Créer et attribuer des niveaux d'accès personnalisés à l'aide de données Microsoft Intune

Ce document explique comment créer des niveaux d'accès personnalisés basés sur les appareils et utilisant les données Intune, et comment attribuer ces niveaux d'accès à vos ressources organisationnelles.

Avant de commencer

Créer des niveaux d'accès personnalisés

Vous pouvez créer des niveaux d'accès avec une ou plusieurs conditions. Si vous souhaitez que les appareils des utilisateurs remplissent plusieurs conditions (opérateur logique ET sur plusieurs conditions), créez un niveau d'accès contenant toutes les conditions requises.

Pour créer un niveau d'accès personnalisé à l'aide des données fournies par Intune, procédez comme suit : suivantes:

  1. Accédez à la page Access Context Manager dans la console Google Cloud.

    Accéder à Access Context Manager
  2. Si vous y êtes invité, sélectionnez votre organisation.
  3. Sur la page Access Context Manager, cliquez sur Nouveau.
  4. Dans le volet Nouveau niveau d'accès, saisissez les informations suivantes :
    1. Dans le champ Titre du niveau d'accès, saisissez un titre de niveau d'accès. Ce titre doit contenir au maximum 50 caractères, commencer par une lettre et ne peut contenir que des chiffres, des lettres, des traits de soulignement et des espaces.
    2. Dans la section Créer des conditions en, sélectionnez Mode avancé.
    3. Dans la section Conditions, saisissez les expressions pour votre niveau d'accès personnalisé. La condition doit correspondre à une valeur booléenne unique.

      Pour trouver les champs Intune disponibles pour votre expression CEL, vous pouvez consulter les données Intune collectées pour vos appareils.

      Exemples

      L'expression CEL suivante crée une règle qui n'autorise l'accès qu'à partir Appareils gérés par Intune et conformes:

      device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"

      L'expression CEL suivante crée une règle qui n'autorise l'accès qu'à partir des appareils que Intune a synchronisés au cours des trois derniers jours. Le champ lastSyncDateTime est fourni par Intune.

      request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")
            

      Pour obtenir des exemples et des informations supplémentaires sur la compatibilité avec le langage CEL (Common Expression Language) et les niveaux d'accès personnalisés, consultez la section Spécification de niveaux d'accès personnalisés.

    4. Cliquez sur Enregistrer.

Attribuer des niveaux d'accès personnalisés

Vous pouvez attribuer des niveaux d'accès personnalisés afin de contrôler l'accès aux applications. Ces applications incluent les applications Google Workspace et celles protégées par Identity-Aware Proxy sur Google Cloud (également appelées "ressources sécurisées par IAP"). Vous pouvez attribuer un ou plusieurs niveaux d'accès aux applications. Si vous sélectionnez plusieurs niveaux d'accès, les appareils des utilisateurs doivent seulement remplir les conditions de l'un des niveaux d'accès pour pouvoir accéder à l'application.

Attribuer des niveaux d'accès personnalisés aux applications Google Workspace

Attribuer des niveaux d'accès aux applications Google Workspace depuis la console d'administration Google Workspace:

  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité > Accès contextuel.

    Accéder à la page "Accès contextuel"
  2. Cliquez sur Attribuer des niveaux d'accès.

    Une liste d'applications s'affiche.

  3. Dans la section Unités organisationnelles, sélectionnez votre unité organisationnelle ou votre groupe.
  4. Sélectionnez l'application à laquelle vous souhaitez attribuer un niveau d'accès, puis cliquez sur Attribuer.

    attribution de niveau d&#39;accès

    La liste de tous les niveaux d'accès s'affiche. Les niveaux d'accès sont une ressource partagée Google Workspace, Cloud Identity et Google Cloud peut voir des niveaux d'accès que vous n'avez pas créés dans la liste.

  5. Sélectionnez un ou plusieurs niveaux d'accès pour l'application.
  6. Pour appliquer les niveaux d'accès aux utilisateurs sur des applications de bureau et mobiles (et dans le navigateur), sélectionnez Appliquer aux applications de bureau et mobiles Google. Cette case à cocher ne s'applique qu'aux applications intégrées.
  7. Cliquez sur Enregistrer. Le nom du niveau d'accès s'affiche dans la liste des niveaux d'accès attribués à côté de l'application.

Attribuer des niveaux d'accès personnalisés aux ressources sécurisées par IAP

Pour attribuer des niveaux d'accès aux ressources sécurisées par IAP depuis la console Google Cloud, suivez les instructions de la section Appliquer un niveau d'accès aux ressources sécurisées par IAP.

Étape suivante