs de provisionnement pour Microsoft Office 365. Suivez les étapes ci-dessous pour configurer l'adaptateur de provisionnement pour Office 365.
  1. Accédez à Ressources > Applications > SaaS et sélectionnez Nouveau.
  2. Dans l'onglet Définition, recherchez Office 365. Renseignez l'onglet Définition, puis cliquez sur Suivant.
  3. Renseignez les zones de texte de l'onglet Configuration.
  4. Activez Configurer le provisionnement. Par défaut, la configuration du provisionnement est désactivée. Lorsque vous sélectionnez Configurer le provisionnement, les onglets Provisionnement, Provisionnement d'utilisateur, Provisionnement de groupe sont ajoutés à la zone de navigation de gauche.
  5. Ajoutez des Politiques d'accès client pour les clients Office 365.
  6. Dans l'onglet Provisionnement, sélectionnez Activer le provisionnement et saisissez les informations suivantes.
    Paramètre Description
    Domaine Office 365 Saisissez le nom de domaine Office 365. Par exemple, exemple.com. Les utilisateurs sont provisionnés dans ce domaine.
    ID client de l'application Saisissez l'ID AppPrincipalId obtenu lors de la création de l'utilisateur principal du service.
    Clé secrète du client de l'application Saisissez le mot de passe créé pour l'utilisateur principal du service.
  7. Par défaut, l'option Provisionner avec une licence est désactivée. Lorsque vous sélectionnez Provisionner avec une licence, vous pouvez entrer les informations suivantes.
    Paramètre Description
    ID du SKU Entrez les informations du SKU.
    Supprimer la licence à l'annulation du provisionnement Sélectionnez cette option si vous souhaitez supprimer la licence lors de l'annulation du provisionnement de l'application Office 365.
  8. Pour vérifier que le tenant Office 365 est accessible, sélectionnez Tester la connexion.
  9. Sélectionnez Suivant.
  10. Dans l'onglet Provisionnement d'utilisateur, sélectionnez les attributs avec lesquels provisionner des utilisateurs dans Office 365. Assurez-vous que les attributs Active Directory requis suivants sont configurés sur l'un des noms d'attribut requis sur la page Attributs de l'utilisateur.
    • L'attribut Pseudonyme de messagerie doit être unique dans le répertoire et ne peut pas contenir de caractères spéciaux. Mappez l'attribut Pseudonyme de messagerie au nom d'utilisateur. Une fois le mappage effectué, ne modifiez pas le pseudonyme de messagerie.
    • L'attribut objectGUID est un attribut personnalisé qui doit tout d'abord être ajouté à la liste d'attributs utilisateur. ObjectGUID est mappé à l'attribut GUID.
    • Sélectionnez Ajouter une valeur mappée si vous souhaitez ajouter un nom d'attribut et une valeur.
    Note :
    l'UPN (nom principal de l'utilisateur) est généré automatiquement. La valeur mappée n'est pas visible. L'adaptateur de provisionnement ajoute le domaine Office 365 à la valeur d'attribut mailNickname (user.userName) pour créer l'UPN. L'UPN prend alors la forme suivante : nom d'utilisateur+@+O365_nomdomaine. Par exemple, jdow@office365exemple.com
  11. Sélectionnez Suivant.
  12. L'écran Provisionnement de groupe vous permet d'exécuter la tâche Provisionnement de groupe. Un groupe provisionné dans Office 365 est provisionné en tant que groupe de sécurité. Les membres du groupe sont provisionnés en tant qu'utilisateurs s'ils n'existent pas dans le tenant Office 365. Le groupe n'est affecté à aucune ressource lorsqu'il est provisionné. Si vous souhaitez affecter le groupe à des ressources, créez-le, puis affectez-lui des ressources. Cliquez sur Ajouter un groupe et suivez les étapes ci-dessous.
    1. Dans la zone de texte Sélectionner un groupe, recherchez le groupe à provisionner dans Office 365.
    2. Dans la zone de texte Pseudonyme de messagerie, entrez un nom pour ce groupe. Le pseudonyme est utilisé comme un alias. Il ne peut pas contenir de caractères spéciaux.
    3. Cliquez sur Enregistrer.
    Vous pouvez annuler le provisionnement d'un groupe dans l'application Office 365. Le groupe de sécurité est supprimé du tenant Office 365. Les utilisateurs du groupe ne sont pas supprimés. Pour annuler le provisionnement d'un groupe, sélectionnez le groupe, puis sélectionnez Annuler le provisionnement.
  13. Sélectionnez Suivant pour afficher l'onglet Résumé.
  14. Sélectionnez Enregistrer pour enregistrer les configurations ou Enregistrer et attribuer pour déployer Office 365 aux utilisateurs et aux groupes configurés à partir de votre système Active Directory.