Procédure pas à pas - Créer une stratégie de catalogue de paramètres Intune et comparer avec ADMX local

Remarque

Cette procédure pas à pas a été créée en tant qu’atelier technique et mise à jour pour s’appliquer au catalogue de paramètres Intune. Il a plus de prérequis que les procédures pas à pas classiques, car il compare l’utilisation et la configuration des stratégies de catalogue de paramètres dans Intune et les modèles d’administration stratégie de groupe locaux (ADMX).

La stratégie de groupe et les modèles ADMX incluent des paramètres que vous pouvez configurer sur les appareils Windows. Ces paramètres sont utilisés et gérés par les fournisseurs mobile Gestion des appareils (GPM), comme Microsoft Intune, pour configurer les fonctionnalités et les paramètres sur les appareils Windows. Par exemple, vous pouvez activer idées de conception dans PowerPoint, définir une page d’accueil dans Microsoft Edge, etc.

Ces paramètres sont intégrés au catalogue de paramètres Microsoft Intune. Dans un profil de catalogue de paramètres, vous configurez les paramètres que vous souhaitez inclure, puis vous attribuez ce profil à vos appareils.

Dans cette procédure pas à pas, vous allez :

• Découvrez le centre d’administration Microsoft Intune.
• Créer des groupes d’utilisateurs et des groupes d’appareils.
• Comparez les paramètres dans Intune avec les paramètres ADMX locaux.
• Créez différentes stratégies de catalogue de paramètres et configurez les paramètres qui ciblent les différents groupes.

À la fin de ce labo, vous pouvez utiliser Intune pour gérer vos utilisateurs et déployer des stratégies de catalogue de paramètres.

Cette fonctionnalité s’applique à :

• Windows
• Microsoft Edge version 77 et ultérieure

Conseil

• Pour obtenir une vue d’ensemble du catalogue de paramètres Intune, accédez à Utiliser le catalogue de paramètres pour configurer les paramètres.
• Pour plus d’informations sur les stratégies ADMX, consultez Présentation des stratégies ADMX.

Configuration requise

• Un abonnement Microsoft 365 E3 ou E5, qui inclut Intune et Microsoft Entra ID P1 ou P2. Si vous n’avez pas d’abonnement E3 ou E5, essayez-le gratuitement.

  Pour plus d’informations sur ce que vous obtenez avec les différentes licences Microsoft 365, consultez Transformer votre entreprise avec Microsoft 365.

• Microsoft Intune est configuré en tant qu’autorité GPM Intune. Pour plus d’informations, consultez Définir l’autorité de gestion des appareils mobiles.

  

• Sur un contrôleur de domaine Active Directory local :

  1. Copiez les modèles Office et Microsoft Edge suivants dans le Magasin central (dossier sysvol) :

     • Modèles d’administration Office
     • Fichier de stratégie Microsoft Edge

  2. Créez une stratégie de groupe pour envoyer ces modèles à un ordinateur Administrateur Windows Entreprise dans le même domaine que le contrôleur de domaine. Dans cette procédure pas à pas :

     • La stratégie de groupe que nous avons créée avec ces modèles est nommée OfficeandEdge. Vous verrez ce nom dans les images.
     • L’ordinateur Administrateur Windows Entreprise que nous utilisons est nommé ordinateur Administration.

     Dans la plupart des organisations, un administrateur de domaine a deux comptes :

     • Un compte professionnel de domaine classique
     • Un autre compte d’administrateur de domaine utilisé uniquement pour les tâches d’administrateur de domaine, comme la stratégie de groupe

     L’objectif de cet ordinateur Administration est que les administrateurs se connectent avec leur compte d’administrateur de domaine et accèdent aux outils conçus pour gérer la stratégie de groupe.

• Sur cet ordinateur Administration :

  • Connectez-vous avec un compte d’administrateur de domaine.

  • Ajoutez les outils de gestion rsat : stratégie de groupe :

    1. Ouvrez l’application >ParamètresSystème>Ajouter une fonctionnalité> facultativeAfficher les fonctionnalités.

    2. Sélectionnez RSAT : stratégie de groupe Outils> de gestionAjouter.

       Attendez que Windows ajoute la fonctionnalité. Une fois l’opération terminée, elle s’affiche finalement dans l’application Outils d’administration Windows .

