Affecter des stratégies dans Microsoft Intune
Lorsque vous créez une stratégie Intune, elle inclut tous les paramètres que vous avez ajoutés et configurés dans la stratégie. Lorsque la stratégie est prête à être déployée, l’étape suivante consiste à « affecter » la stratégie à vos groupes d’utilisateurs ou d’appareils. Lorsqu’il est attribué, les utilisateurs et les appareils reçoivent votre stratégie, et les paramètres que vous avez entrés sont appliqués.
Dans Intune, vous pouvez créer et affecter les stratégies suivantes :
- Stratégies de protection des applications
- Stratégies de configuration des applications
- Stratégies de conformité
- Stratégies d’accès conditionnel
- Profils de configuration d’appareil
- Stratégies d’inscription
Cet article vous montre comment attribuer une stratégie, inclut des informations sur l’utilisation des balises d’étendue, décrit quand attribuer des stratégies à des groupes d’utilisateurs ou des groupes d’appareils, et bien plus encore.
Avant de commencer
Assurez-vous que vous disposez du rôle approprié pour attribuer des stratégies et des profils. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Affecter une stratégie à des utilisateurs ou des groupes
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Configuration des appareils>. Tous les profils sont répertoriés.
Sélectionnez le profil que vous souhaitez affecter > aux propriétés>Affectations>Modifier :
Par exemple, pour attribuer un profil de configuration d’appareil :
Accédez àConfigurationdes appareils>. Tous les profils sont répertoriés.
Sélectionnez la stratégie que vous souhaitez affecter > aux propriétés>Affectations>Modifier :
Sous Groupes inclus ou Groupes exclus, choisissez Ajouter des groupes pour sélectionner un ou plusieurs groupes Microsoft Entra. Si vous envisagez de déployer la stratégie à grande échelle sur tous les appareils applicables, sélectionnez Ajouter tous les utilisateurs ou Ajouter tous les appareils.
Remarque
Si vous sélectionnez « Tous les appareils » et « Tous les utilisateurs », l’option permettant d’ajouter des groupes Microsoft Entra supplémentaires est désactivée.
Sélectionnez Vérifier + enregistrer. Cette étape n’affecte pas votre stratégie.
Sélectionnez Enregistrer. Lorsque vous enregistrez, votre stratégie est affectée. Vos groupes recevront vos paramètres de stratégie lorsque les appareils case activée avec le service Intune.
Fonctionnalités d’affectation que vous devez connaître et utiliser
Utilisez filtres pour affecter une stratégie en fonction des règles que vous créez. Vous pouvez créer des filtres pour :
- Stratégies de configuration des applications
- Stratégies de protection des applications
- Affectations d’applications
- Stratégies de conformité
- Profils de configuration d’appareil
Pour plus d’informations, voir :
Les ensembles de stratégies créent un groupe ou une collection d’applications et de stratégies existantes. Lorsque l’ensemble de stratégies est créé, vous pouvez attribuer l’ensemble de stratégies à partir d’un emplacement unique dans le centre d’administration Microsoft Intune.
Pour plus d’informations, consultez Utiliser des ensembles de stratégies pour regrouper des collections d’objets de gestion dans Microsoft Intune.
Les balises d’étendue sont un excellent moyen de filtrer les stratégies sur des groupes spécifiques, tels que
US-NC IT TeamouJohnGlenn_ITDepartment. Pour plus d’informations, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée.Sur les appareils Windows 10/11, vous pouvez ajouter des règles d’applicabilité afin que la stratégie s’applique uniquement à une version de système d’exploitation spécifique ou à une édition Windows spécifique. Pour plus d’informations, consultez Règles d’applicabilité.
Groupes d’utilisateurs et groupes d’appareils
De nombreux utilisateurs demandent quand utiliser des groupes d’utilisateurs et quand utiliser des groupes d’appareils. La réponse dépend de votre objectif. Voici quelques conseils pour vous aider à démarrer.
Groupes d'appareils
Si vous souhaitez appliquer des paramètres sur un appareil, quelle que soit la personne connectée, affectez vos stratégies à un groupe d’appareils. Les paramètres appliqués aux groupes d’appareils sont toujours associés à l’appareil, et non à l’utilisateur.
Par exemple :
Les groupes d’appareils sont utiles pour gérer les appareils qui n’ont pas d’utilisateur dédié. Par exemple, vous avez des appareils qui impriment des tickets, analysent l’inventaire, sont partagés par des employés lors de différents postes, sont attribués à un entrepôt spécifique, et ainsi de suite. Placez ces appareils dans un groupe d’appareils et affectez vos stratégies à ce groupe d’appareils.
