Lire en anglais

Partager via

guide de configuration pas à pas Windows 10/11 dans la configuration cloud

  • Article

Windows 10/11 dans la configuration cloud (configuration cloud) est une configuration d’appareil pour les appareils clients Windows. Il est conçu pour simplifier l’expérience de l’utilisateur final. Pour plus d’informations sur la configuration cloud, y compris la configuration minimale requise, consultez Vue d’ensemble du scénario guidé de configuration cloud Windows.

Avec la configuration cloud, vous utilisez des stratégies Microsoft Intune pour transformer un appareil client Windows en appareil optimisé pour le cloud. Windows 10/11 dans la configuration cloud :

  • Optimise les appareils pour le cloud en les configurant pour qu’ils s’inscrivent à la gestion des Intune avec Microsoft Entra. Les données utilisateur sont stockées automatiquement dans OneDrive avec le déplacement de dossiers connus configuré.

  • Installe Microsoft Teams et Microsoft Edge sur les appareils.

  • Configure les utilisateurs finaux pour qu’ils soient des utilisateurs standard sur les appareils, ce qui permet au service informatique de mieux contrôler les applications installées sur les appareils.

  • Supprime les applications intégrées et l’application du Microsoft Store, ce qui simplifie l’expérience de l’utilisateur final.

  • Applique les paramètres de sécurité de point de terminaison et une stratégie de conformité. Ces stratégies permettent de sécuriser les appareils et d’aider le service informatique à surveiller l’intégrité des appareils.

  • Garantit que les appareils sont automatiquement mis à jour via Windows Update entreprise.

  • Si vous le souhaitez, vous pouvez également :

    • Ajoutez d’autres applications Microsoft 365, comme Outlook, Word, Excel, PowerPoint.
    • Ajoutez des applications métier essentielles dont les utilisateurs finaux ont besoin pour réussir. Microsoft recommande de limiter ces applications au minimum pour simplifier la configuration.
    • Ajoutez des ressources essentielles, telles que des profils Wi-Fi, des connexions VPN, des certificats et des pilotes d’imprimante nécessaires pour les flux de travail utilisateur.

Conseil

Pour obtenir une vue d’ensemble de Windows 10/11 dans la configuration cloud et ses utilisations, accédez à Windows 10/11 dans la configuration cloud.

Il existe deux façons de déployer la configuration cloud :

  • Option 1 - Automatique : utilisez le scénario guidé pour créer automatiquement tous les groupes et stratégies avec leurs valeurs configurées. Pour plus d’informations sur cette option, consultez Vue d’ensemble du scénario guidé de configuration cloud Windows.
  • Option 2 - Manuel (cet article) : suivez les étapes décrites dans cet article pour déployer vous-même la configuration cloud.

Ce guide vous aide à créer votre propre déploiement de configuration cloud. Les sections suivantes décrivent comment utiliser Microsoft Intune pour configurer la configuration cloud :

  1. Créer un groupe Microsoft Entra
  2. Configurer l’inscription des appareils
  3. Déployer un script pour configurer le déplacement de dossiers connus et supprimer les applications intégrées
  4. Déployer des applications
  5. Déployer des paramètres de sécurité de point de terminaison
  6. Configurer les paramètres de Windows Update
  7. Déployer une stratégie de conformité Windows
  8. Configurations facultatives

Étape 1 : Créer un groupe Microsoft Entra

La première étape consiste à créer un groupe de sécurité Microsoft Entra qui reçoit les configurations que vous déployez.

Ce groupe dédié vous permet d’organiser les appareils et de gérer vos ressources de configuration cloud dans Intune. Microsoft vous recommande de déployer uniquement les configurations de ce guide. Ensuite, si nécessaire, ajoutez d’autres applications essentielles et d’autres configurations d’appareil.

Pour créer le groupe, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Groupes>Tous les groupes>Nouveau groupe.

  3. Pour Type de groupe, sélectionnez Sécurité.

  4. Entrez un nom de groupe, par exemple Cloud config PCs.

  5. Pour Type d’appartenance, sélectionnez Affecté.

  6. Si vous le souhaitez, vous pouvez maintenant ajouter des appareils à votre nouveau groupe. Sélectionnez Aucun membre sélectionné et ajoutez des membres à votre groupe.

    Vous pouvez également commencer avec un groupe vide et ajouter des appareils ultérieurement.

  7. Sélectionnez Créer.

Conseil

Lorsque le groupe est créé, vous pouvez ajouter des appareils Windows Autopilot préinscriés à ce groupe.

Appareils existants

Si vous avez des appareils inscrits dans Intune que vous souhaitez utiliser avec la configuration cloud, il est recommandé de commencer à zéro avec ces appareils. Notamment :

  • Supprimez les applications et les profils existants déployés sur ces appareils.
  • Réinitialisez ces appareils.
  • Réinscrivez l’appareil dans Intune et déployez votre configuration cloud.

Ces étapes supplémentaires sont recommandées pour les appareils existants, car elles offrent une expérience utilisateur simplifiée. Ensuite, vous pouvez ajouter d’autres applications essentielles et vous assurer que les appareils ont uniquement ce dont les utilisateurs ont besoin.

