0%

📌 Progression restaurée, tu reprends où tu t'es arrêté(e).

← Accueil
🛡️ Microsoft Intune · Conformité des appareils

Compliance Policies Zéro accès sans conformité

Admin IT / RSSI : Maîtrisez les stratégies de conformité, les états d'appareil et le lien avec l'Accès Conditionnel

⏱ 25–30 min 📊 Intermédiaire 🎯 intune.microsoft.com 🔢 Lab 5 / 15
🕐 Contenu vérifié le 21 juin 2026 documentation officielle Microsoft
0
Contexte : Le RSSI hausse le ton
📧

L'alerte du RSSI

Audit interne : 12 postes sur 80 n'ont pas BitLocker actif. 3 iPhones ont détecté une tentative de jailbreak. Délai : 15 jours pour corriger.

⚠️

Le risque

Sans conformité vérifiée, n'importe quel appareil non sécurisé peut accéder aux emails et aux fichiers SharePoint de l'entreprise.

🎯

L'objectif

Créer des Compliance Policies Windows 11 et iOS, configurer les actions en cas de non-conformité, puis bloquer l'accès via Conditional Access.

🔑

Le principe

Une Compliance Policy évalue l'état de l'appareil. Conditional Access utilise cet état pour autoriser ou bloquer l'accès aux ressources.

⚠️ Par défaut dans Intune, les appareils sans politique de conformité assignée sont considérés comme conformes. Pour sécuriser ton environnement, change ce paramètre dans Endpoint Security → Device compliance → Compliance policy settings.
1
Les 5 états de conformité Intune

Clique sur un état pour comprendre quand et comment il se déclenche.

Conforme
Toutes les règles de la politique sont respectées
Non conforme
Au moins une règle n'est pas respectée, période de grâce expirée
En période de grâce
Non conforme mais délai de remédiation en cours
🔲
Non évalué
Aucune politique assignée ou première évaluation non encore effectuée
Inconnu / Erreur
Appareil hors ligne depuis trop longtemps ou erreur de rapport

✅ Conforme (Compliant)

L'appareil satisfait toutes les règles définies dans la politique de conformité.

Conséquences : Accès aux ressources autorisé si Conditional Access est configuré. L'état est visible dans la console Intune sous Appareils → Conformité.
Durée de validité : L'appareil doit reporter son état dans les 30 jours (configurable, 1–120 jours). Au-delà → NonCompliant.

❌ Non conforme (NonCompliant)

Au moins une règle est violée et la période de grâce (si configurée) est expirée.

Conséquences : Si Conditional Access exige la conformité → accès bloqué aux emails, SharePoint, Teams. Les actions configurées (email, verrou, retrait) se déclenchent selon leur calendrier.
Quarantaine : Pour certains paramètres (BitLocker sur Windows), le système n'enforce pas automatiquement la correction → l'appareil est "mis en quarantaine" : Conditional Access peut bloquer l'accès même si l'utilisateur n'a pas agi.

⏳ En période de grâce (InGracePeriod)

L'appareil est non conforme mais bénéficie d'un délai de remédiation configuré dans la politique.

Délai : Configurable de 0 à 365 jours. 0 = non-conformité immédiate. Recommandation terrain : 3 jours pour les nouveaux appareils, 1 jour pour les violations critiques.
Important : Pendant la période de grâce, l'accès n'est pas bloqué. C'est le délai laissé à l'utilisateur pour corriger le problème avant les sanctions.

🔲 Non évalué (Not Evaluated)

Aucune politique de conformité n'est assignée à cet appareil ou à l'utilisateur.

Par défaut : Les appareils sans politique sont considérés conformes dans Intune. Pense à changer ce paramètre tenant-wide pour renforcer la sécurité.
Chemin : Endpoint Security → Device compliance → Compliance policy settings → "Mark devices with no compliance policy as: Not compliant"

❓ Inconnu / Erreur

L'appareil n'a pas reporté son état dans la période de validité (défaut 30 jours), ou une erreur s'est produite lors de l'évaluation.

