Partager via


Rapports de filtrage et résolution des problèmes dans Microsoft Intune

Quand vous créez une application, une stratégie de conformité ou un profil de configuration, vous affectez la stratégie à des groupes (d’utilisateurs ou d’appareils). Quand vous affectez l’application ou la stratégie, vous pouvez également utiliser des filtres. Par exemple, vous pouvez attribuer des stratégies aux appareils Windows 10/11 exécutant une version spécifique du système d'exploitation.

Vous pouvez utiliser des filtres sur les appareils gérés (appareils inscrits dans Intune) et les applications gérées (applications gérées par Intune). Pour plus d’informations, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils.

Les applications gérées et les appareils gérés sont évalués par rapport à ces filtres pour répondre aux règles que vous configurez. Les résultats des évaluations de filtre sont consignés et signalés dans le Centre d’administration Microsoft Intune.

Lisez cet article pour en savoir plus sur les fonctionnalités de création de rapports et pour savoir comment résoudre les problèmes liés aux filtres et aux conflits.

Importante

À partir du moment de l’évaluation, l’affichage des résultats de l’évaluation du filtre peut prendre jusqu’à 30 minutes dans le Centre d’administration Intune.

Rapports pour les appareils gérés

Le Centre d’administration Intune contient des informations de création de rapports par appareil et par application. Utilisez ces informations pour résoudre les problèmes d’évaluation des filtres et déterminer pourquoi une stratégie a été appliquée ou non.

Vous pouvez utiliser les rapports suivants pour obtenir plus d’informations sur vos filtres :

Rapport d’évaluation des filtres pour les appareils

Ce rapport affiche chacune des applications ou des stratégies avec le filtre qui a été appliqué. Pour chaque application ou stratégie évaluée, vous pouvez voir les filtres appliqués et obtenir des informations plus détaillées.

Pour afficher un rapport généré, vous pouvez suivre la procédure suivante :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Tous les appareils> sélectionnez une évaluation de filtre d’appareil>. Les informations suivantes s’affichent :

    • Les filtres qui ont été évalués.
    • La date et l’heure auxquelles l’évaluation a été effectuée.
    • Les résultats de l’évaluation : Correspondance ou Aucune correspondance
    • Si le filtre utilise le mode Inclure ou Exclure
    • Le nom, la description et les règles du filtre
    • Les propriétés qui ont été évaluées, telles que deviceName.
    • Les applications disponibles qui peuvent être attribuées à l’appareil.

    Dans la section Informations sur le filtre, le nom, la description et les règles du filtre actuellement configurés sont renseignés. Les informations ne sont pas renseignées à partir des données du journal. Le nom du filtre, la syntaxe et toutes les autres métadonnées peuvent changer depuis l’heure de la dernière évaluation. Lorsque vous cherchez à résoudre des problèmes, il est important de regarder les horodatages Heure de l’évaluation et Dernière modification.

Dans l’exemple suivant, vous pouvez voir les informations suivantes au sujet de TestDevice :

Capture d’écran montrant comment afficher la date, l’heure, les résultats de l’évaluation et d’autres propriétés d’attribution de filtre d’appareil dans Microsoft Intune.

Importante

Les rapports d’évaluation de filtre pour les appareils n’affichent pas les résultats des évaluations d’accès conditionnel Microsoft Entra. Pour résoudre les problèmes d’accès conditionnel, utilisez les journaux de connexion Microsoft Entra. Pour plus d’informations, consultez Vue d’ensemble des journaux de connexion Microsoft Entra.

Rapports d’évaluation du filtre de charge de travail

Ces rapports affichent des informations de filtre pour chaque appareil évalué dans une application ou une attribution de stratégie. Pour chaque appareil, vous pouvez voir l’applicabilité globale de l’appareil pour une charge de travail et obtenir des informations plus détaillées sur l’évaluation du filtre.

Pour afficher ces rapports, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Applications>Toutes les applications> sélectionnez une application État de l’installation de l’appareil>.

  3. Sélectionnez la colonne >FiltreFiltres évalués. Les informations suivantes s’affichent :

    • Les filtres qui ont été évalués.
    • La date et l’heure auxquelles l’évaluation a été effectuée.
    • Résultats de l’évaluation : Correspondance ou Aucune correspondance, et Affectation d’application appliquée ou Affectation d’application non appliquée
    • Si le filtre utilisait le mode d’inclusion ou d’exclusion
    • Le nom, la description et les règles du filtre
    • Les propriétés qui ont été évaluées, comme deviceCategory.

Dans l’exemple suivant, vous pouvez voir ces informations pour l’application Microsoft Word de l’App Store :

Capture d’écran montrant comment afficher la date, l’heure, les résultats de l’évaluation et d’autres propriétés de filtre d’application pour une application dans Microsoft Intune.

