Gérer les versions du système d’exploitation avec Microsoft Intune
Sur les plateformes mobiles et de bureau modernes, le rythme de publication des mises à jour importantes, des correctifs et des nouvelles versions est soutenu. Vous disposez de contrôles pour gérer entièrement les mises à jour et les correctifs sur Windows, mais d’autres plateformes, comme iOS/iPadOS et Android nécessitent la participation de vos utilisateurs finaux au processus. Microsoft Intune offre des fonctionnalités qui vous permettent de structurer la gestion des versions de vos systèmes d’exploitation sur différentes plateformes.
Intune peut ainsi vous aider à gérer ces scénarios courants :
- Déterminer les versions de système d’exploitation présentes sur les appareils des utilisateurs finaux
- Contrôler l’accès aux données organisationnelles sur les appareils pendant que vous validez une nouvelle version de système d’exploitation
- Encourager/exiger la mise à niveau du système d’exploitation des utilisateurs finaux avec la dernière version approuvée par votre organisation
- Gérer le lancement d’une nouvelle version de système d’exploitation à l’échelle de l’organisation
Contrôle de version du système d’exploitation à l’aide des restrictions d’inscription de la gestion des appareils mobiles Intune
Avec les restrictions d’inscription des appareils, vous pouvez empêcher les appareils de s’inscrire dans Intune en fonction de certains attributs d’appareil. L’objectif est de permettre aux utilisateurs d’inscrire uniquement les appareils conformes aux attentes de votre organisation et d’empêcher l’inscription d’appareils qui ne sont pas conformes lorsqu’ils pourraient accéder aux ressources de votre organisation. Vous pouvez créer des stratégies de restriction de plateforme d’appareil d’inscription pour les plateformes suivantes :
- Android
- iOS/iPadOS
- macOS
- Windows
Les stratégies de restriction de plateforme d’appareil pour chaque type de plateforme incluent les versions minimale et maximale autorisées du système d’exploitation, comme illustré dans la capture d’écran suivante d’une stratégie iOS :
Dans la pratique
Les organisations utilisent des restrictions de type d’appareil pour contrôler l’accès aux ressources organisationnelles à l’aide des paramètres suivants :
- Utilisez la version minimale du système d’exploitation pour vous assurer que peut uniquement inscrire les plateformes actuelles et prises en charge dans votre organisation.
- Laissez le système d’exploitation maximal non spécifié (aucune limite) ou définissez-le sur la dernière version que votre organisation a validée pour l’utilisation, afin de laisser le temps pour le test interne des nouvelles versions du système d’exploitation.
Pour plus d’informations, consultez Créer une restriction de plateforme d’appareils.
Rapports sur les versions du système d’exploitation et conformité avec les stratégies de conformité des appareils Intune
Les stratégies de conformité des appareils Intune vous fournissent les outils suivants :
- Spécifiez des règles de conformité qui définissent les configurations requises pour les appareils.
- Affichez les rapports de conformité pour comprendre quels appareils ne sont pas conformes et quels paramètres dans vos stratégies.
- Agir sur les résultats de non-conformité par le biais de stratégies de mise en quarantaine d’appareils et d’accès conditionnel qui empêchent les appareils non conformes d’accéder aux ressources de votre organisation.
Comme les restrictions d’inscription, les stratégies de conformité d’appareil permettent de spécifier les versions minimale et maximale du système d’exploitation. Les stratégies ont également une chronologie de conformité pour offrir à vos utilisateurs une période de grâce pendant laquelle ils doivent se conformer. Les stratégies de conformité des appareils maintiennent les appareils des utilisateurs finaux inscrits en conformité avec les attentes de votre organisation.
Dans la pratique
Les organisations utilisent des stratégies de conformité d’appareil pour les mêmes scénarios que les restrictions d’inscription. Grâce à ces stratégies, les utilisateurs de votre organisation exécutent des versions de système d’exploitation actuelles et validées. Si l’appareil d’un utilisateur final n’est pas conforme, vous pouvez bloquer son accès aux ressources de l’organisation par le biais de l’accès conditionnel jusqu’à ce que la version de son système d’exploitation soit comprise dans la plage autorisée par votre organisation. Les utilisateurs finaux sont avertis qu’ils ne sont pas conformes et ils reçoivent les étapes pour récupérer l’accès.
