Ajuster les paramètres après l’inscription
Une fois quevous êtes inscrit à Microsoft Managed Desktop, certains paramètres de gestion doivent être ajustés. Pour vérifier et ajuster si nécessaire, suivez ces étapes :
- Passez en revue les paramètres Microsoft Intune et Microsoft Entra décrits dans la section suivante.
- Si l'un de ces éléments s'applique à votre environnement, effectuez les réglages comme décrit.
Remarque
À mesure que vos opérations se poursuivent au cours des mois suivants, si vous apportez des modifications après l’inscription aux stratégies dans Microsoft Intune, l’ID Microsoft Entra ou Microsoft 365 qui affectent Microsoft Managed Desktop, il est possible que Microsoft Managed Desktop cesse de fonctionner correctement. Pour éviter tout problème avec le service, vérifiez les paramètres spécifiques décrits dans la section Résoudre les problèmes détectés par l'outil d'évaluation de l'état de préparation avant de modifier les stratégies qui y figurent.
Paramètres de Microsoft Intune
| Setting | Description |
|---|---|
| Profil de déploiement du pilote automatique | Si vous utilisez des stratégies Autopilot, mettez-les à jour pour exclure le groupe Modern Workplace Devices -All Microsoft Entra. Pour mettre à jour les stratégies Autopilot : Sous Affectations, dans groupes exclus, sélectionnez le groupe Modern Workplace Devices -All Microsoft Entra créé lors de l’inscription à Microsoft Managed Desktop. Microsoft Managed Desktop aurez également créé un profil Autopilot, qui aura le nom « Espace de travail moderne » (profil Autopilot de l’espace de travail moderne). Lorsque vous mettez à jour vos propres profils Autopilot, veillez à ne pas exclure le groupe Modern Workplace Devices -All Microsoft Entra du profil Modern Workplace Autopilot Profile créé par Microsoft Managed Desktop. |
| Stratégies d’accès conditionnel | Si vous créez des stratégies d’accès conditionnel liées à l’ID de Microsoft Entra, Microsoft Intune ou Microsoft Defender XDR pour point de terminaison après l’inscription de Microsoft Managed Desktop, excluez-en le groupe comptes de Microsoft Entra modern Workplace Service. Pour plus d’informations, consultez Accès conditionnel : Utilisateurs et groupes. Microsoft Managed Desktop gère des stratégies d'accès conditionnel distinctes pour limiter l'accès à ces comptes. Pour passer en revue la stratégie d’accès conditionnel Microsoft Managed Desktop (Modern Workplace – Secure Workstation) : Accédez au Centre d’administration Microsoft Intune et accédez à Accès conditionnel dans Sécurité des points de terminaison. Ne modifiez pas les stratégies d’accès conditionnel Microsoft Entra créées par Microsoft Managed Desktop qui portent le nom « Espace de travail moderne ». |
| Authentification multifacteur | Si vous créez de nouvelles exigences d’authentification multifacteur dans les stratégies d’accès conditionnel liées à l’ID de Microsoft Entra, Intune ou Microsoft Defender XDR pour point de terminaison après l’inscription de Microsoft Managed Desktop, excluez-en le groupe Comptes de service d’espace de travail modernes Microsoft Entra. Pour plus d’informations, consultez Accès conditionnel : Utilisateurs et groupes. Microsoft Managed Desktop gère des stratégies d'accès conditionnel distinctes pour restreindre l'accès aux membres de ce groupe. Pour passer en revue la stratégie d’accès conditionnel Microsoft Managed Desktop (Modern Workplace –-) : Accédez au Centre d’administration Microsoft Intune et accédez à Accès conditionnel dans Sécurité des points de terminaison. |
| Anneau de mise à jour de Windows 10 | Pour toutes les stratégies d’anneau de mise à jour Windows 10 que vous avez créées, excluez le groupe Modern Workplace Devices -All Microsoft Entra de chaque stratégie. Pour plus d’informations, consultez Créer et affecter des anneaux de mise à jour. Microsoft Managed Desktop aura également créé quelques politiques d'anneau de mise à jour, qui auront toutes pour nom « Modern Workplace ». Par exemple :
Lorsque vous mettez à jour vos propres stratégies, veillez à ne pas exclure le groupe Modern Workplace Devices -All Microsoft Entra de ceux créés par Microsoft Managed Desktop. |
Microsoft Entra paramètres
Réinitialisation du mot de passe en libre-service : si vous utilisez la réinitialisation du mot de passe en libre-service pour tous les utilisateurs, ajustez l'affectation pour exclure les comptes du service Microsoft Managed Desktop.
Pour ajuster cette affectation :
- Créer un groupe dynamique Microsoft Entra pour tous les utilisateurs, à l’exception des comptes de service Microsoft Managed Desktop
- Utilisez ce groupe pour l'affectation au lieu de « tous les utilisateurs ».
Pour vous aider à trouver et exclure les comptes de service, voici un exemple de requête dynamique que vous pouvez utiliser :
(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")
Dans cette requête, remplacez-la par @TENANT le nom de domaine de votre locataire.