Étape 2 : Configurer l’inscription des appareils

Dans cette étape, vous allez activer l’inscription automatique MDM dans Intune et configurer la façon dont les appareils s’inscrivent dans Intune.

Si vous utilisez déjà Windows Autopilot, ignorez cette étape et passez à Étape 3 - Déployer un script pour configurer le déplacement des dossiers connus et supprimer les applications intégrées (dans cet article).

✅ 1 - Activer l’inscription automatique

Activez l’inscription automatique pour les utilisateurs organization que vous souhaitez utiliser la configuration cloud. L’inscription automatique est requise pour la configuration cloud. Pour plus d’informations sur l’inscription automatique, consultez Guide d’inscription - Inscription automatique Windows.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Par plateforme> Inscriptionautomatiquede l’intégration des>> appareilsWindows>.

  3. Sous Étendue de l’utilisateur GPM, sélectionnez l’une des options suivantes :

    • Sélectionnez Tout pour appliquer la configuration cloud à tous les appareils Windows que les utilisateurs de votre organization utiliser. Dans la plupart des scénarios de configuration cloud, tout est sélectionné.
    • Sélectionnez Certains pour appliquer la configuration cloud aux appareils utilisés par un sous-ensemble d’utilisateurs de votre organization. Si vous souhaitez appliquer votre configuration cloud dans une approche intermédiaire, certains peuvent être un bon choix.

  4. Ne configurez pas l’étendue de l’utilisateur GAM, les conditions mam de l’URL utilisateur, l’URL de découverte MDM et les paramètres d’URL de conformité MAM. Laissez ces paramètres vides. Les paramètres GAM ne sont pas configurés pour la configuration cloud.

  5. Sélectionnez Enregistrer pour enregistrer vos modifications.

✅ 2 - Choisir la façon dont les appareils inscrivent et configurent les utilisateurs pour qu’ils soient des utilisateurs standard sur les appareils

Une fois l’inscription automatique Windows activée dans Intune, l’étape suivante consiste à déterminer comment les appareils s’inscrivent dans Intune. Lorsqu’ils s’inscrivent, ils sont disponibles pour recevoir vos stratégies de configuration cloud. Vous devez également configurer les utilisateurs pour qu’ils soient des utilisateurs standard sur leurs appareils. Les utilisateurs standard peuvent uniquement installer les applications approuvées par votre organization.

Pour l’inscription, vous avez trois options. Sélectionnez une option d’inscription.

  • Utiliser Windows Autopilot (recommandé)
  • Inscription en bloc à l’aide d’un package d’approvisionnement
  • Utiliser la Microsoft Entra ID dans l’expérience OOBE (Out-of-Box Experience)

Cette section fournit plus d’informations sur ces options d’inscription et sur la configuration des utilisateurs en tant qu’utilisateurs standard sur leurs appareils.

Il est recommandé d’utiliser l’inscription Windows Autopilot et la page d’état d’inscription (ESP). Cette méthode d’inscription et l’ESP fournissent une expérience utilisateur final cohérente.

  • Vous préinscrivez les appareils auprès du service de déploiement Windows Autopilot. Avec Windows Autopilot, les administrateurs configurent la façon dont les appareils démarrent et s’inscrivent dans la gestion des appareils.
  • La stratégie Windows Autopilot Intune configure l’expérience OOBE (out-of-box experience). Dans le OOBE, vous sélectionnez les utilisateurs comme utilisateurs standard.
  • La Intune stratégie Windows Autopilot configure la page d’état d’inscription (ESP). L’ESP indique la progression de la configuration. Les utilisateurs restent sur l’ESP jusqu’à ce que tous les paramètres de configuration cloud soient appliqués à l’appareil.

Pour configurer l’inscription windows Autopilot pilotée par l’utilisateur, procédez comme suit :

  1. Ajouter des appareils à Windows Autopilot.

    Inscrivez vos appareils dans Windows Autopilot en suivant les étapes décrites à l’étape 3 - Inscrire des appareils auprès de Windows Autopilot (ouvre un article Windows Autopilot).

    Notes

    L’article Étape 3 - Inscrire des appareils sur Windows Autopilot Windows Autopilot fait partie d’une série d’étapes. Pour cette configuration cloud, suivez uniquement l’étape 3 : Inscrire des appareils sur Windows Autopilot pour inscrire vos appareils. Ne suivez pas les autres étapes de la série. Les autres étapes de cette série Windows Autopilot concernent un autre scénario Windows Autopilot.

    Vous pouvez également inscrire manuellement des appareils pour utiliser Windows Autopilot. L’inscription manuelle des appareils est souvent utilisée pour réaffecter le matériel existant qui n’a pas été configuré précédemment avec Windows Autopilot.

  2. Créez et affectez un profil de déploiement Windows Autopilot dans Intune.

    1. Connectez-vous au Centre d’administration Microsoft Intune.

    2. Sélectionnez Appareils>Par plateforme> Inscription d’appareil >>Windows> Windows Autopilot DeploymentProfils de déploiementdu programme>.

    3. Sélectionnez Créer un profil>PC Windows. Entrez un nom pour le profil.

    4. Pour le paramètre Convertir tous les appareils ciblés en Autopilot , sélectionnez Oui. Sélectionnez Suivant.

      Vous pouvez appliquer la configuration cloud aux appareils inscrits à l’aide de méthodes d’inscription autres que Windows Autopilot. Lorsque vous ajoutez ces appareils (appareils non Windows Autopilot) à votre groupe, les appareils sont convertis en Windows Autopilot. La prochaine fois que les appareils sont réinitialisés et passent par l’expérience OOBE (Out-of-Box Experience) Windows, ils s’inscrivent via Windows Autopilot.

    5. Sous l’onglet out-of-box experience (OOBE), entrez les valeurs suivantes, puis sélectionnez Suivant :

      Paramètre Valeur
      Mode de déploiement Piloté par l’utilisateur
      Joindre à Microsoft Entra ID en tant que Microsoft Entra joint
      Termes du contrat de licence logiciel Microsoft Masquer
      Paramètres de confidentialité Masquer
      Masquer les options de changement de compte Masquer
      Type de compte d’utilisateur Standard
      Autoriser le déploiement préprovisionné Non
      Langue (région) Par défaut du système d’exploitation
      Configurer automatiquement le clavier Oui
      Appliquer un modèle de nom d’appareil Optional. Vous pouvez appliquer un modèle de nom d’appareil. Utilisez un préfixe de nom qui peut vous aider à identifier vos appareils de configuration cloud, comme Cloud-%SERIAL%.'

    6. Affectez le profil au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article), puis sélectionnez Suivant.

    7. Passez en revue le nouveau profil, puis sélectionnez Créer.

  3. Créez et affectez une page d’état d’inscription dans Intune.

    1. Connectez-vous au Centre d’administration Microsoft Intune.

    2. Sélectionnez Appareils>Par plateforme>PageÉtatgénéral> del’inscription de>l’appareil> Windows>.

    3. Sélectionnez Créer et entrez un nom pour la page État de l’inscription.

    4. Sous l’onglet Paramètres , entrez les valeurs suivantes, puis sélectionnez Suivant :

      Paramètre Valeur
      Afficher le processus de configuration des applications et des profils Oui
      Afficher l’erreur lorsque l’installation prend plus de minutes que le nombre de minutes spécifié 60
      Afficher le message personnalisé lorsque l’erreur de limite de temps se produit Oui : vous pouvez également modifier le message par défaut.
      Autoriser les utilisateurs à collecter des journaux sur les erreurs d’installation Oui
      Bloquer l’utilisateur de l’appareil jusqu’à ce que toutes les applications et tous les profils soient installés Oui
      Autoriser les utilisateurs à réinitialiser l’appareil si une erreur d’installation se produit Oui
      Autoriser les utilisateurs à utiliser l’appareil si une erreur d’installation se produit Non
      Bloquer l’utilisateur de l’appareil jusqu’à ce que ces applications requises soient installées si elles sont affectées à l’utilisateur/l’appareil tous

      Notes

      Si une erreur d’installation se produit, il est recommandé d’empêcher les utilisateurs d’utiliser l’appareil. Le blocage des utilisateurs permet de s’assurer qu’ils ne peuvent commencer à utiliser l’appareil qu’une fois la configuration cloud entièrement appliquée.

      Si une erreur d’installation se produit, en fonction de vos besoins de déploiement, vous pouvez autoriser l’utilisateur à utiliser l’appareil. Si vous autorisez l’utilisation de l’appareil, lorsque l’appareil s’archive avec Intune, Intune continue à essayer d’appliquer les configurations.

    5. Dans Affectations, affectez la page État de l’inscription au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

      Sélectionnez Suivant.

    6. Sélectionnez Créer pour créer et affecter la page d’état de l’inscription.

Option d’inscription 2 : inscription en bloc à l’aide d’un package d’approvisionnement

Vous pouvez inscrire des appareils à l’aide d’un package d’approvisionnement créé à l’aide du Designer de configuration Windows ou de l’application Installer des ordinateurs scolaires.

Pour plus d’informations sur l’inscription en bloc, consultez Inscription en bloc pour les appareils Windows.

Avec l’inscription en bloc :

  • Une fois les appareils inscrits dans Intune, vous les ajoutez au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article). Lorsqu’ils sont ajoutés au groupe, ils reçoivent votre configuration cloud.
  • Tous les utilisateurs sont automatiquement des utilisateurs standard sur l’appareil.
  • Il n’existe pas de page d’état d’inscription. Les utilisateurs ne peuvent pas afficher la progression, car tous les paramètres de configuration cloud s’appliquent. Les utilisateurs peuvent commencer à utiliser l’appareil avant que la configuration cloud ne soit entièrement appliquée.
  • Avant de distribuer des appareils aux utilisateurs, Microsoft vous recommande de vérifier que les paramètres et les applications se trouvent sur les appareils.

Option d’inscription 3 : s’inscrire à l’aide de Microsoft Entra ID dans l’expérience OOBE (Out-of-Box Experience)

Avec l’inscription automatique MDM activée dans Intune, pendant l’OOBE, les utilisateurs se connectent avec leur compte Microsoft Entra. Lorsqu’ils se connectent, l’inscription démarre automatiquement.

Avec cette option d’inscription, vous :

  1. Configurez un profil personnalisé Microsoft Intune pour restreindre les administrateurs locaux sur les appareils. Le fournisseur csp Policy inclut un exemple de code XML de définition de stratégie que vous pouvez utiliser dans votre profil personnalisé.

    Conseil

    Dans ce profil personnalisé, il existe un autre paramètre qui ajoute un groupe qui peut être administrateur local sur l’appareil. Ce groupe d’administrateurs locaux doit inclure uniquement les administrateurs informatiques de votre environnement.

  2. Affectez le profil personnalisé au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

Étape 3 : Configurer le déplacement de dossiers connus OneDrive et déployer un script pour supprimer des applications intégrées

Lorsque vous configurez OneDrive Known Folder Move, les fichiers et données utilisateur sont automatiquement enregistrés dans OneDrive. Lorsque vous supprimez les applications Windows intégrées et le Microsoft Store, le menu Démarrer et l’expérience de l’appareil sont simplifiés.

Cette étape permet de simplifier l’expérience utilisateur Windows.

✅ 1 - Configurer le déplacement de dossiers connus OneDrive avec un modèle d’administration

Avec le déplacement de dossiers connus, les données des utilisateurs (fichiers et dossiers) sont enregistrées dans OneDrive. Lorsque les utilisateurs se connectent à un autre appareil, OneDrive synchronise automatiquement les données avec le nouvel appareil. Les utilisateurs n’ont pas besoin de déplacer manuellement leurs fichiers.

Notes

En raison d’un problème de synchronisation avec le déplacement de dossiers connus OneDrive et la configuration SharedPC, Microsoft ne recommande pas d’utiliser Windows dans la configuration cloud avec un appareil où plusieurs utilisateurs se connectent et se déconnectent.

Pour configurer le déplacement de dossiers connus, utilisez un modèle ADMX dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Par plateforme>Windows>Gérer les appareils>Configuration>Créer une>nouvelle stratégie.

  3. Sélectionnez Windows 10 et versions ultérieures pour plateforme, puis sélectionnez Modèles pour type de profil.

  4. Sélectionnez Modèles d’administration , puis Créer.

  5. Entrez un nom pour le profil, puis sélectionnez Suivant.

  6. Dans Paramètres de configuration, recherchez les paramètres dans le tableau suivant et sélectionnez leurs valeurs recommandées :

    Nom du paramètre Valeur
    Déplacer en mode silencieux des dossiers windows connus vers l’ID de locataire avec OneDrive Entrez l’ID de locataire de votre organization.

    Votre ID de locataire est affiché dans centre d’administration Microsoft Entra >page> PropriétésID de locataire.
    Afficher une notification aux utilisateurs une fois les dossiers redirigés Oui. Vous pouvez également choisir de masquer la notification.
    Connecter silencieusement les utilisateurs à l’application de synchronisation OneDrive avec leurs informations d’identification Windows Activé
    Empêcher les utilisateurs de déplacer leurs dossiers connus de Windows vers OneDrive Activé
    Empêcher les utilisateurs de rediriger leurs dossiers connus de Windows vers leur PC Activé
    Activer les Fichiers à la demande OneDrive Activé

  7. Affectez le profil au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

✅ 2 - Déployer un script pour supprimer des applications intégrées

Microsoft a créé un script Windows PowerShell qui :

  • Supprime les applications intégrées des appareils.
  • Supprime l’application du Microsoft Store des appareils.

Le script est déployé sur les appareils à l’aide de dans Intune. Pour ajouter et déployer le script, procédez comme suit :

  1. Téléchargez le script de suppression de l’application PowerShell fenêtre de configuration cloud. Ce script supprime l’application Microsoft Store et les applications intégrées.

    Notes

    Si vous souhaitez conserver l’application du Microsoft Store sur les appareils, vous pouvez utiliser le script qui supprime les applications intégrées, mais conserve le Microsoft Store à la place. Pour utiliser ce script, téléchargez-le à la place et suivez les mêmes étapes. Ce script tente de supprimer les applications intégrées, mais peut ne pas les supprimer toutes. Vous devrez peut-être modifier le script pour supprimer toutes les applications intégrées sur vos appareils.

  2. Connectez-vous au Centre d’administration Microsoft Intune.

  3. Sélectionnez Appareils>par plateforme>Windows>Gérer les appareils>Scripts et corrections>Onglet Scripts> de plateforme Ajouter.

  4. Dans Informations de base, entrez un nom pour votre stratégie de script, puis sélectionnez Suivant.

  5. Dans Paramètres de script, chargez le script que vous avez téléchargé. Laissez les autres paramètres inchangés et sélectionnez Suivant.