Importante

  • Dans le rapport État de l'installation de l’appareil, les applications déployées en tant que « disponibles » ne sont pas affichées. Pour résoudre les problèmes si un utilisateur/appareil est filtré dans ou hors d’une affectation disponible, utilisez le Rapport d’évaluation des filtres pour les appareils. Pour générer des résultats d’évaluation des filtres, l’utilisateur final doit se rendre à la liste des applications dans l’application ou le site web du portail d’entreprise.
  • Lorsque vous attribuez une stratégie, vous pouvez ajouter des appareils aux « groupes exclus ». Ces appareils exclus ne sont pas affichés dans les rapports d’état des appareils de charge de travail.
  • Dans les rapports d'état des appareils du catalogue des applications et des paramètres, une colonne indique toute évaluation de filtre. Actuellement, les informations d’évaluation de filtre ne sont pas disponibles pour toutes les charges de travail Intune.

Rapports pour les applications gérées

Le Centre d’administration Intune contient des informations de création de rapports par appareil et par plateforme pour les applications gérées. Utilisez ces informations pour résoudre les problèmes d’évaluation des filtres et déterminer pourquoi une stratégie a été appliquée ou non.

Vous pouvez utiliser les rapports suivants pour obtenir plus d’informations sur les propriétés utilisées pour le filtre d’affectation :

Inclusion et exclusion

Lorsque vous créez un filtre, vous choisissez d’inclure ou d’exclure des appareils en fonction de certaines propriétés, telles que device.model -equals "Surface pro" ou device.model -notEquals "Surface pro". Il peut être difficile de comprendre les résultats de l’évaluation, en particulier lorsque vous incluez ou excluez des appareils.

Utilisez le tableau suivant afin de mieux comprendre quand vous devez inclure ou exclure des appareils :

Mode du filtre Résultat du filtre Résultat global
Include Correspondance Appliquer une affectation de stratégies ou d’applications
Include Non-correspondance Ne pas appliquer de stratégie ou d’affectation d’application
Exclure Correspondance Ne pas appliquer de stratégie ou d’affectation d’application
Exclure Non-correspondance Appliquer une affectation de stratégies ou d’applications

Ce que vous devez savoir

  • Un résultat de filtre Non évalué peut s’afficher lorsqu’une stratégie a une affectation en conflit sur l’appareil. Pour plus d’informations, consultez Filtres et résolution des conflits d’affectation (dans cet article).

  • Les filtres sont évalués lors de l’inscription et lorsque l’appareil s’archive auprès du service Intune. L’évaluation peut également être exécutée à d’autres moments, par exemple lors d’une vérification de conformité. Dans certains scénarios, vous pouvez rencontrer des conditions de concurrence.

    Par exemple, considérez la séquence d’événements suivante, où chaque fois est un point dans le temps différent :

    • Time1 : vous affectez une application à un groupe d’utilisateurs. Ce groupe utilise un filtre basé sur la propriété « Category ».

    • Time2 : un utilisateur ciblé inscrit un nouvel appareil et s’enregistre auprès du service Intune. Pendant l’archivage, le filtre de catégorie est évalué. Étant donné qu’une catégorie n’est pas encore définie sur l’appareil, le filtre est évalué comme une catégorie Null et l’application s’installe.

      Si un filtre fonctionnait en mode « Exclure », l’application peut être installée, car elle peut ne pas correspondre aux critères d’exclusion.

    • Time3 : dans l’application Portail d’entreprise, l’utilisateur est invité à choisir une catégorie d’appareil. N’oubliez pas que l’inscription et l’archivage sont déjà terminés.

    • Time4 : lors de l’archivage suivant de l’appareil, la propriété de catégorie est mise à jour et retourne maintenant un autre résultat d’évaluation de filtre. N’oubliez pas que l’application était déjà installée. Et il ne sera pas automatiquement supprimé.

    Pour connaître les heures d’enregistrement approximatives, accédez à Intervalles d’actualisation de la stratégie Intune.

  • Les derniers résultats d’évaluation des filtres sont stockés pendant 30 jours. Si les journaux ont expiré, un message s’affiche We were not able to retrieve any filter evaluation results .

Filtres et résolution des conflits d’affectation

Lorsque vous affectez une stratégie à un groupe (d’utilisateurs ou d’appareils), un chevauchement d’affectations est possible. Cette section décrit le comportement auquel vous pouvez vous attendre en cas de chevauchement des affectations.

Application gérées

Les appareils gérés et les filtres d’applications managées ciblent différentes charges de travail. Vous ne pouvez pas affecter la même stratégie de filtre aux appareils gérés et aux applications gérées. Par conséquent, il n’y a pas de résolution de conflit ou de chevauchement d’affectation.

Si vous créez deux stratégies de filtre d’application managée et qu’elles sont en conflit, la stratégie de filtre n’est pas appliquée.

Appareils gérés

Le chevauchement peut entraîner des conflits et Intune permet d’éviter les conflits.

Intune vous empêche de créer plusieurs affectations au même groupe Microsoft Entra. Il n’est pas recommandé d’affecter des applications ou des stratégies au même utilisateur ou au même appareil cible avec plusieurs intentions. Par exemple, lorsque vous déployez une application, vous ne pouvez pas sélectionner un groupe pour une affectation Disponible, puis le même groupe pour une affectation Obligatoire.