Vous créez un profil d’interface de configuration du microprogramme d’appareil (DFCI) Intune qui met à jour les paramètres dans le BIOS. Par exemple, vous configurez cette stratégie pour désactiver la caméra de l’appareil ou verrouiller les options de démarrage pour empêcher les utilisateurs de démarrer un autre système d’exploitation. Cette stratégie est un bon scénario à attribuer à un groupe d’appareils.
Sur certains appareils Windows spécifiques, vous devez toujours contrôler certains paramètres de Microsoft Edge, quel que soit l’utilisateur qui utilise l’appareil. Par exemple, vous souhaitez bloquer tous les téléchargements, limiter tous les cookies à la session de navigation active et supprimer l’historique de navigation. Pour ce scénario, placez ces appareils Windows spécifiques dans un groupe d’appareils. Ensuite, créez un modèle d’administration dans Intune, ajoutez ces paramètres d’appareil, puis affectez cette stratégie au groupe d’appareils.
Pour résumer, utilisez des groupes d’appareils lorsque vous ne vous souciez pas de la personne qui est connectée à l’appareil ou de si quelqu’un se connecte. Vous souhaitez que vos paramètres se trouvent toujours sur l’appareil.
Groupes d’utilisateurs
Les paramètres de stratégie appliqués aux groupes d’utilisateurs sont toujours associés à l’utilisateur et à l’utilisateur lorsqu’il est connecté à ses nombreux appareils. Il est normal que les utilisateurs disposent de nombreux appareils, par exemple un Surface Pro pour le travail et un appareil iOS/iPadOS personnel. Et il est normal qu’une personne accède à la messagerie et aux autres ressources de l’organisation à partir de ces appareils.
Si un utilisateur possède plusieurs appareils sur la même plateforme, vous pouvez utiliser des filtres sur l’affectation de groupe. Par exemple, un utilisateur dispose d’un appareil iOS/iPadOS personnel et d’un iOS/iPadOS appartenant à une organisation. Lorsque vous affectez une stratégie pour cet utilisateur, vous pouvez utiliser des filtres pour cibler uniquement l’appareil appartenant à l’organisation.
Respectez cette règle générale : si une fonctionnalité appartient à un utilisateur, par exemple des certificats de messagerie ou d’utilisateur, affectez-la à des groupes d’utilisateurs.
Par exemple :
Vous souhaitez placer une icône de support technique pour tous les utilisateurs sur tous leurs appareils. Dans ce scénario, placez ces utilisateurs dans un groupe d’utilisateurs et affectez votre stratégie d’icône de support technique à ce groupe d’utilisateurs.
Un utilisateur reçoit un nouvel appareil appartenant à l’organisation. L’utilisateur se connecte à l’appareil avec son compte de domaine. L’appareil est automatiquement inscrit dans Microsoft Entra ID et géré automatiquement par Intune. Cette stratégie est un bon scénario à attribuer à un groupe d’utilisateurs.
Chaque fois qu’un utilisateur se connecte à un appareil, vous souhaitez contrôler les fonctionnalités dans des applications, comme OneDrive ou Office. Dans ce scénario, affectez vos paramètres de stratégie OneDrive ou Office à un groupe d’utilisateurs.
Par exemple, vous souhaitez bloquer les contrôles ActiveX non fiables dans vos applications Office. Vous pouvez créer un modèle d’administration dans Intune, configurer ce paramètre, puis affecter cette stratégie à un groupe d’utilisateurs.
Pour résumer, utilisez des groupes d’utilisateurs lorsque vous souhaitez que vos paramètres et règles soient toujours utilisés par l’utilisateur, quel que soit l’appareil qu’il utilise.
Azure Virtual Desktop multisession
Vous pouvez utiliser Intune pour gérer les bureaux à distance Windows multisession créés avec Azure Virtual Desktop, comme vous gérez n’importe quel autre appareil client Windows partagé. Lorsque vous attribuez des stratégies à des groupes d’utilisateurs ou à des appareils, Azure Virtual Desktop multisession est un scénario spécial. Lors de l’utilisation de ces machines virtuelles, les fournisseurs de services cloud d’appareil doivent cibler des groupes d’appareils. Les fournisseurs csp d’utilisateurs doivent cibler des groupes d’utilisateurs.
Pour plus d’informations, consultez Utiliser Azure Virtual Desktop multisession avec Microsoft Intune.
Fournisseurs de services de configuration Windows et leur comportement
Les paramètres de stratégie pour les appareils Windows sont basés sur les Fournisseurs de services de configuration (CSP). Ces paramètres sont mappés aux clés ou fichiers de Registre sur les appareils.