       

  • Vérifiez que vous disposez d’un accès à Internet et de droits d’administrateur sur l’abonnement Microsoft 365, qui inclut le centre d’administration Intune.

Ouvrir le Centre d’administration Intune

1. Ouvrez un navigateur web basé sur Chromium, comme Microsoft Edge.

2. Accédez au Centre d’administration Microsoft Intune. Connectez-vous avec le compte suivant :

   Utilisateur : entrez le compte d’administrateur de votre abonnement client Microsoft 365. Mot de passe : entrez son mot de passe.

Le centre d’administration Intune est axé sur la gestion des appareils et inclut des services Azure, tels que Microsoft Entra ID. Vous ne voyez peut-être pas le Microsoft Entra ID et la personnalisation Azure, mais vous les utilisez.

Vous pouvez également ouvrir le Centre d’administration Intune à partir de la Centre d’administration Microsoft 365 :

1. Accédez à https://admin.microsoft.com.

2. Connectez-vous avec le compte administrateur de votre abonnement client Microsoft 365.

3. Sélectionnez Afficher tout>Administration centres>Microsoft Intune. Le centre d’administration Intune s’ouvre.

   

Créer des groupes et ajouter des utilisateurs

Les stratégies locales sont appliquées dans l’ordre LSDOU : local, site, domaine et unité d’organisation (UO). Dans cette hiérarchie, les stratégies d’unité d’organisation remplacent les stratégies locales, les stratégies de domaine remplacent les stratégies de site, etc.

Dans Intune, les stratégies sont appliquées aux utilisateurs et aux groupes que vous créez. Il n’existe pas de hiérarchie. Par exemple :

• Si deux stratégies mettent à jour le même paramètre, ce dernier s’affiche en tant que conflit.
• Si deux stratégies de conformité sont en conflit, la stratégie la plus restrictive s’applique.
• Si deux profils de configuration sont en conflit, le paramètre n’est pas appliqué.

Pour plus d’informations, consultez Questions courantes, problèmes et résolutions avec les stratégies et les profils d’appareil.

Dans les étapes suivantes, vous allez créer des groupes de sécurité et ajouter des utilisateurs à ces groupes. Vous pouvez ajouter un utilisateur à plusieurs groupes. Par exemple, il est normal qu’un utilisateur dispose de plusieurs appareils, comme un Surface Pro pour le travail et un appareil mobile Android pour les appareils personnels. Et il est normal qu’une personne accède aux ressources de l’organisation à partir de ces appareils multiples.

1. Dans le centre d’administration Intune, sélectionnez Groupes>Nouveau groupe.

2. Saisissez les paramètres suivants :

   • Type de groupe : Sélectionnez Sécurité.
   • Nom du groupe : entrez Tous les appareils des étudiants Windows.
   • Type d’appartenance : sélectionnez Affecté.

3. Sélectionnez Membres, puis ajoutez des appareils.

   L’ajout d’appareils est facultatif. L’objectif est de vous entraîner à créer des groupes et à savoir comment ajouter des appareils. Si vous utilisez cette procédure pas à pas dans un environnement de production, sachez ce que vous faites.

4. Sélectionnez>Créez pour enregistrer vos modifications.

   Vous ne voyez pas votre groupe ? Sélectionnez Actualiser.

5. Sélectionnez Nouveau groupe, puis entrez les paramètres suivants :

   • Type de groupe : Sélectionnez Sécurité.

   • Nom du groupe : entrez Tous les appareils Windows.

   • Type d’appartenance : sélectionnez Appareil dynamique.

   • Membres de l’appareil dynamique : sélectionnez Ajouter une requête dynamique et configurez votre requête :

     • Propriété : sélectionnez deviceOSType.
     • Opérateur : sélectionnez Égal à.
     • Valeur : entrez Windows.

     1. Sélectionnez Ajouter une expression. Votre expression est affichée dans la syntaxe de règle :

        

        Lorsque les utilisateurs ou les appareils répondent aux critères que vous entrez, ils sont automatiquement ajoutés aux groupes dynamiques. Dans cet exemple, les appareils sont automatiquement ajoutés à ce groupe lorsque le système d’exploitation est Windows. Si vous utilisez cette procédure pas à pas dans un environnement de production, soyez prudent. L’objectif est de vous entraîner à créer des groupes dynamiques.

