Configurer des actions pour les appareils non conformes dans Intune

  • Article

Dans le cadre d’une stratégie de conformité qui protège les ressources de votre organisation contre les appareils qui ne répondent pas à vos exigences de sécurité, les stratégies de conformité incluent également des Actions en cas de non-conformité. Les actions en cas de non-conformité sont une ou plusieurs actions chronologiques effectuées par une stratégie pour protéger les appareils et votre organisation. Par exemple, une action de non-conformité peut verrouiller à distance un appareil pour s’assurer qu’il est protégé, ou envoyer une notification aux appareils ou aux utilisateurs pour les aider à comprendre et à résoudre l’état non conforme.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Présentation

Par défaut, chaque stratégie de conformité comprend l’action en cas de non-conformité Marquer l’appareil comme non conforme avec une planification de zéro jour (0). Le résultat de ce paramétrage par défaut est que, quand Intune détecte un appareil qui n’est pas conforme, il le marque immédiatement comme non conforme. Une fois qu’un appareil est marqué comme non conforme, Microsoft Entra accès conditionnel peut bloquer l’appareil.

En configurant actions en cas de non-conformité , vous gagnez en flexibilité pour décider quoi faire pour les appareils non conformes et quand le faire. Par exemple, vous pouvez décider de ne pas bloquer immédiatement l’appareil et offrir à l’utilisateur une période de grâce pendant laquelle il peut configurer la conformité de l’appareil.

Pour chaque action que vous définissez, vous pouvez configurer une planification qui détermine le moment où cette action prend effet. La planification correspond au nombre de jours après celui où l’appareil a été marqué comme non conforme. Vous pouvez également configurer plusieurs instances d’une action. Lorsque vous définissez plusieurs instances d’une action dans une stratégie, l’action s’exécute de nouveau à une heure planifiée ultérieure si l’appareil reste non conforme.

Toutes les actions ne sont pas disponibles pour toutes les plateformes.

Remarque

Le centre d’administration Microsoft Intune affiche la planification (jours après la non-conformité) en jours. Toutefois, il est possible de spécifier un intervalle plus granulaire (heures), à l’aide de fractions décimales telles que 0,25 (6 heures), 0,5 (12 heures), 1,5 (36 heures), etc. Bien que d’autres valeurs soient possibles, elles peuvent uniquement être configurées à l’aide de Microsoft Graph et non via le Centre d’administration. Toute tentative d’utilisation d’autres valeurs dans le Centre d’administration, telles que 0,33 (8 heures), entraîne une erreur lors de la tentative d’enregistrer la stratégie.

Actions disponibles en cas de non-conformité

Voici les actions disponibles en cas de non-conformité :

  • Marquer le périphérique non conforme : par défaut, cette action est définie pour chaque politique de conformité et a un calendrier de zéro (0) jour, marquant les périphériques comme non conformes immédiatement.

    Lorsque vous modifiez la planification par défaut, vous spécifiez une période de grâce pendant laquelle un utilisateur peut corriger les problèmes ou devenir conforme sans être marqué comme non conforme.

    Cette action est prise en charge sur toutes les plateformes prises en charge par Intune.

  • Envoyer un courrier électronique à l’utilisateur final : cette action envoie une notification par courrier électronique à l’utilisateur. Quand vous activez cette action :

    • Sélectionnez un modèle de message de notification que cette action envoie. Vous créez un modèle de message de notification pour pouvoir en affecter un à cette action. Lorsque vous créez une notification personnalisée, vous personnalisez le lieu, l'objet et le corps du message, et vous pouvez inclure le logo de l'entreprise, le nom de l'entreprise et d'autres informations de contact.
    • Choisissez d’envoyer le message à d’autres destinataires en sélectionnant un ou plusieurs de vos groupes Microsoft Entra.

    Intune utilise l’adresse de messagerie définie dans le profil de l’utilisateur final et non son nom d’utilisateur principal (UPN). S'il n'y a pas d'adresse de messagerie définie dans le profil de l'utilisateur, Intune n'envoie pas d'e-mail de notification. Lors de l’envoi de l’e-mail, Intune ajoute des informations sur l’appareil non conforme dans l’e-mail de notification.

    Cette action est prise en charge sur toutes les plateformes prises en charge par Intune.

