Partager via


Utiliser des groupes de paramètres réutilisables avec des stratégies de Intune

Cette fonctionnalité est en préversion publique.

Intune prend en charge les groupes de paramètres réutilisables que vous pouvez ajouter aux stratégies et profils de configuration pour simplifier la gestion des paramètres courants. Un bon moment pour utiliser des groupes réutilisables est lorsque vous devez utiliser les paramètres avec la même configuration dans plusieurs profils.

Lorsque vous modifiez les paramètres dans un groupe réutilisable, les modifications que vous apportez s’appliquent automatiquement à chaque profil qui inclut le groupe. Lorsque vous enregistrez vos modifications dans le groupe de paramètres réutilisables, Intune met à jour les profils avec ces nouvelles configurations et déploie le profil mis à jour sur les appareils en fonction des affectations du profil.

Les profils suivants prennent en charge les groupes réutilisables :

Vue d’ensemble des groupes de paramètres réutilisables

Chaque groupe de paramètres réutilisables est un seul objet qui peut inclure plusieurs paramètres. Après avoir configuré un ou plusieurs groupes réutilisables pour une utilisation avec un type de profil spécifique, vous créez ou modifiez un profil pour ajouter les groupes. Les profils peuvent prendre en charge plusieurs groupes.

Pour gérer des groupes de paramètres réutilisables, dans le centre d’administration Microsoft Intune, vous utilisez l’onglet Paramètres réutilisables associé à la stratégie et aux profils avec lesquels vous souhaitez utiliser un groupe. Sous l’onglet , vous pouvez créer un groupe, modifier les paramètres d’un groupe et afficher le nombre de stratégies qui héritent des paramètres de chaque groupe. Chaque groupe de paramètres réutilisables est utilisé avec uniquement son type de profil associé.

Par exemple, l’image suivante montre l’onglet Paramètres réutilisables que vous utiliseriez pour gérer les groupes réutilisables pour le profil Règles de pare-feu du pare-feu Windows :

Capture d’écran montrant l’onglet Paramètres réutilisables pour les stratégies de pare-feu dans le centre d’administration Microsoft Intune.

Après avoir créé des groupes réutilisables, vous utilisez une option dans une page de paramètres de configuration des profils pour ajouter des groupes à ce profil. Les profils qui incluent un ou plusieurs groupes réutilisables utilisent chaque paramètre de chaque groupe inclus comme si les paramètres étaient directement configurés dans le profil.

Configuration requise

Les profils suivants prennent en charge l’utilisation de groupes de paramètres réutilisables :

Paramètres de stratégie de sécurité du point de terminaison

  • Pare-feu>Règles du Pare-feu Windows :

    • Plateformes : Windows
    • Versions de Windows : les appareils doivent s’exécuter Windows 10 20H2 ou version ultérieure, ou Windows 11
  • Réduction de la surface d’attaque>Contrôle de l’appareil :

    • Plateformes : Windows

Gestion des privilèges de point de terminaison

  • Stratégie de règles d’élévation Windows

Remarque

Les groupes de paramètres réutilisables ne sont actuellement pas pris en charge pour une utilisation avec Security Management pour Microsoft Defender pour point de terminaison.

Créer un groupe réutilisable

Chaque groupe de paramètres réutilisables inclut un sous-ensemble de paramètres du profil complet pour lequel vous créez le groupe. Utilisez les liens suivants pour afficher les paramètres que vous pouvez configurer dans un groupe de paramètres pour chaque profil :

Pour créer un groupe de paramètres réutilisables :

  1. Ouvrez le centre d’administration Microsoft Intune, accédez à la stratégie pour laquelle vous souhaitez créer un groupe réutilisable, puis sélectionnez l’onglet Paramètres réutilisables (préversion).

  2. Sélectionnez Ajouter pour ouvrir le workflow Configurer les paramètres réutilisables (préversion).

  3. Dans la page Informations de base , configurez un nom. La description est facultative.

  4. Dans la page Paramètres de configuration , sélectionnez Ajouter , puis configurez les paramètres de ce groupe comme si vous configuriez des paramètres directement dans le profil pris en charge.

    Pour Contrôle d’appareil, lorsque vous sélectionnez Ajouter, vous devez choisir le type de paramètres de groupe à configurer, puis sélectionner Modifier instance continuer. Si vous ajoutez plusieurs instance, passez en revue la configuration du type de correspondance pour le groupe.

    Il existe une limite de 100 instances par groupe. Utilisez le texte d’informations dans le centre d’administration pour chaque paramètre du groupe de paramètres réutilisables comme aide. Suivez le lien En savoir plus pour obtenir un paramètre afin d’afficher des détails sur le paramètre à partir de la source de contenu de ce paramètre.

    Conseil

    Nommez soigneusement chaque groupe réutilisable que vous créez pour vous assurer de pouvoir l’identifier ultérieurement. Cela est important, car chaque groupe réutilisable que vous créez, pour n’importe quel type de stratégie, est visible lors de l’ajout de groupes réutilisables à une stratégie, même si le groupe contient des paramètres qui ne s’appliquent normalement pas à la stratégie que vous configurez. Par exemple, si vous avez créé un groupe réutilisable pour les règles de Pare-feu Windows, ce groupe sera visible et peut être sélectionné lors de l’ajout de groupes réutilisables aux stratégies Device Control.