     2. Sauvegarder>Créez pour enregistrer vos modifications.

6. Créez le groupe Tous les enseignants avec les paramètres suivants :

   • Type de groupe : Sélectionnez Sécurité.

   • Nom du groupe : entrez Tous les enseignants.

   • Type d’appartenance : sélectionnez Utilisateur dynamique.

   • Membres utilisateur dynamiques : sélectionnez Ajouter une requête dynamique et configurez votre requête :

     • Propriété : sélectionnez le service.

     • Opérateur : sélectionnez Égal à.

     • Valeur : entrez Enseignants.

       1. Sélectionnez Ajouter une expression. Votre expression est affichée dans la syntaxe de règle.

          Lorsque les utilisateurs ou les appareils répondent aux critères que vous entrez, ils sont automatiquement ajoutés aux groupes dynamiques. Dans cet exemple, les utilisateurs sont automatiquement ajoutés à ce groupe lorsque leur service est Enseignants. Vous pouvez entrer le service et d’autres propriétés lorsque des utilisateurs sont ajoutés à votre organization. Si vous utilisez cette procédure pas à pas dans un environnement de production, soyez prudent. L’objectif est de vous entraîner à créer des groupes dynamiques.

       2. Sauvegarder>Créez pour enregistrer vos modifications.

Points de discussion

• Les groupes dynamiques sont une fonctionnalité dans certaines licences Microsoft Entra ID. Si vous ne disposez pas de la licence Microsoft Entra ID appropriée, vous êtes autorisé uniquement à créer des groupes attribués. Pour plus d’informations sur les groupes dynamiques, accédez à :

  • Comprendre et gérer le traitement dynamique des groupes dans Microsoft Entra ID
  • Gérer les règles pour les groupes d’appartenance dynamique dans Microsoft Entra ID

• Votre licence Microsoft Entra ID peut inclure d’autres services couramment utilisés lors de la gestion des applications et des appareils, notamment l’authentification multifacteur (MFA) et l’accès conditionnel.

• De nombreux administrateurs demandent quand utiliser des groupes d’utilisateurs et quand utiliser des groupes d’appareils. Pour obtenir des conseils, accédez à Groupes d’utilisateurs et groupes d’appareils.

• N’oubliez pas qu’un utilisateur peut appartenir à plusieurs groupes. Considérez certains des autres groupes d’utilisateurs et d’appareils dynamiques que vous pouvez créer, comme :

  • Tous les étudiants
  • Tous les appareils Android
  • Tous les appareils iOS/iPadOS
  • Marketing
  • Ressources humaines
  • Tous les employés de Charlotte
  • Tous les employés de Redmond
  • Administrateurs informatiques de la côte Ouest
  • Administrateurs informatiques de la côte Est

Les utilisateurs et les groupes créés sont également visibles dans les Centre d’administration Microsoft 365 et centre d’administration Microsoft Entra. Vous pouvez créer et gérer des groupes dans toutes ces zones pour votre abonnement client. Si votre objectif est la gestion des appareils, utilisez le centre d’administration Microsoft Intune.

Vérifier l’appartenance au groupe

1. Dans le centre d’administration Intune, sélectionnez Utilisateurs>Tous les utilisateurs> sélectionnent le nom d’un utilisateur existant.
2. Passez en revue certaines des informations que vous pouvez ajouter ou modifier. Par exemple, examinez les propriétés que vous pouvez configurer, comme le poste, le service, la ville, l’emplacement du bureau, etc. Vous pouvez utiliser ces propriétés dans vos requêtes dynamiques lorsque vous créez des groupes dynamiques.
3. Sélectionnez Groupes pour afficher l’appartenance de cet utilisateur. Vous pouvez également supprimer l’utilisateur d’un groupe.
4. Sélectionnez quelques-unes des autres options pour afficher plus d’informations et ce que vous pouvez faire. Par exemple, examinez la licence affectée, les appareils de l’utilisateur, etc.

Qu’est-ce que je viens de faire ?