Voici ce que vous devez savoir sur les csp Windows :
Intune expose ces fournisseurs de services cloud afin que vous puissiez configurer ces paramètres et les affecter à vos appareils Windows. Ces paramètres sont configurables à l’aide de modèles intégrés et du catalogue de paramètres. Dans le catalogue de paramètres, vous verrez que certains paramètres s’appliquent à l’étendue utilisateur et que certains paramètres s’appliquent à l’étendue de l’appareil.
Pour plus d’informations sur la façon dont les paramètres d’étendue utilisateur et d’étendue de l’appareil sont appliqués aux appareils Windows, accédez à Catalogue de paramètres : paramètres d’étendue de l’appareil et d’étendue utilisateur.
Lorsqu’une stratégie est supprimée ou n’est plus affectée à un appareil, différentes choses peuvent se produire, selon les paramètres de la stratégie. Chaque fournisseur csp peut gérer la suppression de la stratégie différemment.
Par exemple, un paramètre peut conserver la valeur existante, et ne pas revenir à une valeur par défaut. Le comportement est contrôlé par chaque CSP dans le système d'exploitation. Pour obtenir une liste des fournisseurs de services de configuration (CSP) Windows, consultez la référence Fournisseur de services de configuration (CSP) .
Pour remplacer un paramètre par une autre valeur, créez une stratégie, configurez le paramètre sur Non configuré, puis affectez la stratégie. Lorsque la stratégie s’applique à l’appareil, les utilisateurs doivent avoir le contrôle pour modifier le paramètre sur leur valeur préférée.
Lors de la configuration de ces paramètres, nous suggérons de les déployer sur un groupe pilote. Pour plus de conseils sur le déploiement d'Intune, consultez Créer un plan de déploiement.
Exclure des groupes d’une affectation de stratégie
Intune stratégies de configuration d’appareil vous permettent d’inclure et d’exclure des groupes de l’attribution de stratégie.
En tant que meilleure pratique :
- Créez et affectez des stratégies spécifiquement pour vos groupes d’utilisateurs. Utiliser des filtres pour inclure ou exclure des appareils de ces utilisateurs.
- Créez et affectez différentes stratégies spécifiquement pour vos groupes d’appareils.
Pour plus d’informations sur les groupes, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.
Principes d’inclusion et d’exclusion de groupes
Lorsque vous affectez vos stratégies et stratégies, appliquez les principes généraux suivants :
Considérez les Groupes inclus ou les Groupes exclus comme point de départ pour les utilisateurs et les appareils qui recevront vos stratégies. Le groupe Microsoft Entra étant le groupe de limitation, utilisez la plus petite étendue de groupe possible. Utilisez des filtres pour limiter ou affiner votre affectation de stratégie.
Les groupes Microsoft Entra affectés, également appelés groupes statiques, peuvent être ajoutés aux groupes inclus ou groupes exclus.
En règle générale, vous affectez statiquement des appareils dans un groupe de Microsoft Entra s’ils sont préinscrits dans Microsoft Entra ID, comme avec Windows Autopilot. Ou, si vous souhaitez combiner des appareils pour un déploiement ponctuel et ad hoc. Sinon, il n’est peut-être pas pratique d’affecter statiquement des appareils dans un groupe de Microsoft Entra.
Les groupes d’utilisateurs dynamiques Microsoft Entra peuvent être ajoutés aux groupes inclus ou aux groupes exclus.
Les groupes exclus peuvent être des groupes avec des utilisateurs ou des groupes avec des appareils.
Les groupes d’appareils Microsoft Entra dynamiques peuvent être ajoutés aux groupes inclus. Toutefois, il peut y avoir une latence lors du remplissage de l’appartenance de groupe dynamique. Dans les scénarios dépendants de la latence, utilisez des filtres pour cibler des appareils spécifiques et affectez vos stratégies à des groupes d’utilisateurs.
Par exemple, vous souhaitez que les stratégies soient affectées aux appareils dès qu’elles s’inscrivent. Dans cette situation sensible à la latence, créez un filtre pour cibler les appareils que vous souhaitez, puis affectez la stratégie avec ce filtre aux groupes d’utilisateurs. N’affectez pas aux groupes d’appareils.
Dans un scénario sans utilisateur, créez un filtre pour cibler les appareils souhaités et affectez la stratégie avec le filtre au groupe « Tous les appareils ».