  6. Affectez le script au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

Application du Microsoft Store

Si vous avez précédemment supprimé l’application du Microsoft Store, vous pouvez la redéployer à l’aide de Microsoft Intune. Pour rajouter l’application Microsoft Store (ou toute autre application que vous souhaitez rajouter), ajoutez l’application Microsoft Store à votre dépôt d’applications organization privé. Ensuite, déployez l’application sur des appareils à l’aide de Intune. L’application du Microsoft Store permet de maintenir les applications à jour. Pour plus d’informations sur la configuration de l’accès à l’application Microsoft Store, consultez Gérer l’accès au magasin privé.

Votre dépôt d’application organization privé peut être l’application ou le site web Portail d'entreprise Intune.

À l’aide de Intune, sur les appareils Windows 10/11 Entreprise et Éducation, vous pouvez empêcher les utilisateurs finaux d’installer des applications Microsoft Store en dehors du référentiel d’applications privées de votre organization.

Pour éviter ces applications externes, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Par plateforme>Windows>Gérer les appareils>Configuration>Créer une>nouvelle stratégie.

  3. Sélectionnez Windows 10 et versions ultérieures pour plateforme, puis sélectionnez Catalogue de paramètres pour le type de profil. Sélectionnez Créer.

  4. Dans Informations de base, entrez un nom pour votre profil.

  5. Dans Paramètres de configuration, sélectionnez Ajouter des paramètres. Ensuite :

    1. Dans le sélecteur de paramètres, recherchez private store. Dans les résultats de la recherche sous la catégorie Microsoft App Store, sélectionnez Exiger un magasin privé uniquement.
    2. Définissez le paramètre Exiger un magasin privé uniquement sur Seul le magasin privé est activé.
    3. Sélectionnez Suivant.

  6. Dans Affectations, attribuez le profil au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

  7. Dans Vérifier + créer , vérifiez votre profil, puis sélectionnez Créer.

Étape 4 : Déployer des applications

Cette étape déploie Microsoft Edge et Microsoft Teams. Vous pouvez déployer d’autres applications essentielles dans cette étape. N’oubliez pas de déployer uniquement ce dont les utilisateurs ont besoin.

✅ 1 - Déployer Microsoft Edge

  1. Ajoutez Microsoft Edge à Intune.
  2. Pour Paramètres de l’application, sélectionnez le Canal stable.
  3. Affectez l’application Microsoft Edge au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

✅ 2- Déployer Microsoft Teams

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Applications>Windows.

  3. Sélectionnez Ajouter pour créer une application.

  4. Pour Microsoft 365 Apps, sélectionnez Windows 10 et plus tard>Sélectionner.

  5. Pour Nom de la suite, entrez un nom ou utilisez le nom suggéré. Sélectionnez Suivant.

  6. Pour Configurer la suite d’applications, sélectionnez uniquement Teams.

    Si vous souhaitez déployer d’autres applications Microsoft 365, sélectionnez-les dans cette liste. N’oubliez pas de déployer uniquement ce dont les utilisateurs ont besoin.

    Conseil

    Vous n’avez pas besoin de choisir OneDrive. OneDrive est intégré à Windows 10/11 Professionnel, Entreprise et Éducation.

  7. Pour plus d’informations sur la suite d’applications, configurez les paramètres suivants :

    Paramètre Valeur
    Architecture 64 bits

    La configuration cloud fonctionne également avec la version 32 bits. Microsoft recommande de choisir la version 64 bits.
    Mettre à jour le canal Canal actuel
    Supprimer d’autres versions Oui
    Version à installer La plus récente

  8. Pour Propriétés, configurez les paramètres suivants :

    Paramètre Valeur
    Utiliser l’activation d’ordinateurs partagés Oui
    Accepter les termes du contrat de licence logiciel Microsoft au nom des utilisateurs Oui

  9. Sélectionnez Suivant.

  10. Affectez la suite au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

Étape 5 : Déployer des paramètres de sécurité de point de terminaison

Cette étape configure les paramètres de sécurité des points de terminaison pour assurer la sécurité des appareils, notamment la base de référence de sécurité Windows intégrée et les paramètres BitLocker.

✅1 - Déployer la base de référence de sécurité mdm Windows 10/11

Pour Windows dans la configuration cloud, il est recommandé d’utiliser la base de référence de sécurité Windows 10/11. Vous pouvez modifier certaines valeurs de paramètre en fonction de la préférence de votre organization.

Configurez la base de référence de sécurité dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité des points de terminaison> Basesde référence de sécuritéBase de référence de sécurité pour Windows 10 et versions ultérieures>.

  3. Sélectionnez Créer un profil pour créer une base de référence de sécurité.

  4. Entrez un nom pour votre base de référence de sécurité, puis sélectionnez Suivant.

  5. Acceptez les paramètres de configuration par défaut. Vous pouvez également modifier les paramètres suivants en fonction de vos besoins organization :

    Définition de la catégorie Setting Raison de la modification
    Navigateur Bloquer le gestionnaire de mots de passe Si vous souhaitez autoriser les utilisateurs finaux à utiliser des gestionnaires de mots de passe, désactivez ce paramètre.
    Assistance à distance Assistance à distance sollicitée Ce paramètre permet à votre personnel de support technique de se connecter à distance aux appareils. Microsoft recommande de désactiver ce paramètre, sauf s’il est requis.
    Pare-feu Tous les paramètres de pare-feu Si vous devez autoriser certaines connexions aux appareils en fonction des besoins de votre organization, modifiez les paramètres de pare-feu par défaut.