Pour plus d’informations, consultez Prise en main de la conformité des appareils.
Gestion des versions de système d’exploitation à l’aide de stratégies de protection des applications Intune
Les stratégies de protection des applications Intune et les paramètres d’accès de gestion des applications mobiles (MAM) vous permettent de spécifier la version minimale du système d’exploitation au niveau de la couche application. Vous pouvez ainsi informer vos utilisateurs et les encourager ou les obliger à mettre à jour leur système d’exploitation avec une version minimale spécifiée.
Vous disposez de deux options :
Avertir : cette option Avertir conseille à l’utilisateur final d’effectuer la mise à niveau s’il ouvre une application avec une stratégie de protection des applications ou des paramètres d’accès MAM sur un appareil dont la version du système d’exploitation est antérieure à la version spécifiée. L’accès est autorisé pour l’application et les données de l’organisation.
Bloquer : cette option indique à l’utilisateur final qu’il doit obligatoirement effectuer la mise à niveau quand il ouvre une application avec une stratégie de protection d’application ou des paramètres d’accès MAM sur un appareil dont la version du système d’exploitation est antérieure à la version spécifiée. L’accès n’est pas autorisé pour les données d’application et d’organisation.
Dans la pratique
Les organisations utilisent les paramètres de stratégies de protection des applications pour éduquer les utilisateurs finaux qui ouvrent ou reprennent des applications sur la nécessité de les tenir à jour. Par exemple, pour une version actuelle n, les utilisateurs finaux peuvent recevoir un avertissement s’ils utilisent la version n moins 1 et se voir bloquer l’accès s’ils utilisent la version n moins 2.
Pour plus d’informations, consultez Guide pratique pour créer et attribuer des stratégies de protection des applications.
Gestion du lancement d’une nouvelle version de système d’exploitation
Vous pouvez utiliser les fonctionnalités Intune décrites dans cet article pour vous aider à déplacer les appareils de votre organisation vers une nouvelle version du système d’exploitation dans la chronologie que vous définissez. Les étapes suivantes fournissent un exemple de modèle de déploiement pour migrer vos utilisateurs du système d’exploitation v1 vers le système d’exploitation v2 en sept jours.
- Utilisez des restrictions d’inscription d’appareil pour exiger le système d’exploitation v2 comme version minimale pour inscrire l’appareil. De cette façon, vous êtes certain que les nouveaux appareils des utilisateurs finaux sont conformes au moment de l’inscription.
- Utilisez des stratégies de protection des applications Intune pour avertir les utilisateurs lorsqu’une application protégée s’ouvre ou reprend que le système d’exploitation v2 le plus récent est requis.
- Utilisez des stratégies de conformité des appareils pour exiger que le système d’exploitation v2 soit la version minimale pour qu’un appareil soit conforme. Utilisez Actions en cas de non-conformité afin d’autoriser une période de grâce de sept jours et d’envoyer aux utilisateurs finaux une notification par e-mail avec votre chronologie et vos exigences.
- Ces stratégies peuvent informer les utilisateurs finaux que leurs appareils doivent être mis à jour par e-mail, via le portail d’entreprise Intune et quand l’application est ouverte pour les applications activées avec une stratégie de protection des applications.
- Vous pouvez exécuter un rapport de conformité pour identifier les utilisateurs non conformes.
- Utilisez des stratégies de protection des applications Intune pour bloquer les utilisateurs lorsqu’une application s’ouvre ou reprend si l’appareil n’exécute pas le système d’exploitation v2.
- Utilisez des stratégies de conformité d’appareil pour exiger le système d’exploitation v2 comme version minimale d’un appareil conforme.
- Ces stratégies exigent la mise à jour des appareils pour qu’ils puissent continuer à accéder aux données de l’organisation. Les services protégés sont bloqués s’ils sont utilisés avec l’accès conditionnel aux appareils. Les applications associées à une stratégie de protection des applications sont bloquées quand elles sont ouvertes ou quand elles accèdent aux données de l’organisation.
Prochaines étapes
Utilisez les ressources suivantes pour gérer les versions de système d’exploitation utilisées dans votre organisation :