Pour les travailleurs de terrain (Frontline Workers), chaque seconde compte. Une politique de sécurité conçue pour les ordinateurs de bureau (ex: MFA quotidien) peut devenir un obstacle majeur sur mobile et freiner l'adoption de votre intranet Jint.
L'application Jint Mobile permet d'appliquer des règles de sécurité spécifiques via Microsoft Entra ID (Accès Conditionnel), distinctes de celles du reste de l'entreprise.
1. Quelle stratégie choisir ?
Voici les deux configurations recommandées pour adapter la sécurité aux contraintes du terrain.
| Critère | Option A : Session Longue (Recommandée) | Option B : Fluidité Maximale (Permissive) |
|---|---|---|
| Philosophie | "Set & Forget" : Sécurité forte à l'entrée, tranquillité ensuite. | "Zero Friction" : Priorité absolue à la rapidité d'accès. |
| Expérience Utilisateur | L'utilisateur fait son MFA une seule fois. Il n'est plus sollicité pendant 90 jours. | L'utilisateur saisit uniquement son mot de passe (ou SSO). Aucun MFA n'est demandé. |
| Niveau de Sécurité | ⭐⭐⭐ Élevé (Standard Entra ID). | ⭐ Faible (Sauf si restriction par adresse IP). |
| Public Cible | La majorité des collaborateurs (BYOD ou téléphones pro). | Intérimaires, terminaux partagés, zones sans réseau mobile pour SMS. |
Prérequis Techniques
Accès Administrateur au portail Microsoft Entra.
Licence Azure AD Premium P1 (incluse dans Business Premium, E3, E5).
L'application MODA doit être visible dans vos "Applications d'entreprise".
2. Comment configurer l'Option A : "Session Longue"
Le meilleur équilibre : on sécurise l'accès, mais on ne harcèle pas l'utilisateur.
Allez dans Entra ID > Protection > Accès Conditionnel.
Créez une Nouvelle stratégie nommée "Jint Mobile - Session 90 jours".
Utilisateurs : Sélectionnez vos groupes cibles (ex: Tous les utilisateurs ou Frontline).
Ressources cibles (Cloud Apps) : Sélectionnez uniquement l'application MODA.
Conditions > Plateformes d'appareils : Sélectionnez Android et iOS.
Contrôles d'accès (Grant) : Cochez "Exiger l'authentification multifacteur".
Session (L'étape clé) :
Cochez Fréquence de connexion (Sign-in frequency).
Définissez la valeur sur 90 Jours (ou 30 selon votre politique).
Cochez Persistance de la session de navigation.
Activez la stratégie.
3. Comment configurer l'Option B : "Fluidité Maximale"
Cette option nécessite de contourner vos règles de sécurité globales.
Étape 1 : Créer l'exception (Exclure le mobile)
Vous devez empêcher votre règle de sécurité principale (celle qui impose le MFA à tout le monde) de s'appliquer à l'app mobile.
Ouvrez votre stratégie globale existante (ex: "Global MFA Policy").
Dans Ressources cibles > onglet Exclure.
Cochez "Des applications cloud sélectionnées" et choisissez MODA.
Sauvegardez. L'application n'est désormais plus soumise au MFA obligatoire.
Étape 2 : Sécuriser intelligemment (Optionnel mais conseillé)
Pour éviter de laisser l'application "ouverte aux quatre vents", créez une règle spécifique :
Créez une stratégie "Jint Mobile - Trusted Locations".
Ciblez l'application MODA.
Dans Conditions > Emplacements :
Inclure : Tous les emplacements.
Exclure : Tous les emplacements approuvés (vos adresses IP de bureaux/usines).
Dans Contrôles d'accès : Bloquer l'accès.
Résultat : L'application fonctionne sans MFA tant que l'utilisateur est connecté au Wi-Fi de l'entreprise. Si le téléphone sort de l'usine, l'accès est coupé.
FAQ
L'utilisateur doit-il réinstaller l'application pour que cela fonctionne ?
Non. Les nouvelles règles d'accès s'appliqueront à la prochaine expiration de leur token (généralement sous une heure) ou à leur prochaine connexion.
Puis-je appliquer l'Option B uniquement à mes intérimaires ?
Oui. L'Accès Conditionnel permet de cibler des groupes de sécurité spécifiques. Vous pouvez avoir l'Option A pour les managers et l'Option B pour les opérateurs.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.