    Remarque

    Les e-mails de notification sont envoyés à partir de : microsoft-noreply@microsoft.com

    Vérifiez que vous n’avez pas de stratégie de boîte aux lettres qui empêcherait la remise d’e-mails à partir de ces adresses, sinon les utilisateurs finaux risquent de ne pas recevoir la notification par e-mail.

    Avant décembre 2022, les e-mails de notification dans le cloud commercial étaient envoyés à partir de : IntuneNotificationService@microsoft.com

  • Verrouiller à distance l’appareil nonconforme : utilisez cette action pour émettre un verrou à distance d’un appareil. L’utilisateur est ensuite invité à entrer un code PIN ou un mot de passe pour déverrouiller l’appareil. Découvrez plus en détail la fonctionnalité Verrouillage à distance.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareils Android
    • Android (AOSP)
    • Android Enterprise :
      • Entièrement géré
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
      • Appareils kiosque Android Entreprise
    • iOS/iPadOS
    • macOS

  • Ajouter un appareil à la liste de mise hors service : lorsque cette action est effectuée sur un appareil, l’appareil est ajouté à une liste d’appareils non conformes mis hors service dans le centre d’administration Intune. Vous pouvez accéder à Conformité des appareils> et sélectionner l’onglet Mettre hors service les appareils non conformes pour afficher la liste. Toutefois, l’appareil n’est pas mis hors service tant qu’un administrateur n’a pas explicitement lancé le processus de mise hors service. Lorsqu’un administrateur met hors service l’appareil de cette liste, la mise hors service supprime toutes les données de l’entreprise de l’appareil et supprime cet appareil de la gestion Intune.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareils Android
    • Android (AOSP)
    • Android Enterprise :
      • Entièrement géré
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Remarque

    Seuls les appareils pour lesquels l’action de liste Ajouter un appareil à mettre hors service a été déclenchée apparaissent sous l’onglet Mettre hors service les appareils sélectionnés . Pour afficher la liste de tous les appareils qui ne sont pas conformes, consultez le rapport appareils non conformes mentionné dans Surveiller la stratégie de conformité des appareils.

    Pour mettre hors service un ou plusieurs appareils de la liste, sélectionnez appareils à mettre hors service, puis mettre hors service les appareils sélectionnés. Lorsque vous choisissez une action qui retire des appareils, une boîte de dialogue vous est ensuite présentée pour confirmer l’action. Ce n’est qu’après avoir confirmé l’intention de retirer les appareils qu’ils sont effacés des données d’entreprise et supprimés de la gestion d’Intune.

    D’autres options incluent Mettre hors service tous les appareils, Effacer l’état de mise hors service de tous les appareils et Effacer l’état de mise hors service des appareils sélectionnés. L’effacement de l’état de mise hors service d’un appareil supprime l’appareil de la liste des appareils qui peuvent être mis hors service jusqu’à ce que l’action Ajouter un appareil à la liste de mise hors service soit à nouveau appliquée à cet appareil.

    En savoir plus sur la mise hors service d’appareils.

  • Envoyer une notification push à l'utilisateur final : Configurez cette action pour envoyer une notification Push de non-conformité à un appareil via l’application Portail d’entreprise ou Intune App sur l’appareil.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareils Android
    • Android Enterprise :
      • Entièrement géré
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
    • iOS/iPadOS

    La notification Push est envoyée la première fois qu’un appareil effectue une vérification auprès d’Intune et est jugé non conforme à la stratégie de conformité. Quand un utilisateur sélectionne la notification, l’application Portail d’entreprise ou Intune App s’ouvre et affiche des informations sur la raison de la non-conformité. L’utilisateur peut ensuite prendre des mesures pour résoudre le problème. Les détails du message sur la non-conformité sont générés par Intune et ne peuvent pas être personnalisés.

    Importante

    Intune, l’application Portail d’entreprise et l’application Microsoft Intune ne peuvent pas garantir la remise d’une notification Push. Les notifications peuvent s’afficher après plusieurs heures, voire jamais. Cela inclut le moment où les utilisateurs ont désactivé les notifications Push.

    Ne vous fiez pas à cette méthode de notification pour les messages urgents.

    Chaque instance de l’action envoie une notification une seule fois. Pour envoyer à nouveau la même notification à partir d'une stratégie, configurez plusieurs instances de l'action dans cette stratégie, chacune avec une planification différente.

    Par exemple, vous pouvez planifier la première action à zéro jour, puis ajouter une deuxième instance de l’action définie sur trois jours. Ce délai avant la deuxième notification offre à l’utilisateur quelques jours pour résoudre le problème et éviter la deuxième notification.

    Pour éviter d’encombrer la boîte aux lettres des utilisateurs avec un trop grand nombre de messages en double, examinez et rationalisez les stratégies de conformité qui incluent une notification Push en cas de non-conformité, puis passez en revue les planifications afin d’éviter les notifications à répétition pour le même problème.

    Considérez :

    • Pour une stratégie unique qui comprend plusieurs instances d’un ensemble de notifications Push pour un même jour, une seule notification est envoyée ce jour-là.

    • Quand plusieurs stratégies de conformité incluent les mêmes conditions de conformité et incluent l’action de notification Push avec la même planification, Intune envoie plusieurs notifications au même appareil le même jour.

Remarque

Les actions suivantes pour la non-conformité ne sont pas prises en charge pour les appareils gérés par un partenaire de gestion de la conformité des appareils:

  • Envoyer un e-mail à l’utilisateur final
  • Verrouiller à distance l’appareil non conforme
  • Ajouter un appareil à la liste de mise hors service
  • Envoyer une notification Push à l’utilisateur final

Avant de commencer

Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie. Vous pouvez ajouter des actions supplémentaires à chaque stratégie pour répondre à vos besoins. N’oubliez pas que chaque stratégie de conformité inclut automatiquement l’action par défaut en cas de non-conformité qui marque les appareils comme non conformes, avec une planification définie sur zéro jour.

Pour utiliser des stratégies de conformité des appareils afin de bloquer les appareils à partir des ressources d’entreprise, Microsoft Entra l’accès conditionnel doit être configuré. Pour obtenir de l’aide, consultez Accès conditionnel dans Microsoft Entra ID ou méthodes courantes d’utilisation de l’accès conditionnel avec Intune.

Pour créer une stratégie de conformité des appareils, consultez les conseils suivants spécifiques de la plateforme :

Créer un modèle de message de notification

Pour envoyer un e-mail à vos utilisateurs, créez un modèle de message de notification et associez-le à votre stratégie de conformité en tant qu’action en cas de non-conformité. Quand un appareil n’est pas conforme, les détails que vous entrez dans le modèle sont indiqués dans l’e-mail envoyé à vos utilisateurs.

Un modèle de message de notification peut inclure plusieurs messages correspondant chacun à des paramètres régionaux différents. Lorsque vous spécifiez plusieurs messages et paramètres régionaux, les utilisateurs finaux non conformes reçoivent le message approprié localisé en fonction de leur langue par défaut dans O365.

Ajoutez des variables au message pour créer un e-mail personnalisé avec du contenu dynamique. Le tableau suivant décrit les variables que vous pouvez utiliser dans la ligne d’objet et le corps du message.

Nom de la variable Jeton à utiliser Description
Nom d’utilisateur {{UserName}} Ajoutez le nom de l’utilisateur principal pour l’appareil non conforme.
Exemple : John Doe
Nom du périphérique {{DeviceName}} Ajoutez le nom de l’appareil non conforme tel qu’il est enregistré dans Microsoft Intune.
Exemple : John's iPad
ID d'appareil {{DeviceId}} Ajoutez l’ID d’appareil Intune qui appartient à l’appareil non conforme.
Exemple : 12ab345c-6789-def0-1234-000000000000
Version du système d’exploitation de l’appareil {{OSAndVersion}} Ajoutez le système d’exploitation et la version de l’appareil non conforme.
Exemple : Android 12

Pour créer le modèle

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité du point de terminaison>Conformité de l’appareil>Notifications>Créer une notification.

  3. Dans la page Informations de base , donnez au modèle un nom convivial pour vous aider à l’identifier. Ensuite, sélectionnez Suivant.

  4. Dans la page Paramètres d’en-tête et de pied de page , ajoutez les détails et le logo de votre entreprise.

    Capture d’écran montrant l’exemple de la page paramètres d’en-tête et de pied de page pour un message de notification dans Intune.