Évitez d’ajouter des groupes d’appareils Microsoft Entra dynamiques aux groupes exclus. La latence dans le calcul de groupe d’appareils dynamiques au moment de l’inscription peut entraîner des résultats indésirables. Par exemple, les stratégies et les applications indésirables peuvent être déployées avant que l’appartenance au groupe exclu ne soit remplie.
Matrice de prise en charge
Utilisez la matrice suivante pour comprendre la prise en charge de l’exclusion de groupes :
- ✔️ : Pris en charge
- ❌ : Non pris en charge
- ❕ : Partiellement pris en charge
| Scénario | Support |
|---|---|
| 1 | ❕ Partiellement pris en charge L’attribution de stratégies à un groupe d’appareils dynamiques tout en excluant un autre groupe d’appareils dynamiques est prise en charge. Toutefois, cela n’est pas recommandé dans les scénarios qui sont sensibles à la latence. Tout délai dans exclure le calcul d’appartenance au groupe peut entraîner l’offre de stratégies aux appareils. Dans ce scénario, nous vous recommandons d’utiliser des filtres au lieu de groupes d’appareils dynamiques pour exclure des appareils. Par exemple, vous disposez d’une stratégie d’appareil affectée à Tous les appareils. Vous avez ensuite une exigence que les nouveaux appareils marketing ne reçoivent pas cette stratégie. Vous créez donc un groupe d’appareils dynamique appelé Appareils marketing basé sur la propriété enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Dans la stratégie, vous ajoutez le groupe dynamique Appareils marketing en tant que groupe exclu. Un nouvel appareil marketing s’inscrit dans Intune pour la première fois, et un nouvel objet d’appareil Microsoft Entra est créé. Le processus de regroupement dynamique place l’appareil dans le groupe Appareils marketing avec un calcul éventuellement retardé. En même temps, l’appareil est inscrit dans Intune et commence à recevoir toutes les stratégies applicables. La stratégie Intune peut être déployée avant que l’appareil ne soit placé dans le groupe d’exclusion. Ce comportement entraîne le déploiement d’une stratégie (ou d’une application) indésirable sur le groupe Appareils marketing. Par conséquent, il n’est pas recommandé d’utiliser des groupes d’appareils dynamiques pour les exclusions dans les scénarios sensibles à la latence. Utilisez plutôt des filtres. |
| 2 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’appareils dynamiques tout en excluant un groupe d’appareils statiques est prise en charge. |
| 3 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’appareils dynamiques tout en excluant des groupes d’utilisateurs (dynamiques et statiques) n’est pas prise en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus. |
| 4 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’appareils dynamiques et l’exclusion de groupes d’utilisateurs (dynamiques et statiques) n’est pas prise en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus. |
| 5 | ❕ Partiellement pris en charge L’affectation d’une stratégie à un groupe d’appareils statiques tout en excluant un groupe d’appareils dynamiques est prise en charge. Toutefois, cela n’est pas recommandé dans les scénarios qui sont sensibles à la latence. Tout délai dans exclure le calcul d’appartenance au groupe peut entraîner l’offre de stratégies aux appareils. Dans ce scénario, nous vous recommandons d’utiliser des filtres au lieu de groupes d’appareils dynamiques pour exclure des appareils. |
| 6 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’appareils statiques et l’exclusion d’un autre groupe d’appareils statiques est prise en charge. |
| 7 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’appareils statiques et l’exclusion de groupes d’utilisateurs (dynamiques et statiques) n’est pas prise en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus. |
| 8 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’appareils statiques et l’exclusion de groupes d’utilisateurs (dynamiques et statiques) n’est pas prise en charge. Intune n’évalue pas les relations entre un groupe d’utilisateurs et d’appareils et les appareils des utilisateurs inclus ne seront pas exclus. |
| 9 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques et l’exclusion de groupes d’appareils (dynamiques et statiques) n’est pas prise en charge. |
| 10 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques et l’exclusion de groupes d’appareils (dynamiques et statiques) n’est pas prise en charge. |
| 11 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge. |
| 12 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’utilisateurs dynamiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge. |
| 13 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant des groupes d’appareils (dynamiques et statiques) n’est pas prise en charge. |
| 14 | ❌ Non pris en charge L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant des groupes d’appareils (dynamiques et statiques) n’est pas prise en charge. |
| 15 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge. |
| 16 | ✔️ Prise en charge L’attribution d’une stratégie à un groupe d’utilisateurs statiques tout en excluant d’autres groupes d’utilisateurs (dynamiques et statiques) est prise en charge. |
Prochaines étapes
Consultez Surveiller les profils d’appareil pour obtenir des conseils sur la surveillance de vos stratégies et des appareils exécutant vos stratégies.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour