Créer un profil d’appareil dans Microsoft Intune

Les profils d’appareil vous permettent d’ajouter et de configurer des paramètres, puis de transmettre ces paramètres aux appareils de votre organisation. Pour créer des stratégies, vous avez le choix entre les options suivantes :

• Modèles d’administration : sur les appareils Windows 10/11, ces modèles sont des paramètres ADMX que vous configurez. Si vous êtes familiarisé avec les stratégies ADMX ou les objets de stratégie de groupe (GPO), l’utilisation de modèles d’administration est une étape naturelle pour Microsoft Intune.

  Pour plus d’informations, consultez Modèles d’administration

• Lignes de base : sur les appareils Windows 10/11, ces lignes de base incluent des paramètres de sécurité préconfigurés. Si vous souhaitez créer une stratégie de sécurité à l’aide des recommandations proposées par les équipes de sécurité Microsoft, les bases de référence de la sécurité vous concernent.

  Pour plus d’informations, consultez Bases de référence de la sécurité.

• Catalogue de paramètres : sur les appareils Windows 10/11, utilisez le catalogue de paramètres pour consulter tous les paramètres disponibles, dans un emplacement unique. Par exemple, vous pouvez voir tous les paramètres qui s’appliquent à BitLocker et créer une stratégie qui se concentre uniquement sur BitLocker. Sur les appareils macOS, utilisez le catalogue des paramètres pour configurer les paramètres du navigateur Microsoft Edge version 77.

  Pour plus d’informations, consultez le catalogue des paramètres.

  Sur macOS, continuez à utiliser le fichier de préférences pour :

  • Configurer des versions antérieures de Microsoft Edge
  • Configurer les paramètres du navigateur Edge qui ne sont pas dans le catalogue des paramètres

• Modèles : Sur les appareils Android, iOS/iPados, macOS et Windows, les modèles incluent un regroupement logique des paramètres qui configurent une fonctionnalité ou un concept, comme un VPN, une messagerie, des appareils kiosque, et bien plus encore. Si vous êtes familiarisé avec la création de stratégies de configuration d’appareils dans Microsoft Intune, alors vous utilisez déjà ces modèles.

  Pour plus d’informations, y compris sur les modèles disponibles, consultez Appliquer des fonctionnalités et des paramètres sur vos appareils à l’aide des profils d’appareil.

Cet article :

• Répertorie les étapes pour créer un profil.
• Vous montre comment ajouter une balise d’étendue pour « filtrer » vos stratégies.
• Décrit les règles d’applicabilité sur les appareils de client Windows et vous montre comment créer une règle.
• Contient plus d’informations sur les temps de cycle d’actualisation case activée lorsque les appareils reçoivent des profils et des mises à jour de profil.

Créer le profil

Les profils sont créés dans le centre d’administration Microsoft Intune. Dans ce centre d’administration, sélectionnez Appareils. Vous avez le choix parmi les options suivantes :

• Vue d’ensemble : Liste l’état de vos profils et fournit des détails supplémentaires sur les profils que vous avez attribués aux utilisateurs et aux appareils.
• Moniteur : Vérifiez l’état de vos profils (réussite ou échec) et consultez les journaux de vos profils.
• Par plateforme : Créez et affichez les stratégies et les profils en fonction de votre plateforme. Cette vue peut également présenter des fonctionnalités propres à la plateforme. Par exemple, sélectionnez Windows. Vous verrez des fonctionnalités propres à Windows, telles que les Anneaux de mise à jour Windows et les Scripts PowerShell.
• Gérer les appareils : créez des profils d’appareil, chargez des scripts PowerShell personnalisés à exécuter sur les appareils et ajoutez des plans de données aux appareils à l’aide d’eSIM.

Lorsque vous créez un profil (Configuration>Create), choisissez votre plateforme :

• Administrateur d’appareils Android
• Android Entreprise
• iOS/iPadOS
• MacOS
• Windows 10 et versions ultérieures
• Windows 8.1 et versions ultérieures

Ensuite, choisissez le profil. Les paramètres que vous pouvez configurer diffèrent en fonction de la plateforme choisie. Les articles suivants décrivent les différents profils :