    Les options disponibles sont les suivantes :

    • en-tête Email – Afficher le logo de l’entreprise (par défaut = Activer) : chargez un logo pour ajouter la personnalisation de votre organization aux modèles d’e-mail. Pour plus d’informations sur la personnalisation du Portail d’entreprise, consultez Personnalisation de l’identité de la société.
    • Email pied de page – Afficher le nom de la société (par défaut = Activer) : activez ce paramètre pour afficher le nom de votre entreprise dans l’e-mail. Consultez Valeur du locataire pour passer en revue le nom de la société dans l’enregistrement.
    • Email pied de page – Afficher les informations de contact (par défaut = Activer) : activez ce paramètre pour afficher les informations de contact de votre organization, telles que le nom, le numéro de téléphone et l’adresse e-mail, dans l’e-mail. Consultez Valeur du locataire pour passer en revue les informations de contact enregistrées.
    • Email pied de page - Afficher le lien du site web du portail d’entreprise (par défaut = Désactiver) - Activez ce paramètre pour inclure un lien vers le site web Portail d'entreprise dans l’e-mail. Consultez Valeur du locataire pour passer en revue le lien du site web présenté aux utilisateurs.

    Sélectionnez Suivant pour continuer.

  5. Sur la page Modèles de messages de notification, configurez un ou plusieurs messages. Pour chaque message, spécifiez les informations suivantes :

    • Paramètres régionaux : sélectionnez la langue qui correspond aux paramètres régionaux de l’utilisateur de l’appareil.
    • Objet : ajoutez la ligne d’objet de l’e-mail. Vous pouvez entrer jusqu’à 78 caractères.
    • Éditeur HTML brut : activez l’éditeur HTML pour obtenir des suggestions tout en ajoutant une mise en forme HTML et des liens à votre message. Vous pouvez utiliser l’attribut href pour ajouter un lien (doit être une URL HTTPS). Les balises HTML prises en charge incluent : <a>, <ol><b><u><ul><li><br><table><code><tr><tbody><p><strong>, , <td>, , <thead>, . <th> Vous n’êtes pas obligé d’utiliser l’éditeur HTML et vous pouvez ajouter du code HTML pris en charge sans activer l’éditeur.
    • Message : créez un message expliquant la raison de la non-conformité. Vous pouvez entrer jusqu’à 2 000 caractères.

    Pour créer un modèle avec du contenu dynamique, insérez le jeton d’une variable prise en charge dans la ligne d’objet ou le message. Pour obtenir la liste des variables prises en charge, consultez le tableau sous Créer un modèle de message de notification dans cet article.

    Importante

    Veillez à utiliser uniquement les balises et attributs HTML pris en charge Intune dans le corps du message. Intune enverront des messages qui contiennent d’autres types de balises, d’éléments ou de styles en texte clair au lieu du format HTML. Cela inclut les messages qui contiennent :

    • CSS
    • Balises et attributs non répertoriés dans cet article

    Remarque

    Intune convertit les caractères de nouvelle ligne de style Windows en <br> Balises HTML, mais ignore tous les autres types de nouveaux caractères de ligne, y compris ceux pour macOS et Linux. Pour vous assurer que les sauts de ligne s’affichent correctement dans les modèles, nous vous recommandons d’utiliser la <br> balise pour indiquer la fin d’une ligne.

  6. Cochez la case Est par défaut pour l’un des messages. Intune envoie votre message par défaut aux utilisateurs qui n’ont pas défini de langue par défaut, ou lorsque le modèle n’inclut pas de message spécifique pour leurs paramètres régionaux. Un seul message peut être défini par défaut. Pour supprimer un message, sélectionnez les points de suspension (...), puis Supprimer.

    Sélectionnez Suivant pour continuer.

  7. Dans la page Balises d’étendue, sélectionnez des étiquettes pour limiter la visibilité et la gestion de ce message à des groupes d’administration Intune spécifiques, tels que US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.

    Sélectionnez Suivant pour continuer.

  8. Dans la page Vérifier + créer , passez en revue vos configurations pour vous assurer que le modèle de message de notification est prêt à être utilisé. Sélectionnez Créer pour terminer la création de la notification.

Affichage et modification des notifications

Les notifications créées sont disponibles sur la page Stratégies de conformité>Notifications. Vous pouvez en sélectionner une pour afficher sa configuration et effectuer les actions suivantes :

  • Sélectionnez Envoyer un aperçu d’e-mail pour envoyer un aperçu de l’e-mail de notification au compte que vous avez utilisé pour vous connecter à Intune.

    Pour envoyer correctement l’e-mail en préversion, votre compte doit disposer d’autorisations égales à celles des groupes de Microsoft Entra ou des rôles Intune suivants : administrateur général Microsoft Entra, administrateur Intune (Intune Microsoft Entra Intune Administrateur de service) ou Intune Stratégie et Gestionnaire de profils.

  • Sélectionnez Modifier pour Informations de base ou Balises d’étendue afin d’apporter une modification.

Remarque

L’e-mail d’aperçu ne contient pas les variables d’appareil spécifiées dans le modèle de message de notification.

Ajouter des actions en cas de non-conformité

Quand vous créez une stratégie de conformité des appareils, Intune crée automatiquement une action en cas de non-conformité. Si un appareil ne répond pas à votre stratégie de conformité, cette action marque l’appareil comme non conforme. Vous pouvez personnaliser la durée pendant laquelle l’appareil est marqué comme non conforme. Cette action ne peut pas être supprimée.

Vous pouvez ajouter des actions facultatives quand vous créez une stratégie de conformité ou mettez à jour une stratégie existante.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Conformité des appareils>.

  3. Sélectionnez une stratégie, puis sélectionnez Propriétés.

    Vous n’avez pas encore de stratégie? Créez une stratégie Android, iOS, Windows ou une stratégie pour une autre plateforme.

    Remarque

    Les appareils gérés par des partenaires de conformité tiers et ciblés avec des groupes d’appareils ne peuvent pas recevoir d’actions de conformité pour l’instant.

  4. Sélectionnez Actions en cas de modification de> non-conformité.

  5. Sélectionnez votre Action :

    • Envoyer un e-mail à l’utilisateur final : quand l’appareil n’est pas conforme, envoyer un e-mail à l’utilisateur. En outre :

      • Choisissez le Modèle de message que vous avez créé.
      • Entrez d’Autres destinataires en sélectionnant des groupes

    • Verrouiller à distance l’appareil non conforme : quand l’appareil n’est pas conforme, verrouiller l’appareil. L’utilisateur est ainsi obligé d’entrer un code PIN ou un mot de passe pour déverrouiller l’appareil.

    • Ajouter un appareil à la liste de mise hors service : lorsque l’appareil n’est pas conforme, supprimez toutes les données d’entreprise de l’appareil et supprimez l’appareil de la gestion Intune.

    • Envoyer une notification push à l'utilisateur final : Configurez cette action pour envoyer une notification push de non-conformité à un appareil via l'appli Company Portal ou Intune App sur l'appareil.

  6. Configurer une planification : Saisissez le nombre de jours (0 à 365) après la non-conformité pour déclencher l'action sur les appareils des utilisateurs. Après cette période de grâce, vous pouvez appliquer une stratégie d’accès conditionnel. Si vous entrez 0 (zéro) comme nombre de jours, l’accès conditionnel prend effet immédiatement. Par exemple, si un appareil n’est pas conforme, utilisez l’accès conditionnel pour bloquer immédiatement l’accès à la messagerie, à SharePoint et à d’autres ressources de l’organisation.

    Lorsque vous créez une stratégie de conformité, l’action Marquer l’appareil comme non conforme est automatiquement créée et définie automatiquement sur 0 jour (immédiatement). Avec cette action, lorsque l’appareil s’enregistre auprès d’Intune et évalue la stratégie, Intune le signale immédiatement comme non conforme s’il est non-conforme à la stratégie. Si le client se connecte ultérieurement après avoir corrigé les problèmes qui entraînent une non-conformité, son état est mis à jour vers son nouvel état de conformité. Si vous utilisez l’accès conditionnel, ces stratégies s’appliquent également dès qu’un appareil est marqué comme non conforme. Pour définir une période de grâce afin d’autoriser la correction d’une condition de non-conformité avant que l’appareil ne soit marqué comme non conforme, modifiez la Planification sur l’action Marquer l’appareil comme non conforme.

    Dans votre stratégie de conformité, par exemple, vous pouvez également notifier l’utilisateur. Vous pouvez ajouter l’action Envoyer un e-mail à l’utilisateur final. Dans cette action Envoyer un e-mail, définissez la planification sur deux jours. Si l’appareil ou l’utilisateur final est toujours évalué comme non conforme le deuxième jour, votre e-mail est envoyé le deuxième jour. Si vous souhaitez envoyer un nouveau message à l’utilisateur le cinquième jour de la non-conformité, ajoutez une autre action et définissez la planification sur cinq jours.

    Pour plus d’informations sur la conformité et les actions intégrées, consultez la présentation de la conformité.

  7. Quand vous avez terminé, sélectionnez Ajouter>OK pour enregistrer les modifications.

Prochaines étapes

Supervisez vos stratégies.