Partager via

Utiliser des groupes pour organiser les utilisateurs et les appareils pour Microsoft Intune

Microsoft Intune utilise des groupes de sécurité de Microsoft Entra ID pour différents besoins de l’organisation. Ces besoins incluent le regroupement d’utilisateurs ou d’appareils par emplacement géographique, service, caractéristiques matérielles, etc. Pour prendre en charge l’utilisation des groupes Entra par Intune, le centre d’administration Intune inclut l’interface utilisateur des groupes Entra avec toutes ses fonctionnalités. Tous les groupes qui apparaissent dans Entra et les nouveaux groupes qu’un administrateur Intune peut créer sont visibles dans Intune, Entra et d’autres produits qui partagent l’interface utilisateur des groupes Entra, comme Microsoft 365.

Intune administrateurs utilisent des groupes bien définis lors du déploiement de stratégies, du déploiement d’applications et de l’attribution des autorisations d’autres utilisateurs administratifs afin qu’ils puissent gérer différents aspects de l’abonnement Intune.

Cet article se concentre sur l’utilisation du centre d’administration Intune pour créer des groupes à utiliser avec Intune, y compris des détails sur les autorisations requises pour gérer et utiliser ces groupes dans le centre d’administration.

Pour en savoir plus sur Microsoft Entra groupes, consultez la documentation Entra.

Contrôles d’accès en fonction du rôle pour l’utilisation des groupes

Par défaut, tous les comptes d’utilisateur Microsoft Entra disposent des autorisations nécessaires pour créer et configurer de nouveaux groupes sans qu’un rôle de contrôle d’accès en fonction du rôle (RBAC) Entra ne soit attribué. Ces autorisations s’étendent à l’utilisation du nœud Groupes dans le centre d’administration Intune.

Seuls l’utilisateur qui a créé le groupe, les utilisateurs affectés en tant que propriétaire et les utilisateurs disposant des autorisations RBAC Entra suffisantes pour gérer les groupes Entra peuvent modifier les propriétés d’un groupe. Les autres utilisateurs qui n’ont pas le droit de modifier un groupe peuvent afficher son appartenance et, s’ils administrent Intune, peuvent attribuer des stratégies, des applications et des attributions de rôles Intune au groupe.

Le rôle RBAC intégré Microsoft Entra suivant est le rôle intégré le moins privilégié qui inclut les autorisations suffisantes pour modifier et gérer les groupes Entra créés par d’autres utilisateurs :

  • Administrateur de groupes : ce rôle fournit des autorisations suffisantes pour ajouter et modifier des groupes à partir des centres d’administration pour Microsoft Intune, Microsoft Entra et Microsoft 365.

Lorsque vous utilisez RBAC, Microsoft recommande de suivre le principe des autorisations minimales en utilisant uniquement les comptes disposant des autorisations minimales requises pour une tâche et en limitant l’utilisation et l’attribution de rôles d’administration privilégiés comme l’administrateur Intune.

Pour en savoir plus sur les groupes Microsoft Entra et l’accès aux groupes, consultez En savoir plus sur les groupes et les droits d’accès dans la documentation Entra.

Configuration requise des groupes que vous utilisez avec Intune

Intune administrateurs doivent connaître les aspects suivants des groupes Microsoft Entra lors de la création de nouveaux groupes ou de leur attribution pour le déploiement de stratégie ou les rôles d’administration.

Sécurité : les groupes que vous utilisez avec Intune doivent être des groupes activés pour la sécurité. Cela nécessite généralement que le type de groupe de groupes soit défini sur Sécurité lors de la création du groupe. Un groupe de sécurité prend en charge les utilisateurs et les appareils en tant que membres.

Par défaut, les groupes Microsoft 365 dans Microsoft Entra ne sont pas activés pour la sécurité, prennent uniquement en charge les utilisateurs en tant que membres et ne sont pas pris en charge par Intune. Bien que vous puissiez utiliser Microsoft Graph PowerShell pour créer des groupes Microsoft 365 compatibles avec la sécurité que Intune prend en charge, comme les groupes Microsoft 365 par défaut, ils peuvent uniquement inclure des utilisateurs et non des appareils.