Causes courantes : Appareil hors ligne prolongé, problème réseau, Intune Management Extension défaillante, appareil en cours d'onboarding.
2
Créer une Compliance Policy Windows 11

Suis les étapes pour créer la politique CP-Argos-Windows11-Securite dans le portail Intune.

Étape 1 : Choisir la plateforme

Dans intune.microsoft.com → Endpoint Security → Device compliance → Créer une politique

🖥️
Windows 10 et ultérieur
Sélectionné ✓
📱
iOS/iPadOS
🤖
Android Enterprise
🍎
macOS
💡 Chaque plateforme nécessite une politique distincte. Les paramètres disponibles varient selon la plateforme : Windows offre les options les plus complètes (Device Health Attestation, Defender, TPM…).
Étape 1 / 5

Étape 2 : Santé de l'appareil (Device Health)

Ces paramètres utilisent le service Device Health Attestation (DHA) vérification au démarrage via TPM.

Require BitLocker
Chiffrement du lecteur OS via TPM · État mesuré au démarrage (reboot requis)
Désactivé
Require Secure Boot
Démarrage en état de confiance usine · Requiert TPM 1.2 ou 2.0 compatible
Désactivé
Require Code Integrity
Vérifie l'intégrité des drivers et fichiers système au chargement mémoire
Désactivé
⚠️ BitLocker via DHA ne détecte l'état qu'au démarrage. Si BitLocker s'active sans redémarrage, l'appareil reste "NonCompliant" jusqu'au prochain reboot.
Étape 2 / 5

Étape 3 : Sécurité système

Pare-feu Windows (Firewall)
Require : Pare-feu activé, utilisateur ne peut pas le désactiver
Désactivé
Module TPM (Trusted Platform Module)
Require : Version TPM > 0 requise · Non conforme si aucun TPM présent
Désactivé
Antivirus
Require : Solution enregistrée dans Windows Security Center (Defender, Symantec…)
Désactivé
Microsoft Defender Antimalware
Require : Service Defender actif + protection en temps réel activée
Désactivé
Signatures Defender à jour
Require : Mises à jour des définitions antivirus obligatoires
Désactivé
Étape 3 / 5

Étape 4 : Version OS minimale

Format requis : major.minor.build.revision (ex : 11.0.22621.0 pour Windows 11 22H2)

Windows 11 (21H2 minimum)
💡 Pour Windows 11 : utilise le préfixe 10.0. (ex : 10.0.22621.0 = Windows 11 22H2). La commande ver dans cmd affiche la version exacte.
Versions Windows 11 courantes :
10.0.22000.0 : Win 11 21H2
10.0.22621.0 : Win 11 22H2
10.0.22631.0 : Win 11 23H2
10.0.26100.0 : Win 11 24H2
Étape 4 / 5

Étape 5 : Affectation et résumé

1 Groupe inclus → SG-Intune-Windows-All (tous les postes Argos)
2 Groupe exclu → SG-BreakGlass-Accounts (comptes de secours)
3 Vérifier → Créer
Étape 5 / 5
3
Paramètres Windows 11 vs iOS : Comparatif
🖥️

Windows 11

🔐
BitLocker (Device Health Attestation)
Require → état via TPM au boot
🔐
Secure Boot
Require → TPM 1.2 / 2.0 requis
🛡️
Antivirus (Windows Security Center)
Require → actif + à jour
🔥
Pare-feu Windows
Require → actif sur tous profils
🔧
Module TPM
Require → version > 0
📋
Version OS minimale
10.0.22000.0 (Win 11 21H2+)
🎯
Score risque Defender for Endpoint
Clear / Low / Medium / High
📱