Dans le centre d’administration Intune, vous avez créé de nouveaux groupes de sécurité et ajouté des utilisateurs et des appareils existants à ces groupes. Nous utilisons ces groupes dans les étapes ultérieures de ce didacticiel.

Créer une stratégie de catalogue de paramètres dans Intune

Dans cette section, nous créons une stratégie de catalogue de paramètres dans Intune, examinons certains paramètres dans la gestion locale des stratégie de groupe et comparons le même paramètre dans Intune. L’objectif est d’afficher un paramètre dans la stratégie de groupe et d’afficher le même paramètre dans Intune.

1. Dans le centre d’administration Intune, sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>stratégie.

2. Entrez les propriétés suivantes :

   • Plateforme : sélectionnez Windows 10 et ultérieur.
   • Type de profil : sélectionnez Catalogue de paramètres.

3. Sélectionnez Créer.

4. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, entrez Appareils des étudiants Windows.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

5. Sélectionnez Suivant.

6. Dans Paramètres de configuration, sélectionnez Ajouter des paramètres. Vous voyez une liste de tous les paramètres.

   

   Vous pouvez également filtrer les paramètres qui s’appliquent aux appareils et les paramètres qui s’appliquent aux utilisateurs, et rechercher les paramètres :

   

7. Dans la recherche, entrez télécharger. Tous les paramètres de stratégie avec « download » dans leur nom sont filtrés et affichés dans la liste :

   

8. Accédez à la catégorie >Microsoft Edge, sélectionnez Paramètres SmartScreen. Notez que les paramètres de stratégie SmartScreen avec « download » dans leur nom sont filtrés et affichés :

   

Comparer une stratégie dans stratégie de groupe Management et Intune

Dans cette section, nous affichons une stratégie dans Intune et sa stratégie de correspondance dans stratégie de groupe Éditeur de gestion.

1. Sur l’ordinateur Administration, ouvrez l’application Gestion des stratégie de groupe.

   Cette application est installée avec RSAT : stratégie de groupe Management Tools, qui est une fonctionnalité facultative que vous ajoutez sur Windows. Conditions préalables (dans cet article) répertorie les étapes à suivre pour l’installer.

2. Développez Domaines> , sélectionnez votre domaine. Par exemple, sélectionnez contoso.net.

3. Cliquez avec le bouton droit sur Modifier lastratégie> OfficeandEdge. L’application Éditeur de gestion stratégie de groupe s’ouvre.

   

   OfficeandEdge est une stratégie de groupe qui inclut les modèles ADMX Office et Microsoft Edge. Cette stratégie est décrite dans conditions préalables (dans cet article).

4. Développez Stratégies de configuration>> de l’ordinateurModèles>d’administration Panneau de configuration>Personnalisation. Notez les paramètres disponibles.

   

   Double-cliquez sur Empêcher l’activation de l’appareil photo de l’écran de verrouillage et consultez les options disponibles :

   

5. Dans le centre d’administration Intune, accédez à la stratégie de catalogue des paramètres des appareils des étudiants Windows.

6. Sélectionnez Paramètres> de configurationModifier>Ajouter des paramètres. Recherchez Personnalisation et sélectionnez la Administrative templates\Panneau de configuration\Personalization catégorie. Notez les paramètres disponibles :

   

   Ce chemin d’accès et les paramètres disponibles sont similaires à ceux que vous voyez dans stratégie de groupe éditeur de gestion. Si vous sélectionnez le paramètre Empêcher l’activation de la caméra de l’écran de verrouillage, vous voyez des options similaires disponibles dans stratégie de groupe Éditeur de gestion.

   

Comparer une stratégie utilisateur dans stratégie de groupe Management et Intune

1. Dans la stratégie de catalogue des paramètres des appareils des étudiants Windows, sélectionnez Paramètres> de configurationModifier>Ajouter des paramètres. Recherchez inprivate browsing. Notez les options de paramètres. Le (User) paramètre s’applique aux configurations utilisateur. L’autre paramètre s’applique aux configurations d’appareil.

   

2. Dans stratégie de groupe Éditeur de gestion, recherchez les paramètres utilisateur et appareil correspondants :

   • Appareil : développez Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsInternet Explorer>Confidentialité>Désactiver la navigation InPrivate.
   • Utilisateur : développezStratégies> de configuration> utilisateurModèles> d’administrationComposants> WindowsInternet Explorer>Confidentialité>Désactiver la navigation InPrivate.