• Modèles d’administration (Windows)
• Configuration du BIOS et autres paramètres
• Personnalisé
• Optimisation de la distribution (Windows)
• Informations d’identification dérivées (Android Enterprise, iOS, iPadOS)
• Fonctionnalités de l’appareil (macOS, iOS, iPadOS)
• Interface de configuration du microprogramme d’appareil (DFCI) (Windows)
• Restrictions d’appareil
• Jonction de domaine (Windows)
• Mise à niveau de l’édition et changement de mode (Windows)
• Éducation (iOS, iPadOS)
• Courrier électronique
• Endpoint Protection (macOS, Windows)
• Extensions (macOS)
• Identity Protection (Windows)
• Borne
• Microsoft Defender pour point de terminaison (Windows)
• Profil d’extension de mobilité (MX) (Administrateur d’appareil Android)
• Limite réseau (Windows)
• OEMConfig (Android Enterprise)
• Certificat PKCS
• Certificat importé PKCS
• Fichier de préférences (macOS)
• Certificat SCEP
• Évaluation sécurisée (Éducation) (Windows)
• Appareils partagés multi-utilisateurs (Windows)
• Certificat approuvé
• VPN
• Wi-Fi
• Surveillance d’intégrité Windows
• Réseaux câblés (macOS)

Par exemple, si vous sélectionnez iOS/iPadOS pour la plateforme, vos options ressemblent au profil suivant :

Si vous sélectionnez Windows 10 et versions ultérieures pour la plateforme, vos options ressemblent au profil suivant :

Balises d'étendue

Après avoir ajouté les paramètres, vous pouvez également ajouter une balise d’étendue au profil. Les balises d’étendue filtrent les profils dans des groupes informatiques spécifiques, tels que US-NC IT Team et JohnGlenn_ITDepartment. Ils sont aussi utilisés dans les services informatiques distribués.

Pour plus d'informations sur les balises d'étendue, et ce que vous pouvez faire, voir Utiliser RBAC et les balises d'étendue pour l'informatique distribuée.

Règles d’applicabilité

S’applique à :

• Windows 11
• Windows 10

Les règles de mise en application permettent aux administrateurs de cibler des appareils dans un groupe qui répondent à des critères spécifiques. Par exemple, vous créez un profil de restrictions d’appareil qui s’applique au groupe Tous les appareils Windows 10/11. De plus, vous souhaitez uniquement que le profil soit affecté aux appareils exécutant Windows Entreprise.

Pour effectuer cette tâche, créez une règle de mise en application. Ces règles sont utiles pour les scénarios suivants :

• Vous utilisez Windows 10 Éducation (EDU). À Bellows College, vous souhaitez cibler tous les appareils Windows 10 EDU entre RS3 et RS4.
• Vous souhaitez cibler tous les utilisateurs dans les Ressources humaines de Contoso, mais uniquement les appareils Windows 10 Professionnel or Entreprise.

Pour aborder ces scénarios, vous devez faire ce qui suit :

• Créez un groupe d’appareils qui comprend tous les appareils à Bellows College. Dans le profil, ajoutez une règle de mise en application pour qu’elle s’applique si la version minimale du système d’exploitation est 16299 et la version maximale est 17134. Attribuez ce profil au groupe d’appareils de Bellows College.

  Lorsqu’il est attribué, le profil s’applique aux appareils compris entre les versions minimale et maximale que vous entrez. Pour les appareils qui ne sont pas compris entre les versions minimale et maximale que vous entrez, leur état indique Non applicable.

• Créez un groupe d’utilisateurs qui comprend tous les utilisateurs des Ressources humaines (RH) chez Contoso. Dans le profil, ajoutez une règle de mise en application pour qu’elle s’applique aux appareils exécutant Windows 10 Professionnel ou Entreprise. Attribuez ce profil au groupe d’utilisateurs RH.

  Lorsqu’il est attribué, le profil s’applique aux appareils exécutant Windows 10 Professionnel ou Entreprise. Pour les appareils qui n’exécutent pas ces éditions, leur état indique Non applicable.

• Si deux profils possèdent exactement les mêmes paramètres, alors le profil sans règle de mise en application est appliqué.

  Par exemple, ProfilA cible le groupe d’appareils Windows 10, active BitLocker et n’a pas de règle de mise en application. ProfileB cible le même groupe d’appareils Windows 10, active BitLocker et dispose d’une règle de mise en application pour appliquer uniquement le profil à Windows 10 Entreprise.

  Quand les deux profils sont attribués, ProfilA est appliqué, car il n’a pas de règle de mise en application.

Lorsque vous attribuez le profil aux groupes, les règles de mise en application agissent comme un filtre et ciblent uniquement les appareils qui répondent à vos critères.