    Sélectionnez Suivant.

  6. Dans Affectations, sélectionnez le groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

  7. Sélectionnez Créer pour créer et affecter la base de référence.

✅ 2 - Déployer d’autres paramètres BitLocker avec un profil de sécurité de point de terminaison de chiffrement de lecteur

D’autres paramètres BitLocker permettent de sécuriser vos appareils. Configurez ces paramètres BitLocker dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité du point de terminaison>Chiffrement de disque>Créer une stratégie.

  3. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

  4. Pour Profil, sélectionnez BitLocker>Créer.

  5. Dans Informations de base, entrez un nom pour votre profil.

  6. Dans Paramètres de configuration, sélectionnez les paramètres suivants :

    Définition de la catégorie Paramètre Valeur
    BitLocker – Paramètres de base Activer le chiffrement de disque complet pour le système d’exploitation et les lecteurs de données fixes Oui
         
    BitLocker – Paramètres de lecteur fixe Stratégie de lecteur fixe BitLocker Configurer
      Bloquer l’accès en écriture aux lecteurs de données fixes non protégés par BitLocker Oui
      Configurer la méthode de chiffrement pour les lecteurs de données fixes AES 128 bits XTS
         
    BitLocker – Paramètres du lecteur de système d’exploitation Stratégie de lecteur système BitLocker Configurer
      Authentification au démarrage requise Oui
      Démarrage du module de plateforme sécurisée compatible Autorisé
      Code pin de démarrage du module de plateforme sécurisée compatible Autorisé
      Clé de démarrage TPM compatible Obligatoire
      Clé de démarrage et code confidentiel du module de plateforme sécurisée compatibles Autorisé
      Désactiver BitLocker sur les appareils où le module de plateforme sécurisée est incompatible Oui
      Configurer la méthode de chiffrement pour les lecteurs du système d’exploitation AES 128 bits XTS
         
    BitLocker – Paramètres du lecteur amovible Stratégie de lecteur amovible BitLocker Configurer
      Configurer la méthode de chiffrement pour les lecteurs de données amovibles AES 128 bits CBC
      Bloquer l’accès en écriture aux lecteurs de données amovibles non protégés par BitLocker Oui

  7. Dans Affectations, attribuez le profil au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

  8. Sélectionnez Créer pour créer et attribuer le profil.

Étape 6 : Configurer les paramètres Windows Update

Cette étape utilise un Windows Update Ring pour maintenir automatiquement les appareils à jour. Les paramètres de ce guide s’alignent sur les paramètres recommandés dans la base de référence Windows Update.

Configurez l’anneau de mise à jour dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Gérer les mises à jour>Windows 10 et mises à jour> ultérieures onglet >Anneaux de mise à jourCréer un profil.

  3. Dans Informations de base, entrez un nom pour l’anneau de mise à jour.

  4. Dans Mettre à jour les paramètres de l’anneau, configurez les valeurs suivantes, puis sélectionnez Suivant :

    Paramètre Valeur
    Canal de maintenance Canal semi-annuel
    Mises à jour de produit Microsoft Autoriser
    pilotes Windows Autoriser
    Période de report des mises à jour qualité (jours) 0
    Période de report des mises à jour des fonctionnalités (jours) 0
    Définir la période de désinstallation de la mise à jour des fonctionnalités 10
    Comportement des mises à jour automatiques Rétablir les valeurs par défaut
    Vérifications de redémarrage Autoriser
    Option permettant de suspendre les mises à jour Windows Activer
    Option de case activée pour les mises à jour Windows Activer
    Exiger l’approbation de l’utilisateur pour ignorer la notification de redémarrage Non
    Rappeler à l’utilisateur avant le redémarrage automatique requis avec un rappel ignoré (heures) Laissez ce paramètre non configuré
    Rappeler à l’utilisateur avant le redémarrage automatique requis avec un rappel permanent (minutes) Laissez ce paramètre non configuré
    Changer le niveau de notification de mise à jour Utiliser les notifications Windows Update par défaut
    Utiliser les paramètres d’échéance Autoriser
    Échéance des mises à jour des fonctionnalités 7
    Échéance pour les mises à jour qualité 2
    Délai 2
    Redémarrage automatique avant l’échéance Oui

  5. Affectez l’anneau de mise à jour au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

Étape 7 : Déployer une stratégie de conformité Windows

Configurez une stratégie de conformité pour surveiller la conformité et l’intégrité des appareils. La stratégie signale la non-conformité et autorise toujours les utilisateurs à utiliser des appareils. Vous pouvez choisir comment traiter la non-conformité avec d’autres actions en fonction des processus de votre organization.

Créez la stratégie de conformité dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. SélectionnezConformité des>appareils>Créer une stratégie.