   

Conseil

Pour afficher les stratégies Windows intégrées, vous pouvez également utiliser GPEdit (Modifier l’application de stratégie de groupe ).

Qu’est-ce que je viens de faire ?

Vous avez créé une stratégie de catalogue de paramètres dans Intune. Dans cette stratégie, nous avons examiné certains paramètres et examiné les mêmes paramètres ADMX dans la gestion stratégie de groupe locale.

Créer une stratégie de catalogue de paramètres OneDrive

Dans cette section, vous allez créer une stratégie de catalogue de paramètres OneDrive dans Intune pour contrôler certains paramètres. Ces paramètres spécifiques sont choisis, car ils sont couramment utilisés par les organisations.

1. Créez une autre stratégie Intune (Gestion des appareils>>Configuration>Créer une>nouvelle stratégie).

2. Entrez les propriétés suivantes :

   • Plateforme : sélectionnez Windows 10 et ultérieur.
   • Type de profil : sélectionnez Catalogue de paramètres.

3. Sélectionnez Créer.

4. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez les stratégies OneDrive pour tous les utilisateurs Windows.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

5. Sélectionnez Suivant.

6. Dans Paramètres de configuration, sélectionnez Ajouter des paramètres. Dans la liste des catégories, recherchez ou accédez à OneDrive. Sélectionnez les paramètres suivants, puis fermez le sélecteur de paramètres :

   • Empêcher les utilisateurs de synchroniser des comptes OneDrive personnels (utilisateur)
   • Connecter silencieusement les utilisateurs de l’application de synchronisation OneDrive avec leurs informations d’identification Windows
   • Activer les Fichiers à la demande OneDrive

7. Configurez ces paramètres :

   Paramètre	Valeur
   Empêcher les utilisateurs de synchroniser des comptes OneDrive personnels (utilisateur)	Activé
   Connecter silencieusement les utilisateurs à l’application de synchronisation OneDrive avec leurs informations d’identification Windows	Activé
   Activer les Fichiers à la demande OneDrive	Activé

Vos paramètres ressemblent aux suivants :

Pour plus d’informations sur les paramètres du client OneDrive, consultez Utiliser stratégie de groupe pour contrôler Synchronisation OneDrive paramètres du client.

Affecter votre stratégie

1. Dans votre stratégie, sélectionnez Suivant jusqu’à ce que vous accédiez à Affectations. Choisissez Ajouter des groupes :

2. Une liste d’utilisateurs et de groupes existants s’affiche. Sélectionnez le groupe Tous les appareils Windows que vous avez créé précédemment >Sélectionner.

   Si vous utilisez cette procédure pas à pas dans un environnement de production, envisagez d’ajouter des groupes vides. L’objectif est de vous entraîner à attribuer votre stratégie.

3. Sélectionnez Suivant. Dans Vérifier + créer, sélectionnez Créer pour enregistrer vos modifications.

Dans cette section, vous avez créé des stratégies de catalogue de paramètres et vous les avez affectées à des groupes que vous avez créés.

Meilleures pratiques en matière de stratégie

Lorsque vous créez des stratégies et des profils dans Intune, il existe des recommandations et des meilleures pratiques à prendre en compte. Pour plus d’informations, consultez bonnes pratiques en matière de stratégie et de profil.

Nettoyer les ressources

Lorsque vous n’en avez plus besoin, vous pouvez :

• Supprimez les groupes que vous avez créés :

  • Tous les appareils des étudiants Windows
  • Tous les appareils Windows
  • Tous les enseignants

• Supprimez les stratégies de catalogue de paramètres que vous avez créées :

  • Appareils des étudiants Windows
  • Stratégies OneDrive qui s’appliquent à tous les utilisateurs Windows

Résumé

Dans ce tutoriel, vous vous êtes familiarisé avec le centre d’administration Microsoft Intune, vous avez utilisé le générateur de requêtes pour créer des groupes dynamiques et créé des stratégies de catalogue de paramètres dans Intune pour configurer différents paramètres. Vous avez également comparé l’utilisation de modèles ADMX locaux et dans le cloud avec Intune.