iOS / iPadOS

🔒
Code d'accès (PIN/passcode)
Require → Remediated (iOS force)
🔐
Chiffrement des données
Require → Quarantined (iOS 8+)
🚫
Jailbreak détecté
Block → Quarantined immédiat
📋
Version OS minimale
ex : 17.0 (format major.minor)
📧
Profil email managé
Require → Quarantined si absent
🛡️
Niveau de menace Mobile Threat Defense
Secured / Low / Medium / High
⏱️
Délai max avant verrou écran
ex : 15 minutes maximum
💡 Remediated vs Quarantined : "Remediated" = l'OS corrige automatiquement (ex : iOS force le PIN). "Quarantined" = l'OS ne corrige pas : Conditional Access bloque l'accès et Company Portal notifie l'utilisateur.
4
Actions en cas de non-conformité

Configure le calendrier des actions déclenchées si un appareil devient non conforme. Fais glisser les curseurs pour ajuster les délais.

📋
Marquer comme non conforme Jour 0 : Immédiat
Action obligatoire et non configurable. L'appareil est immédiatement marqué NonCompliant dans Intune. Conditional Access peut agir dès cet instant.
📧
Envoyer un email de notification Jour 1
Email automatique à l'utilisateur avec le nom de l'appareil, les règles violées et les étapes de correction. Nécessite un template de notification configuré au préalable.
Envoyé après 1 jour(s) de non-conformité
🔒
Verrouiller l'appareil à distance Jour 7
Verrouillage distant de l'appareil. L'utilisateur doit saisir son PIN/mot de passe pour déverrouiller. Recommandé pour les appareils corporate non corrigés.
Déclenché après 7 jour(s)
🗑️
Marquer pour retrait (Retire) Jour 30
L'appareil est marqué pour retrait (retire list). Un admin doit confirmer l'action manuellement. Le retrait supprime toutes les données d'entreprise et désinscrits l'appareil.
Déclenché après 30 jour(s)
⚠️ Le blocage d'accès via Conditional Access n'est pas une action de non-conformité : c'est une règle CA distincte ("Require device to be marked as compliant"). Elle agit dès le marquage NonCompliant, indépendamment du calendrier des actions.
5
Simulateur d'états + lien Conditional Access
Évaluer les appareils Argos :
ARGOS-PC-001
j.martin · Windows 11 23H2
⏳ En attente
ARGOS-PC-012
s.durand · Windows 11 22H2
⏳ En attente
ARGOS-PC-034
m.leblanc · Windows 10
⏳ En attente
iPhone-Sophie
s.durand · iOS 17.4
⏳ En attente
iPhone-Paul
p.garcia · iOS 16.3
⏳ En attente
ARGOS-PC-007
a.morin · Windows 11 24H2
⏳ En attente

Flux Compliance → Conditional Access

💡 Dans Conditional Access (Entra ID) → Nouvelle politique → Contrôles d'accès → Accorder → "Exiger que l'appareil soit marqué comme conforme". Sans cette règle CA, la Compliance Policy seule ne bloque rien.
6
Quiz de validation
⭐ Fondamentale Par défaut dans Intune, comment sont traités les appareils auxquels aucune Compliance Policy n'est assignée ?
⭐ Fondamentale Qu'est-ce que l'état "InGracePeriod" dans Intune ?
⭐ Fondamentale Pourquoi un appareil avec BitLocker activé peut-il rester "NonCompliant" dans Intune après activation du chiffrement ?
⭐ Fondamentale Pour bloquer l'accès aux ressources M365 des appareils non conformes, quelle configuration est indispensable EN PLUS de la Compliance Policy ?
⭐⭐ Avancée Un appareil iOS a son code d'accès (PIN) requis dans la Compliance Policy mais l'utilisateur n'en a pas. Comment iOS et Intune gèrent-ils ce cas ?
⭐⭐ Avancée Le paramètre tenant-wide "Compliance status validity period" est laissé à sa valeur par défaut (30 jours). Un appareil portable n'a pas été utilisé pendant 35 jours. Quel est son état dans Intune ?

Sources : Compliance Policies Overview · Windows compliance settings · Actions for noncompliance

Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.