Appartenance : Intune prend en charge les appartenances de groupe affectées et dynamiques. Choisissez le type d’appartenance en fonction de la façon dont vous prévoyez de gérer l’appartenance aux groupes, manuellement ou automatiquement en fonction de règles. Par exemple, pour attribuer un rôle RBAC Intune intégré comme Endpoint Security Manager aux utilisateurs administratifs, utilisez un groupe avec des membres affectés manuellement afin de limiter les destinataires de ce rôle privilégié. À l’inverse, pour déployer un ensemble par défaut de stratégies de configuration d’appareil sur tous les appareils Windows 11, vous pouvez utiliser un groupe qui ajoute dynamiquement des membres en fonction d’une version du système d’exploitation des appareils. L’utilisation d’un groupe dynamique peut vous aider à vous assurer que les appareils qui s’inscrivent avec Intune reçoivent automatiquement la stratégie par défaut prévue sans que l’appareil ait à être ajouté manuellement à un groupe.

Groupes Intune Tous les utilisateurs et Tous les appareils

Outre les groupes Microsoft Entra que vous pouvez créer et utiliser avec Intune, Intune inclut deux groupes virtuels disponibles uniquement dans le contexte de Intune et à partir du centre d’administration Intune :

  • Tous les utilisateurs : ce groupe inclut automatiquement tous les utilisateurs disposant d’une licence pour Intune.
  • Tous les appareils : ce groupe inclut automatiquement chaque appareil inscrit avec Intune.

Ces groupes virtuels offrent un moyen simple de cibler tous les utilisateurs ou appareils applicables avec des stratégies et des affectations Intune qui doivent s’appliquer à grande échelle.

Par exemple, vous pouvez déployer une stratégie de conformité Intune sur le groupe Tous les appareils pour établir un niveau minimal d’exigences de conformité que tous les appareils de votre organization doivent respecter. Plus tard, vous pouvez déployer d’autres exigences sur des groupes Entra spécifiques afin d’appliquer des exigences supplémentaires que vous pouvez avoir pour des groupes spécifiques d’appareils ou d’utilisateurs.

Conseil

Envisagez l’utilisation de filtres pour les groupes dans Intune. Vous pouvez utiliser filtres dans Intune lors de l’attribution d’applications, de stratégies et de profils dans Microsoft Intune à de grands groupes comme Tous les utilisateurs et Tous les appareils. Les filtres peuvent vous aider à contrôler dynamiquement les appareils ou les utilisateurs qui reçoivent le déploiement. Pour plus d’informations sur l’utilisation des filtres, consultez :

Ajouter des groupes à Intune

Lorsque vous créez un groupe dans le centre d’administration Microsoft Intune, vous créez en fait un groupe dans Microsoft Entra ID. La procédure suivante fournit des conseils de base pour la création de groupes dans le centre d’administration Intune. Pour plus d’informations, consultez les articles Microsoft Entra suivants :

Pour créer des groupes dans le centre d’administration Microsoft Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune, puis sélectionnez Groupes>Nouveau groupe :

    Capture d’écran montrant le volet Groupes du centre d’administration Intune.

  2. Le volet Nouveau groupe s’ouvre, qui est la même interface que celle trouvée dans Microsoft Entra :

    Capture d’écran montrant le volet Nouveau groupe d’Entra dans le centre d’administration Intune.

    Configurez les options suivantes pour le nouveau groupe :

    1. Définissez Type de groupe sur Sécurité.

    2. Pour Nom du groupe, spécifiez un nom explicite qui identifie clairement le groupe. Ce nom est visible par les utilisateurs qui travaillent avec des groupes dans le centre d’administration.

    3. Pour La description du groupe, qui est facultative, spécifiez d’autres détails sur le groupe, comme son utilisation prévue.

    4. Pour Type d’appartenance, sélectionnez l’une des options suivantes :

      • Affecté : avec ce type d’appartenance, vous devez ajouter manuellement des utilisateurs au groupe, ce qui peut être fait maintenant ou ultérieurement après la création du groupe.

