Activer Microsoft Intune sur les appareils Android

L’application mobile Emburse Enterprise prend en charge Microsoft Intune pour la gestion des applications mobiles (Mobile Application Management, MAM) sur les appareils Android afin de protéger les données d’entreprise dans l’application.

Une fois l’utilisateur connecté, Intune détermine la manière dont les stratégies sont appliquées en fonction de l’état de l’appareil, des capacités de l’application et de la configuration de l’organisation.

Ce que fait Intune

Les politiques Intune de votre entreprise peuvent automatiquement :

  • empêcher de copier ou coller des données sensibles en dehors de l’application ;
  • chiffrer ou stocker en toute sécurité les données de l’entreprise sur votre appareil ;
  • exiger une authentification gérée par l’entreprise pour l’accès à l’application.

Les politiques varient selon l’entreprise et sont contrôlées par son équipe informatique.

Expérience de l’utilisateur final

Les utilisateurs finaux suivent le même flux de base, quel que soit le type d’appareil.

Connexion

1. Ouvrez l’application mobile Emburse Enterprise et sélectionnez Log In (Connexion).

Les étapes qui suivent dépendent de la configuration de votre appareil :

  • Appareils gérés : Votre adresse e-mail professionnelle peut être pré-renseignée sur l’écran de connexion. C’est le cas lorsqu’une stratégie de configuration d’application Intune transmet la valeur IntuneMAMUPN.
  • Appareils BYOD (non gérés) : Vous serez invité(e) à saisir manuellement votre adresse e-mail professionnelle.

2. Connectez-vous en utilisant vos identifiants Microsoft Entra ID.

Après l’authentification, Intune évalue si les politiques de protection des applications s’appliquent.

Toute invite d’inscription ou de protection est contrôlée par Intune et le système d’exploitation, et non par l’application Emburse Enterprise.

Exigence relative au Portail de l’entreprise

L’application Portail d’entreprise doit être installée sur tous les appareils. Les exigences varient selon le type d’appareil :

  • Appareils gérés : installée et connectée.
  • Appareils BYOD (non gérés) : installée uniquement. L’application agit en tant que courtier ; ne vous connectez pas.

Exigences concernant la version de l’application

La prise en charge des différents cas d’usage liés aux appareils dépend de la version de l’application Android Emburse Enterprise installée sur l’appareil.

Capacité Version minimale de l’application
Phase 1 : Appareils gérés (Intune MAM avec inscription d’appareil)
 		 v2.4.2 – 18 décembre 2025
Phase 2 : Appareils gérés et appareils BYOD (Intune MAM sans inscription d’appareil) v2.5.0

Ce qui a changé dans la phase 2 : Intégration simplifiée de Microsoft

La phase 1 utilisait deux applications d’entreprise Microsoft Entra ID distinctes :

  • Une pour l’authentification de l’utilisateur (via une connexion fédérée)
  • Une pour la protection de l’application Intune

Cela signifie que les utilisateurs voyaient plusieurs invites de connexion Microsoft et que les administrateurs informatiques devaient gérer les autorisations pour deux enregistrements d’application distincts.

L’application Emburse Enterprise version 2.5.0 et ultérieure consolide cela en une seule application d’entreprise Microsoft Entra ID.

Paramétrage Valeur
ID de l’application (client) de125cab-0189-4abc-9034-0ec98e554ccb

Les utilisateurs s’authentifient désormais une seule fois auprès de Microsoft, et cette même authentification est utilisée à la fois pour l’accès à l’application et pour la protection Intune.

De plus, la phase 2 utilise la bibliothèque d’authentification native (MSAL) de Microsoft. Cela signifie :

  • Les utilisateurs se connectent via une expérience de connexion Microsoft native.
  • Les politiques d’accès conditionnel qui nécessitent Microsoft Edge pour la connexion Web ne s’appliquent pas à ce flux.

Ce que cela signifie pour les administrateurs informatiques

Zone Phase 1 (v2.4.2+) Phase 2 (v2.5.0+)
Inscriptions à l’application Entra ID Deux applications d’entreprise Une application d’entreprise
Expérience de connexion de l’utilisateur Peut voir plusieurs invites Microsoft Connexion unique Microsoft

Configuration de l’administrateur informatique

Pour activer Microsoft Intune MAM pour l’application Emburse Enterprise Android, procédez comme suit.

1. Activez Microsoft Intune dans Emburse

Avant que les politiques Intune puissent être appliquées, Intune doit être activé pour votre organisation dans Emburse.

  • Ce paramètre détermine si l’application Emburse Enterprise tente de s’inscrire sur Intune lors de la connexion.
  • Si Intune n’est pas activé dans Emburse, les utilisateurs se connecteront sans protection de l’application Intune, même si Intune est configuré dans Microsoft Intune.
Contactez l’assistance Emburse pour activer Intune pour votre organisation.

Mise à niveau de la phase 1 à la phase 2

Scénario Action requise
Appareils gérés  Aucune — les utilisateurs recevront automatiquement le flux de la phase 2 lors de la mise à jour vers la v2.5.0
Appareils BYOD (non gérés) Contactez l’assistance Emburse pour activer l’assistance BYOD

2. Ajoutez l’application mobile Emburse Enterprise à Intune

  • Connectez Intune au Google Play géré.
  • Sélectionnez l’application Emburse Enterprise.
  • Synchronisez l’application dans Intune.
    • Vous devrez peut-être actualiser la page Web pour que l’application s’affiche dans Intune.
  • Attribuez l’application aux utilisateurs ou aux groupes d’appareils appropriés.

3. Accordez les autorisations d’identification Microsoft Entra requises

Les autorisations d’identification Microsoft Entra suivantes sont requises pour Intune MAM :

  • User.Read
  • DeviceManagementManagedApps.ReadWrite.All

Pour ces autorisations, un administrateur doit accorder le consentement de l’administrateur à l’échelle du locataire.

Utilisez ce lien pour accorder automatiquement le consentement de l’administrateur pour les autorisations requises décrites ci-dessous.

Si ces autorisations ne sont pas accordées, les utilisateurs verront un message d’erreur « Admin approval required » (Approbation de l’admin. requise) lors de la connexion si l’autorisation User.Read n’est pas accordée, et une boîte de dialogue d’erreur « Authentication Required » (Authentification requise) si l’autorisation DeviceManagementManagedApps.ReadWrite.All n’est pas accordée.

4. Configurez les politiques de protection de l’application

  • Créer des politiques de protection de l’application pour :
    • Les appareils gérés
    • Les appareils non gérés (BYOD)
  • Configurez les paramètres de protection des données en fonction des exigences de l’organisation.
  • Affectez des politiques aux mêmes groupes d’utilisateurs que l’application.
L’application Emburse Enterprise applique déjà une exigence de code d’accès ou d’authentification biométrique au moment de l’ouverture de l’application. Si vous configurez une exigence de verrouillage d’écran dans votre politique de protection de l’application Intune, les utilisateurs devront répondre aux deux invites : d’abord le code PIN Intune, puis le code d’accès intégré à l’application ou l’authentification biométrique.

5. Configurez la configuration de l’application (appareils gérés uniquement)

Pour les appareils Android gérés, une politique de configuration d’application améliore l’expérience de connexion.

  • Plateforme : Android Enterprise
  • Application cible : Emburse Enterprise
  • Paire clé/valeur requise :
    • Clé : IntuneMAMUPN
    • Valeur : {{UserPrincipalName}}

Lorsqu’elle est configurée, cette valeur pré-renseigne l’adresse e-mail de l’utilisateur lors de la connexion.

6. Mettez à jour les politiques d’accès conditionnel (le cas échéant)

Si votre organisation utilise des politiques d’accès conditionnel Microsoft Entra ID, vous devrez peut-être inclure l’application Emburse Enterprise dans ces politiques.

Le contrôle d’octroi « Exiger une stratégie de protection des applications » dans l’accès conditionnel n’est pas pris en charge pour l’application Emburse Enterprise. En effet, l’application ne figure actuellement pas sur la liste des applications client gérées par la politique de Microsoft. Toutefois, cela n’affecte pas la protection Intune : l’application Emburse Enterprise inscrit automatiquement les utilisateurs à Intune MAM dès leur connexion, garantissant ainsi l’application des politiques de protection des applications sans nécessiter ce paramétrage d’accès conditionnel.

7. Vérifiez votre configuration

Après avoir effectué les étapes de configuration ci-dessus, vérifiez que la protection de l’application Intune fonctionne correctement.

Option A : Vérifiez le statut d’inscription dans Intune

  1. Accédez au Centre d’administration Microsoft Intune.
  2. Accédez à Apps > Monitor > App Protection Status (Application Surveiller Statut de protection des applications).
  3. Confirmez que l’application Emburse Enterprise (com.emburse.mobile) semble protégée.

Option B : Testez avec une exigence de code PIN

  1. Dans votre politique de protection des applications, sous Access Requirements (Exigences d’accès), activez Require PIN for Access (Exiger un code PIN pour l’accès).
  2. Demandez à un utilisateur de se connecter à l’application Emburse Enterprise.
  3. Si l’utilisateur voit une invite de code PIN Intune après la connexion, la politique de protection des applications est appliquée correctement.
L’invite PIN est gérée par Intune et non par l’application Emburse Enterprise. Si les utilisateurs ne voient pas l’invite, vérifiez que la politique de protection des applications est attribuée aux groupes d’utilisateurs appropriés et que les appareils des utilisateurs répondent aux exigences de la politique.

Cet article vous a-t-il été utile ?