Un chevauchement peut se produire lorsqu’un utilisateur ou un appareil se trouve dans plusieurs groupes ciblés. Les affectations conflictuelles ne sont pas recommandées. Pour plus d’informations, consultez Conflits entre les intentions de l’application.

Capture d’écran montrant comment des conflits peuvent se produire lorsqu’un appareil se trouve dans plusieurs groupes dans Microsoft Intune.

Lorsque vous utilisez des filtres, la résolution des conflits est gérée à l’aide des méthodes suivantes :

Mode du filtre

Lorsqu'il existe un appareil avec des attributions en conflit pour la même stratégie, la priorité suivante s'applique :

  1. Le mode Exclure s’applique. Exclure a priorité sur Aucun filtre et sur le mode Inclure.
  2. Le mode Aucun filtre s’applique. Aucun filtre a priorité sur le mode Inclure.
  3. Le mode Inclure s’applique.

Lorsque vous affectez l’application ou la stratégie, vous choisissez d’appliquer un filtre :

Capture d’écran montrant que la priorité du filtre est exclue, aucun filtre, puis incluez lors de l’attribution de stratégies dans Microsoft Intune.

Par exemple :

  • La stratégie PolicyA est affectée à trois groupes d’appareils : GroupA, GroupB et GroupC.
  • L’affectation de GroupA utilise le filtre FilterA. FilterA utilise le mode Inclure.
  • L’affectation de GroupB utilise le filtre FilterB. FilterB utilise le mode Exclure.
  • L’affectation de GroupC n’utilise aucun filtre.
  • L’appareil DeviceA est membre des trois groupes suivants : GroupA, GroupB et GroupC.

Dans ce scénario, l’affectation d’exclusion est prioritaire en raison de la précédence du mode de filtre. DeviceA évalue FilterB. Si DeviceA correspond aux règles, DeviceA est exclu de PolicyA. Si DeviceA ne correspond pas à FilterB, PolicyA s’applique. DeviceA n’évalue plus les affectations et les filtres pour GroupB et GroupC.

Utiliser la logique « OR » lorsque les modes de filtre sont les mêmes

Si plusieurs filtres utilisant le même mode sont appliqués, par exemple Inclure, la logique OR est utilisée. L’appareil doit uniquement correspondre aux règles de l’un des filtres à inclure ou exclure de l’affectation de stratégie.

Par exemple :

  • PolicyA est affectée à deux groupes : GroupA et GroupB.
  • L’affectation de GroupA utilise le filtre FilterA. FilterA utilise le mode Inclure.
  • L’affectation de GroupB utilise le filtre FilterB. FilterB utilise le mode Inclure.
  • DeviceA est membre des deux groupes : GroupA et GroupB.

Dans ce scénario, les deux filtres utilisent le même mode. Ainsi, les filtres résolvent le conflit avec la logique OR. DeviceA évalue FilterA et FilterB. Si DeviceA correspond aux règles d’un des deux filtres, alors DeviceA reçoit PolicyA. Si DeviceA ne correspond à aucun filtre, PolicyA n’est pas appliquée.

Intention de l’application

Les applications utilisent la résolution des conflits basée sur « l’intention ». L’intention est évaluée avant les filtres. Par exemple, les applications évaluent si un appareil est ciblé avec l’intention d’affectation Disponible, Obligatoire ou Désinstaller. L’intention gagnante est ensuite passée au moteur de filtrage afin de déterminer son applicabilité.

Par exemple :

  • AppA est affectée à deux groupes : GroupA et GroupB.
  • L’affectation de GroupA utilise l’intention Obligatoire. L’affectation de GroupA utilise FilterA, qui utilise le mode Inclure.
  • L’affectation de GroupB utilise l’intention Désinstaller. L’affectation de GroupB utilise FilterB, qui utilise le mode Inclure.
  • DeviceA est membre des deux groupes : GroupA et GroupB.

Dans ce scénario, l’intention de l’application gagnante est Obligatoire. Pour plus d’informations, consultez Conflits entre les intentions de l’application. Par conséquent, DeviceA doit uniquement évaluer FilterA. Si DeviceA correspond aux règles de FilterA, DeviceA reçoit AppA en tant qu’application obligatoire.

Les applications utilisent un comportement spécial lors de la résolution des conflits entre les affectations obligatoires et disponibles. Si un utilisateur ou un appareil est ciblé à la fois par une affectation disponible et une affectation obligatoire, il reçoit une intention fusionnée appelée obligatoire et disponible. L’appareil doit évaluer les filtres qui sont utilisés dans les deux affectations. Lorsqu’il évalue les deux filtres, l’appareil implémente la même résolution de conflit : mode de filtre et logique « OR » lorsque les modes de filtre sont identiques.

Matrice de résolution des conflits

L’exemple suivant contient un conflit d’affectations, car un même utilisateur ou appareil se trouve dans les deux affectations :

Capture d’écran montrant un exemple de conflit d’affectation lors de l’utilisation de filtres dans Microsoft Intune.

La matrice suivante explique l’effet, en fonction du scénario de conflit :

Capture d’écran montrant que l’effet de conflit dépend du paramètre configuré lors de l’utilisation de filtres dans Microsoft Intune.

Prochaines étapes