        Pour ajouter des utilisateurs à ce stade, recherchez et sélectionnez Aucun membre sélectionné pour ouvrir le volet Ajouter des membres .

        Dans le volet, utilisez l’onglet Utilisateurs ou Appareils dans lequel vous pouvez cocher la case en regard de chaque objet que vous souhaitez ajouter à ce groupe.

        Vous pouvez également sélectionner l’onglet Groupes si vous souhaitez imbriquer un groupe au sein de ce groupe. Un groupe qui inclut un groupe en tant que membre est appelé groupe parent. Soyez prudent lors de l’imbrication de groupes, car les relations d’appartenance peuvent ne pas être claires pour les administrateurs qui utilisent ultérieurement le groupe parent pour une affectation. Toutes les modifications apportées à l’appartenance à un groupe imbriqué sont automatiquement appliquées à l’appartenance effective du groupe parent.

        Importante

        Évitez de créer des groupes qui incluent à la fois des utilisateurs et des appareils, car cela peut entraîner des conflits de stratégie et un comportement imprévisible pendant les déploiements Intune.

        Conseil

        Pour créer des groupes d’appareils, vous pouvez utiliser des catégories d’appareils pour joindre automatiquement des appareils à un groupe au moment de leur inscription avec Intune.

      • Utilisateur dynamique : avec ce type d’appartenance, sélectionnez Ajouter une requête dynamique , puis configurez les règles d’appartenance dynamique. Pour obtenir des conseils, consultez Gérer les règles des groupes d’appartenance dynamiques dans Microsoft Entra ID.

        Importante

        Pour utiliser des groupes d’utilisateurs dynamiques, vous devez disposer d’une licence Microsoft Entra ID P1 pour chaque utilisateur membre du groupe dynamique.

      • Appareil dynamique : avec ce type d’appartenance, sélectionnez Ajouter une requête dynamique , puis configurez les règles d’appartenance dynamique. Pour obtenir des conseils, consultez Gérer les règles des groupes d’appartenance dynamiques dans Microsoft Entra ID.

        Conseil

        Aucune licence Entra ID spécifique n’est requise pour les membres de groupes d’appareils dynamiques.

    5. La configuration Propriétaires est facultative. Par défaut, l’utilisateur qui crée un groupe est un propriétaire. Pour ajouter d’autres propriétaires, sélectionnez Aucun propriétaire sélectionné , puis l’onglet Utilisateurs , où vous pouvez ensuite sélectionner un ou plusieurs utilisateurs à ajouter en tant que propriétaires de ce groupe.

  3. Sélectionnez Créer pour ajouter le nouveau groupe. Votre groupe s’affiche dans la liste.

Modifier un groupe

En tant qu’administrateur Intune, vous pouvez modifier des groupes, par exemple modifier les membres, le propriétaire et les propriétés du groupe.

Pour modifier un groupe existant, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Sélectionnez Groupes>Tous les groupes>sélectionnez le nom d’un groupe à modifier.
  3. Sous le groupe de menus Gérer , sélectionnez une zone du groupe à modifier, comme Propriétés, Membres ou Propriétaires. Intune affiche l’interface utilisateur associée à cette option de configuration.

Supprimer un groupe

En tant qu’administrateur Intune, vous pouvez supprimer les groupes qui ne sont plus nécessaires.

Pour supprimer un groupe existant, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Sélectionnez Groupes>Tous les groupes.
  3. Cochez la case pour chaque groupe que vous souhaitez supprimer, puis sélectionnez Supprimer des options en haut de la vue Tous les groupes . Vous pouvez également sélectionner le nom d’un groupe pour ouvrir la page Vue d’ensemble d’un seul groupe, puis sélectionner Supprimer* en haut de cette vue.

Conseil

Une fois qu’un groupe est supprimé, cela peut prendre un certain temps avant qu’il n’apparaisse dans la liste Groupes supprimés .

Contenu connexe