  3. Pour Plateforme, sélectionnez Windows 10 et ultérieurement>Créer.

  4. Dans Informations de base, entrez un nom pour la stratégie de conformité. Sélectionnez Suivant.

  5. Dans Paramètres de conformité, configurez les valeurs suivantes, puis sélectionnez Suivant :

    Définition de la catégorie Paramètre Valeur
    Intégrité du périphérique Exiger BitLocker Require (Rendre obligatoire)
      Exiger l’activation du démarrage sécurisé sur l’appareil Require (Rendre obligatoire)
      Exiger l’intégrité du code Require (Rendre obligatoire)
         
    Sécurité système Pare-feu Require (Rendre obligatoire)
      Antivirus Require (Rendre obligatoire)
      Logiciel anti-espion Require (Rendre obligatoire)
      Exiger un mot de passe pour déverrouiller des appareils mobiles Require (Rendre obligatoire)
      Mots de passe simples Bloquer
      Type de mot de passe Alphanumérique
      Longueur minimale du mot de passe 8
      Nombre maximal de minutes d’inactivité avant demande du mot de passe 1 minute
      Expiration du mot de passe (jours) 41
      Nombre de mots de passe précédents avant d’autoriser leur réutilisation 5
         
    Défenseur Logiciel anti-programme malveillant Microsoft Defender Require (Rendre obligatoire)
      Veille de sécurité du logiciel anti-programme malveillant Microsoft Defender à jour Require (Rendre obligatoire)
      Protection en temps réel Require (Rendre obligatoire)

  6. Dans Actions en cas de non-conformité, pour l’action Marquage de l’appareil non conforme , configurez La planification (jours après la non-conformité) sur 1 jour. Vous pouvez configurer une période de grâce différente en fonction de vos préférences organization.

    Si vous utilisez des stratégies d’accès conditionnel dans votre organization, il est recommandé de configurer une période de grâce. Les périodes de grâce empêchent les appareils non conformes de perdre immédiatement l’accès aux ressources organization.

  7. Vous pouvez ajouter une action aux utilisateurs par e-mail les informant de non-conformité avec les étapes de conformité.

  8. Affectez la stratégie de conformité au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

Étape 8 - Configurations facultatives

Vous pouvez créer et déployer des stratégies facultatives avec votre configuration cloud. Cette section décrit ces stratégies facultatives.

✅ Configurer un nom de domaine de locataire

Configurez les appareils pour qu’ils utilisent automatiquement le nom de domaine de votre locataire pour les connexions utilisateur. Lorsque vous ajoutez un nom de domaine, les utilisateurs n’ont pas besoin de taper leur UPN complet pour se connecter.

Ajoutez le nom de domaine du locataire dans Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Sélectionnez Appareils>Par plateforme>Windows>Gérer les appareils>Configuration>Créer une>nouvelle stratégie.
  3. Pour plateforme, sélectionnez Windows 10 et versions ultérieures.
  4. Pour Type de profil, sélectionnez Modèles Restrictions>>d’appareilCréer.
  5. Entrez un nom pour le profil, puis sélectionnez Suivant.
  6. Dans Paramètres de configuration, pour Mot de passe, configurez le domaine de locataire Preferred Microsoft Entra. Entrez le nom de domaine Microsoft Entra que les utilisateurs doivent utiliser pour se connecter aux appareils.
  7. Affectez le profil au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

✅ Déployer d’autres applications métier et de productivité essentielles

Vous pouvez avoir quelques applications métier essentielles dont tous les appareils ont besoin. Choisissez un nombre minimal de ces applications à déployer. Si vous fournissez des applications à l’aide d’une solution de virtualisation, déployez également l’application cliente de virtualisation sur les appareils.

Il n’existe aucune restriction quant au nombre ou à la taille d’autres applications qui peuvent être déployées avec les applications ajoutées à votre configuration cloud. Toutefois, Microsoft recommande de garder ces autres applications au minimum en fonction de ce dont les utilisateurs ont besoin pour leurs rôles. Affectez ces applications essentielles au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

Vous aurez peut-être besoin d’applications métier spécifiques sur certains de vos appareils. Ou bien, certaines applications peuvent avoir des exigences complexes en matière d’empaquetage ou de procédure. Pour ces scénarios, envisagez de déplacer ces applications hors de votre déploiement de configuration cloud. Vous pouvez également conserver les appareils qui ont besoin de ces applications dans votre modèle de gestion Windows existant.

La configuration cloud est recommandée pour les appareils qui n’ont besoin que de quelques applications clés, ainsi que de la collaboration et de la navigation.

✅Déployer les ressources dont les utilisateurs ont besoin pour l’accès organization

Configurez les ressources essentielles dont les utilisateurs peuvent avoir besoin, ce qui dépend des processus de votre organization. Les ressources essentielles peuvent inclure des certificats, des imprimantes, des connexions VPN et des profils Wi-Fi.

Dans Intune, affectez ces ressources au groupe que vous avez créé à l’étape 1 : Créer un groupe Microsoft Entra (dans cet article).

✅ Configurer les paramètres recommandés pour le déplacement de dossiers connus OneDrive

D’autres paramètres améliorent l’expérience utilisateur pour le déplacement de dossiers connus OneDrive. Les paramètres ne sont pas requis pour que le déplacement du dossier connu fonctionne, mais ils sont utiles.

