Partage via


Attribuer des stratégies dans Microsoft Intune

Lorsque vous créez une stratégie Intune, elle inclut tous les paramètres que vous avez ajoutés et configurés dans la stratégie. Lorsque la stratégie est prête à être déployée, l’étape suivante consiste à « attribuer » la stratégie à vos groupes d’utilisateurs ou d’appareils. Lorsque la stratégie est attribuée, les utilisateurs et appareils reçoivent votre stratégie et les paramètres que vous avez entrés sont appliqués.

Dans Intune, vous pouvez créer et attribuer les stratégies suivantes :

  • Stratégies de protection des applications
  • Stratégies de configuration des applications
  • Stratégies de conformité
  • Stratégies d’accès conditionnel
  • Profils de configuration d’appareil
  • Stratégies d’inscription

Cet article vous montre comment attribuer une stratégie, inclut des informations sur l’utilisation des balises d’étendue, décrit quand attribuer des stratégies à des groupes d’utilisateurs ou des groupes d’appareils, et bien plus encore.

Cette fonctionnalité s’applique à :

  • Android
  • iOS/iPadOS
  • macOS
  • Linux
  • Windows

Avant de commencer

  • Vérifiez que vous disposez du rôle approprié qui peut attribuer des stratégies et des profils. Pour plus d’informations, consultez Contrôle d'accès en fonction du rôle (RBAC) avec Microsoft Intune.

  • Envisagez d’utiliser Microsoft Copilot dans Intune. Vous trouverez ci-dessous certains des avantages :

    • Lorsque vous créez une stratégie et configurez des paramètres, Copilot fournit plus d’informations sur chaque paramètre, il peut recommander une valeur et rechercher des conflits potentiels.
    • Lorsque vous attribuez une stratégie, Copilot peut vous indiquer les groupes auxquels la stratégie est attribuée et vous aider à comprendre l’effet de la stratégie.

    Pour plus d’informations, consultez Microsoft Copilot dans Intune.

Attribuer une stratégie à des utilisateurs ou des groupes

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Gérer la> configuration des appareils. Tous les profils sont répertoriés.

  3. Sélectionnez le profil que vous souhaitez attribuer >Propriétés>Devoirs>Modifier:

    Par exemple, pour attribuer un profil de configuration d’appareil :

    1. Accédez à Appareils>Gérer la configuration> des appareils. Tous les profils sont répertoriés.

    2. Sélectionnez la stratégie que vous souhaitez attribuer >Propriétés>Devoirs>Modifier:

      Capture d’écran montrant comment sélectionner des devoirs pour déployer le profil sur des utilisateurs et des groupes dans Microsoft Intune.

  4. Sous Groupes inclus ou Groupes exclus, choisissez Ajouter des groupes pour sélectionner un ou plusieurs groupes Microsoft Entra. Si vous envisagez de déployer la stratégie à grande échelle sur tous les appareils applicables, sélectionnez Ajouter tous les utilisateurs ou Ajouter tous les appareils.

    Notes

    Si vous sélectionnez « Tous les appareils » et « Tous les utilisateurs », l’option permettant d’ajouter des groupes Microsoft Entra supplémentaires est désactivée.

  5. Sélectionnez Vérifier + enregistrer. Cette étape n’attribue pas votre stratégie.

  6. Sélectionnez Enregistrer. Lorsque vous enregistrez, votre stratégie est attribuée. Vos groupes recevront vos paramètres de stratégie lorsque les appareils seront enregistrés auprès du service Intune.

Fonctionnalités d’attribution que vous devez connaître et utiliser

Groupes d’utilisateurs et groupes d’appareils

De nombreux utilisateurs demandent quand utiliser des groupes d’utilisateurs et quand utiliser des groupes d’appareils. La réponse dépend de votre objectif. Voici quelques conseils pour vous aider à démarrer.

Groupes d'appareils

Si vous souhaitez appliquer des paramètres sur un appareil, quelle que soit la personne qui est connectée, attribuez vos stratégies à un groupe d’appareils. Les paramètres appliqués aux groupes d’appareils sont toujours associés à l’appareil, et non à l’utilisateur.

Par exemple :

  • Les groupes d’appareils sont utiles pour gérer les appareils qui n’ont pas d’utilisateur dédié. Par exemple, vous avez des appareils qui impriment des tickets, analysent l’inventaire, sont partagés par des employés lors de différents postes, sont attribués à un entrepôt spécifique, et ainsi de suite. Placez ces appareils dans un groupe d’appareils et attribuez vos stratégies à ce groupe d’appareils.

  • Vous créez un profil d’interface de configuration du microprogramme d’appareil (DFCI) Intune qui met à jour les paramètres dans le BIOS. Par exemple, vous configurez cette stratégie pour désactiver l’appareil photo ou verrouiller les options de démarrage pour empêcher les utilisateurs de démarrer un autre système d’exploitation. Cette stratégie est un bon scénario à attribuer à un groupe d’appareils.

  • Sur certains appareils Windows spécifiques, vous devez toujours contrôler certains paramètres de Microsoft Edge, quel que soit l’utilisateur qui utilise l’appareil. Par exemple, vous souhaitez bloquer tous les téléchargements, limiter tous les cookies à la session de navigation active et supprimer l’historique de navigation. Pour ce scénario, placez ces appareils Windows spécifiques dans un groupe d’appareils. Ensuite, créez un Modèle d’administration dans Intune, ajoutez ces paramètres d’appareil, puis attribuez cette stratégie au groupe d’appareils.

Pour résumer, utilisez des groupes d’appareils lorsque vous ne vous souciez pas de la personne qui est connectée à l’appareil ou de si quelqu’un se connecte. Vous souhaitez que vos paramètres se trouvent toujours sur l’appareil.

Groupes d’utilisateurs

Les paramètres de stratégie appliqués aux groupes d’utilisateurs sont toujours associés à l’utilisateur et s’appliquent à l’utilisateur lorsqu’il se connecte à ses nombreux appareils. Il est normal que les utilisateurs disposent de nombreux appareils, par exemple un Surface Pro pour le travail et un appareil iOS/iPadOS personnel. Et il est normal qu’une personne accède à la messagerie et aux autres ressources de l’organisation à partir de ces appareils.

Si un utilisateur possède plusieurs appareils sur la même plateforme, vous pouvez utiliser des filtres sur l’affectation de groupe. Par exemple, un utilisateur dispose d’un appareil iOS/iPadOS personnel et d’un iOS/iPadOS appartenant à une organisation. Lorsque vous affectez une stratégie pour cet utilisateur, vous pouvez utiliser des filtres pour cibler uniquement l’appareil appartenant à l’organisation.

Respectez cette règle générale : si une fonctionnalité appartient à un utilisateur, par exemple des certificats de messagerie ou d’utilisateur, affectez-la à des groupes d’utilisateurs.

Par exemple :

  • Vous souhaitez placer une icône de support technique pour tous les utilisateurs sur tous leurs appareils. Dans ce scénario, placez ces utilisateurs dans un groupe d’utilisateurs et attribuez votre stratégie d’icône de support technique à ce groupe d’utilisateurs.

  • Un utilisateur reçoit un nouvel appareil appartenant à l’organisation. L’utilisateur se connecte à l’appareil avec son compte de domaine. L’appareil est automatiquement inscrit dans Microsoft Entra ID et géré automatiquement par Intune. Cette stratégie est un bon scénario à attribuer à un groupe d’utilisateurs.

  • Chaque fois qu’un utilisateur se connecte à un appareil, vous souhaitez contrôler les fonctionnalités dans des applications, comme OneDrive ou Office. Dans ce scénario, attribuez vos paramètres de stratégie OneDrive ou Office à un groupe d’utilisateurs.

    Par exemple, vous souhaitez bloquer les contrôles ActiveX non fiables dans vos applications Office. Vous pouvez créer un modèle d’administration dans Intune, configurer ce paramètre, puis attribuer cette stratégie à un groupe d’utilisateurs.

Pour résumer, utilisez des groupes d’utilisateurs lorsque vous souhaitez que vos paramètres et règles soient toujours utilisés par l’utilisateur, quel que soit l’appareil qu’il utilise.

Multi-session Azure Virtual Desktop

Vous pouvez utiliser Intune pour gérer les bureaux à distance Windows multi-session créés avec Azure Virtual Desktop, comme vous gérez n’importe quel autre appareil client Windows partagé. Lorsque vous attribuez des stratégies à des groupes d’utilisateurs ou à des appareils, Azure Virtual Desktop multi-session est un scénario spécial. Avec les machines virtuelles, les CSP d’appareil doivent cibler des groupes d’appareils. Les CSP d’utilisateurs doivent cibler des groupes d’utilisateurs.

Pour plus d’informations, consultez Utiliser Azure Virtual Desktop multi-session avec Microsoft Intune.

Les CSP Windows et leur comportement

Les paramètres de stratégie pour les appareils Windows sont basés sur les Fournisseurs de services de configuration (CSP). Ces paramètres sont mappés aux clés ou fichiers de Registre sur les appareils.

Voici ce que vous devez savoir sur les CSP Windows :

  • Intune expose ces CSP pour configurer ces paramètres et les attribuer à vos appareils Windows. Ces paramètres sont configurables à l’aide de modèles intégrés et du catalogue de paramètres. Dans le catalogue de paramètres, vous verrez que certains paramètres s’appliquent à l’étendue utilisateur et que certains paramètres s’appliquent à l’étendue de l’appareil.

    Pour plus d’informations sur la façon dont les paramètres d’étendue utilisateur et d’étendue de l’appareil sont appliqués aux appareils Windows, accédez à Catalogue de paramètres : paramètres d’étendue de l’appareil et d’étendue utilisateur.

  • Lorsqu'une stratégie est supprimée ou n'est plus attribuée à un appareil, différents événements peuvent se produire, en fonction des paramètres de la stratégie. Chaque CSP peut gérer la suppression de la stratégie différemment.

    Par exemple, un paramètre peut conserver la valeur existante, et ne pas revenir à une valeur par défaut. Chaque CSP contrôle le comportement. Pour obtenir une liste des fournisseurs de services de configuration (CSP) Windows, consultez la référence Fournisseur de services de configuration (CSP) .

    Pour attribuer à un paramètre une valeur différente, créez une nouvelle stratégie, configurez le paramètre sur Non configuré, puis attribuez la stratégie. Une fois cette stratégie appliquée à l'appareil, les utilisateurs pourront attribuer au paramètre la valeur de leur choix.

  • Lors de la configuration de ces paramètres, nous suggérons de les déployer sur un groupe pilote. Pour plus de conseils sur le déploiement d'Intune, consultez Créer un plan de déploiement.

Exclure des groupes d’une attribution de stratégie

Les stratégies de configuration d’appareils Intune permettent d’inclure des groupes dans l’attribution de stratégies et d’en exclure.

En tant que meilleure pratique :

  • Créer et attribuer de stratégies spécifiques à vos groupes d'utilisateurs. Utiliser des filtres pour inclure ou exclure des appareils de ces utilisateurs.
  • Créer et attribuer différentes stratégies spécifiques à vos groupes d’appareils.

Pour plus d’informations sur les groupes, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.

Principes d’inclusion et d’exclusion de groupes

Lorsque vous attribuez vos stratégies et profils, appliquez les principes généraux suivants :

  • Considérez les Groupes inclus ou les Groupes exclus comme point de départ pour les utilisateurs et les appareils qui recevront vos stratégies. Le groupe Microsoft Entra est le groupe limiteur. Utilisez donc l’étendue de groupe la plus petite possible. Utilisez des filtres pour limiter ou affiner votre affectation de stratégie.

  • Les groupes Microsoft Entra affectés, également appelés groupes statiques, peuvent être ajoutés à des groupes inclus ou à des groupes exclus.

    En règle générale, vous attribuez statiquement des appareils dans un groupe Microsoft Entra s’ils sont pré-inscrits dans l’ID Microsoft Entra, comme avec Windows Autopilot. Ou, si vous souhaitez combiner des appareils pour un déploiement ponctuel et ad hoc. Dans le cas contraire, il peut être difficile d’attribuer de manière statique des appareils dans un groupe Microsoft Entra.

  • Des groupes d’utilisateurs Microsoft Entra dynamiques peuvent être ajoutés à des groupes inclus ou à des groupes exclus.

  • Les groupes exclus peuvent être des groupes avec des utilisateurs ou des groupes avec des appareils.

  • Les groupes d’appareils Microsoft Entra dynamiques peuvent être ajoutés aux groupes inclus. Toutefois, il peut y avoir une latence lors du remplissage de l’appartenance de groupe dynamique. Dans les scénarios dépendants de la latence, utilisez des filtres pour cibler des appareils spécifiques et affectez vos stratégies à des groupes d’utilisateurs.

    Par exemple, vous souhaitez que les stratégies soient affectées aux appareils dès qu’elles s’inscrivent. Dans cette situation sensible à la latence, créez un filtre pour cibler les appareils que vous souhaitez, puis affectez la stratégie avec ce filtre aux groupes d’utilisateurs. N’affectez pas aux groupes d’appareils.

    Dans un scénario sans utilisateur, créez un filtre pour cibler les appareils que vous souhaitez, puis attribuez la stratégie avec le filtre au groupe « Tous les appareils ».

  • Évitez d’ajouter des groupes d’appareils Microsoft Entra dynamiques à des groupes exclus. La latence dans le calcul de groupe d’appareils dynamiques au moment de l’inscription peut entraîner des résultats indésirables. Par exemple, les stratégies et les applications indésirables peuvent être déployées avant que l’appartenance au groupe exclu ne soit remplie.

Matrice de prise en charge

Utilisez la matrice suivante pour comprendre la prise en charge de l’exclusion de groupes :

  • ✅:Supporté
  • ❌ : Non pris en charge
  • ❕ : Partiellement pris en charge

Capture d’écran montrant les options prises en charge pour inclure ou exclure des groupes d’une attribution de stratégie.

Scénario Support
1 ❕ Partiellement pris en charge

L’attribution de stratégies à un groupe d’appareils dynamique tout en excluant un autre groupe d’appareils dynamique est prise en charge. Toutefois, cela n’est pas recommandé dans les scénarios qui sont sensibles à la latence. Tout délai dans exclure le calcul d’appartenance au groupe peut entraîner l’offre de stratégies aux appareils. Dans ce scénario, nous vous recommandons d’utiliser des filtres au lieu de groupes d’appareils dynamiques pour exclure des appareils.

Par exemple, vous disposez d’une stratégie d’appareil attribuée à Tous les appareils. Vous avez ensuite une exigence que les nouveaux appareils marketing ne reçoivent pas cette stratégie. Vous créez donc un groupe d’appareils dynamique appelé Appareils marketing basé sur la propriété enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Dans la stratégie, vous ajoutez le groupe dynamique Appareils marketing en tant que groupe exclu.

Un nouvel appareil marketing est inscrit dans Intune pour la première fois et un nouvel objet d’appareil Microsoft Entra est créé. Le processus de regroupement dynamique place l’appareil dans le groupe Appareils marketing avec un calcul éventuellement retardé. En même temps, l’appareil est inscrit dans Intune et commence à recevoir toutes les stratégies applicables. La stratégie Intune peut être déployée avant que l’appareil ne soit placé dans le groupe d’exclusion. Ce comportement entraîne le déploiement d’une stratégie (ou d’une application) indésirable sur le groupe Appareils marketing.

Par conséquent, il n’est pas recommandé d’utiliser des groupes d’appareils dynamiques pour les exclusions dans les scénarios sensibles à la latence. Utilisez plutôt des filtres.
2 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’appareils dynamiques tout en excluant un groupe d’appareils statiques est prise en charge.
3 ❌Non-prise en charge

L’attribution d’une stratégie à un groupe d’appareils dynamique tout en excluant les groupes d’utilisateurs (à la fois dynamiques et statiques) n’est pas prise en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus.
4 ❌ Non-prise en charge

L’affectation d’une stratégie à un groupe d’appareils dynamiques et l’exclusion de groupes d’utilisateurs (à la fois dynamiques et statiques) ne sont pas prises en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus.
5 ❕ Prise en charge

L’attribution d’une stratégie à un groupe d’appareils statiques tout en excluant un groupe d’appareils dynamiques est prise en charge. Toutefois, cela n’est pas recommandé dans les scénarios qui sont sensibles à la latence. Tout délai dans exclure le calcul d’appartenance au groupe peut entraîner l’offre de stratégies aux appareils. Dans ce scénario, nous vous recommandons d’utiliser des filtres au lieu de groupes d’appareils dynamiques pour exclure des appareils.
6 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’appareils statiques et l’exclusion d’un autre groupe d’appareils statiques est prise en charge.
7 ❌ Non-prise en charge

L’affectation d’une stratégie à un groupe d’appareils statiques et l’exclusion de groupes d’utilisateurs (à la fois dynamiques et statiques) ne sont pas prises en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus.
8 ❌ Non-prise en charge

L’affectation d’une stratégie à un groupe d’appareils statiques et l’exclusion de groupes d’utilisateurs (à la fois dynamiques et statiques) ne sont pas prises en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus.
9 ❌ Non-prise en charge

L’affectation d’une stratégie à un groupe d’utilisateurs dynamiques et l’exclusion de groupes d’appareils (à la fois dynamiques et statiques) ne sont pas prises en charge.
10 ❌ Non-prise en charge

L’affectation d’une stratégie à un groupe d’utilisateurs dynamiques et l’exclusion de groupes d’appareils (à la fois dynamiques et statiques) ne sont pas prises en charge.
11 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge.
12 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge.
13 ❌Non-prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant les groupes d’appareils (à la fois dynamiques et statiques) n’est pas prise en charge.
14 ❌Non-prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant les groupes d’appareils (à la fois dynamiques et statiques) n’est pas prise en charge.
15 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge.
16 ✅ Prise en charge

L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge.

Consultez Surveiller les profils d’appareil pour obtenir des conseils sur la surveillance de vos stratégies et sur les appareils exécutant vos stratégies.