Ajouter une règle

1. Dans votre stratégie, sélectionnez Règles d’applicabilité. Vous pouvez choisir la règle et la propriété :

   

2. Dans Règle, choisissez si vous souhaitez inclure ou exclure des utilisateurs ou des groupes. Les options disponibles sont les suivantes :

   • Attribuer le profil si : Inclut les utilisateurs ou les groupes qui répondent aux critères que vous entrez.
   • N’affectez pas de profil si: exclut les utilisateurs ou les groupes qui répondent aux critères que vous entrez.

3. Dans Propriété, choisissez votre filtre. Les options disponibles sont les suivantes :

   • Édition du système d’exploitation : dans la liste, vérifiez les éditions de client Windows que vous souhaitez inclure (ou exclure) dans votre règle.

   • Version du système d’exploitation : entrez les numéros de version client Windows minimale et maximale que vous souhaitez inclure (ou exclure) dans votre règle. Les deux valeurs sont obligatoires.

     Par exemple, vous pouvez entrer 10.0.16299.0 (RS3 ou 1709) pour la version minimale et 10.0.17134.0 (RS4 ou 1803) pour la version maximale. Ou bien, vous pouvez être plus granulaire et entrer 10.0.16299.001 pour la version minimale et 10.0.17134.319 pour la version maximale.

     Pour d’autres numéros de version, voir Informations sur les versions du client Windows.

4. Sélectionnez Ajouter pour enregistrer vos changements.

Durées du cycle d’actualisation de la stratégie

Intune utilise différents cycles d’actualisation pour rechercher les mises à jour des profils de configuration. Si l’appareil vient d’être inscrit, la fréquence d’archivage est plus élevée. Cycles d’actualisation de la stratégie et du profil répertorie les temps d’actualisation estimés.

Les utilisateurs peuvent ouvrir l’application Portail d’entreprise et synchroniser l’appareil à tout moment pour rechercher immédiatement les mises à jour de profil.

Recommandations

Lorsque vous créez des profils, tenez compte des recommandations suivantes :

• Nommez vos stratégies afin de savoir ce qu’elles sont, et ce qu’elles font. Toutes les stratégies de conformité et tous les profils de configuration ont une propriété Description facultative. Dans Description, soyez spécifique et incluez des informations afin que d’autres personnes sachent ce que fait la stratégie.

  Voici quelques exemples de profils de configuration :

  Nom du profil : Modèle d’administration - Profil de configuration OneDrive pour tous les utilisateurs Windows 10
  Description du profile : Profil de modèle d’administrateur OneDrive qui comprend les paramètres minimaux et de base pour tous les utilisateurs de Windows 10. Créé par user@contoso.com pour empêcher les utilisateurs de partager des données organisationnelles avec des comptes OneDrive personnels.

  Nom de profil: profil VPN pour tous les utilisateurs iOS/iPadOS
  Description du profil : Profil VPN qui comprend les paramètres minimaux et de base de tous les utilisateurs iOS/iPadOS pour se connecter au VPN Contoso. Créé par user@contoso.com pour que les utilisateurs s’authentifient automatiquement auprès du VPN, au lieu d’inviter les utilisateurs à entrer leur nom d’utilisateur et leur mot de passe.

• Créez votre profil par tâche, par exemple configurer les paramètres de Microsoft Edge, activer les paramètres antivirus de Microsoft Defender, bloquer les appareils iOS/iPadOS jailbreaké, et ainsi de suite.

• Créez des profils qui s’appliquent à des groupes spécifiques, par exemple Marketing, Ventes, Administrateurs informatiques, ou par emplacement ou système scolaire.

• Séparez les stratégies utilisateur des stratégies d’appareil.

  Par exemple, les modèles d’administration dans Intune ont des milliers de paramètres ADMX. Ces modèles indiquent si un paramètre s’applique aux utilisateurs ou aux appareils. Lorsque vous créez des modèles d’administration, affectez vos paramètres utilisateur à un groupe d’utilisateurs, puis affectez les paramètres d’appareil à un groupe d’appareils.

  L’image suivante montre un exemple de paramètre qui peut s’appliquer aux utilisateurs et/ou aux appareils :

  

• Chaque fois que vous créez une stratégie restrictive, communiquez cette modification à vos utilisateurs. Par exemple, si vous modifiez l’exigence de code secret de quatre (4) à six (6) caractères, informez-en vos utilisateurs avant d’attribuer la stratégie.

Prochaines étapes

Attribuer le profil et suivre son état.