Pour plus d’informations sur ces paramètres, accédez à Paramètres OneDrive recommandés pour le déplacement de dossiers connus.

✅ Configurer les paramètres Microsoft Edge recommandés

Certains paramètres d’application Microsoft Edge peuvent être configurés pour une meilleure expérience utilisateur. Vous pouvez configurer ces paramètres en fonction des exigences ou des préférences pour l’expérience de l’utilisateur final.

Pour configurer ces paramètres recommandés, utilisez Intune :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Par plateforme>Windows>Gérer les appareils>Configuration>Créer une>nouvelle stratégie.

  3. Sélectionnez Windows 10 et versions ultérieures pour plateforme et Modèles pour le type de profil.

  4. Sélectionnez Modèles d’administration , puis Créer.

  5. Entrez un nom pour le profil, puis sélectionnez Suivant.

  6. Dans Paramètres de configuration, recherchez les paramètres suivants et configurez-les sur leurs valeurs recommandées :

    Définition d’une catégorie Setting Valeur(s)
      Configurer l’intégration d’Internet Explorer Activé, mode Explorer Internet
       
    Paramètres SmartScreen Configurer Microsoft Defender SmartScreen Activé
      Forcer Microsoft Defender vérifications SmartScreen sur les téléchargements à partir de sources approuvées Activé
      Configurer Microsoft Defender SmartScreen pour bloquer les applications potentiellement indésirables Activé

    Notes

    Les paramètres SmartScreen sont également appliqués par Microsoft Defender. Lorsque vous configurez les paramètres SmartScreen via l’application Microsoft Edge, Microsoft Edge applique directement les paramètres.

  7. Affectez le profil au groupe que vous avez créé à l’étape 1 - Créer un groupe Microsoft Entra (dans cet article).

Surveiller la status de la configuration cloud

Lorsque vous appliquez une configuration cloud à vos appareils, vous pouvez utiliser Intune pour surveiller la status des applications et des configurations d’appareils.

Status de script

Vous pouvez surveiller les status d’installation de vos scripts déployés :

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Par plateforme>Scripts windows>et corrections>Scripts de plateforme.
  2. Sélectionnez le script que vous avez déployé.
  3. Dans la page des détails du script, sélectionnez Appareil status. Les détails de l’installation du script sont affichés.

Installations d’applications

Vous pouvez surveiller les status d’installation de vos applications déployées :

  1. Dans le centre d’administration Microsoft Intune, accédez à Applications> WindowsApplicationsWindows>.
  2. Sélectionnez une application que vous avez déployée, comme Microsoft 365 App Suite.
  3. Sélectionnez Status d’installation de l’appareil ou Status d’installation de l’utilisateur. Les détails de l’installation de l’application sont affichés.

Pour plus d’informations sur la résolution des problèmes d’application sur des appareils individuels, consultez Résolution des problèmes d’installation d’applications Intune.

Base de référence de sécurité

Vous pouvez surveiller les status d’installation de votre base de référence de sécurité déployée. Pour plus d’informations, consultez Surveiller les bases de référence et les profils de sécurité dans Intune.

Profil de chiffrement de disque

À l’étape 5 - Déployer des paramètres de sécurité de point de terminaison (dans cet article), vous avez peut-être configuré et déployé des paramètres BitLocker.

Vous pouvez surveiller les status de ce profil BitLocker :

  1. Dans le centre d’administration Microsoft Intune, accédez à Sécurité du point de terminaison>Chiffrement de disque.
  2. Sélectionnez le profil de chiffrement de disque que vous avez déployé dans la configuration cloud.
  3. Sélectionnez Status d’installation de l’appareil ou Status d’installation de l’utilisateur. Les détails du profil sont affichés.

Paramètres de Windows Update

Vous pouvez surveiller la status de la stratégie d’anneau Windows Update :

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Gérer les mises à jour>Windows 10 et mises à jour>ultérieures onglet Anneaux de mise à jour.
  2. Sélectionnez l’anneau de mise à jour que vous avez déployé dans le cadre de la configuration cloud.
  3. Sélectionnez Status del’appareil, Status utilisateur ou Status de mise à jour de l’utilisateur final. Les détails des paramètres de l’anneau de mise à jour sont affichés.

Pour plus d’informations sur la création de rapports pour les anneaux Windows Update, accédez à Rapports pour les anneaux de mise à jour pour Windows 10 et les stratégies ultérieures.

Stratégie de conformité

Vous pouvez surveiller les status de la stratégie de conformité :

  1. Dans le centre d’administration Microsoft Intune, accédez àConformitédes appareils>.
  2. Sélectionnez la stratégie de conformité que vous avez déployée dans le cadre de la configuration du cloud.

La vue de surveillance de la conformité des appareils contient des informations détaillées sur les status d’affectation et les échecs d’affectation de vos stratégies de conformité. Il dispose également de vues permettant de trouver rapidement des appareils non conformes et de prendre des mesures.

Pour plus d’informations sur la surveillance des stratégies de conformité dans Intune, consultez Surveiller les résultats de vos stratégies de conformité d’appareil Intune.

Contenu connexe