  5. Dans la page Vérifier + ajouter , sélectionnez Ajouter pour enregistrer votre groupe de paramètres réutilisables.

Modifier un groupe réutilisable

Lorsque vous modifiez la configuration d’un groupe réutilisable, chaque profil qui utilise ce groupe est automatiquement mis à jour pour appliquer la nouvelle configuration aux appareils.

  1. Ouvrez le centre d’administration Microsoft Intune, accédez à la stratégie pour laquelle vous souhaitez créer un groupe réutilisable, puis sélectionnez l’onglet Paramètres réutilisables (préversion).

  2. Sélectionnez le groupe de paramètres réutilisables que vous souhaitez modifier. Cela ouvre le flux de travail de configuration qui ressemble au flux de travail pour la création d’un groupe réutilisable.

  3. Dans la page Informations de base , vous pouvez renommer le groupe, et dans la page Paramètres de configuration , vous pouvez reconfigurer les paramètres. Dans la dernière page, sélectionnez Enregistrer pour enregistrer votre configuration et mettre à jour les profils qui utilisent le groupe de paramètres.

Ajouter des groupes réutilisables à un profil de règle de pare-feu Windows

Ajoutez des groupes de paramètres réutilisables aux profils lors de la modification ou de la création du profil. Dans la page Profils Paramètres de configuration, utilisez une option qui prend en charge l’ajout d’un ou plusieurs groupes créés précédemment.

Remarque

Les règles de nom de domaine complet entrant ne sont pas prises en charge en mode natif. Toutefois, il est possible d’utiliser des scripts de pré-hydratation pour générer des entrées IP entrantes pour la règle. Pour plus d’informations, consultez Mots clés dynamiques du Pare-feu Windows dans la documentation du Pare-feu Windows.

  1. Dans le centre d’administration Microsoft Intune, créez un profil ou sélectionnez et modifiez un profil existant.

  2. Dans la page Paramètres de configuration , sélectionnez Ajouter pour ajouter une nouvelle règle ou Modifier la règle pour gérer une règle créée précédemment.

  3. Dans le volet Configurer instance pour la règle, configurez Action pour déterminer comment cette règle gère les paramètres tels que les adresses IP ou les noms de domaine complets. Par exemple, vous pouvez définir Action sur autoriser ou bloquer. Cette configuration s’applique à la fois aux paramètres que vous ajoutez directement à cette règle et aux paramètres qui se trouvent dans chaque groupe réutilisable ajouté à cette règle.

    Enregistrez la configuration de la règle.

  4. Pour la règle que vous avez enregistrée, sélectionnez Définir des paramètres réutilisables pour ouvrir le volet Sélectionner les paramètres réutilisables .

    Capture d’écran du flux de travail Paramètres de configuration pour la configuration d’un groupe réutilisable.

  5. Sélectionnez un ou plusieurs des groupes disponibles pour les ajouter à cette règle, puis enregistrez vos sélections.

    Capture d’écran montrant le volet Sélectionner les paramètres réutilisables.

  6. Après avoir ajouté des groupes réutilisables à un profil, enregistrez votre configuration. Une fois enregistré, Intune inclut les paramètres des groupes réutilisables et déploie le profil sur les appareils en fonction des affectations du profil.

Ajouter des groupes réutilisables à un profil Device Control

Ajoutez des groupes de paramètres réutilisables aux profils lors de la modification ou de la création du profil. Les groupes réutilisables pour les profils Device Control prennent en charge les types de paramètres suivants :

  • Périphérique d’imprimante
  • Stockage amovible

Dans la page Profils Paramètres de configuration, utilisez une option qui prend en charge l’ajout d’un ou plusieurs groupes créés précédemment.

  1. Dans le centre d’administration Microsoft Intune, créez un profil ou sélectionnez et modifiez un profil existant.

  2. Dans la page Paramètres de configuration , développez la catégorie Contrôle d’appareil et sélectionnez Ajouter pour ajouter une nouvelle règle ou Modifier l’entrée pour gérer une règle créée précédemment.

    • Sélectionnez Ajouter pour ajouter d’autres règles.
    • Sélectionnez Modifier l’entrée pour ouvrir le volet Configurer l’entrée afin de configurer davantage l’utilisation du groupe.
  3. Dans le volet Configurer l’entrée , attribuez un Nom à l’entrée, puis configurez les éléments suivants, puis sélectionnez OK pour enregistrer la règle :

    • Type : définit l’action pour les groupes de stockage amovibles. En cas de conflit pour type pour le même média, le premier type défini dans la stratégie est appliqué.
    • Options : définit s’il faut afficher une notification à l’utilisateur de l’appareil. Les options disponibles dépendent du Type sélectionné.
    • Masque d’accès : choisissez-en un ou plusieurs dans Lecture, Écriture, Exécution.
    • Sid : l’utilisateur local Sid ou le groupe Sid d’utilisateur ou le Sid de l’objet AD, définit s’il faut appliquer cette stratégie sur un utilisateur ou un groupe d’utilisateurs spécifique ; une entrée peut avoir un sid au maximum et une entrée sans sid signifie qu’elle applique la stratégie sur l’ordinateur.
    • Sid de l’ordinateur : sid de l’ordinateur local ou groupe sid d’ordinateur ou sid de l’objet AD, définit s’il faut appliquer cette stratégie sur un ordinateur ou un groupe d’ordinateurs spécifique ; une entrée peut avoir au maximum un ComputerSid et une entrée sans ComputerSid signifie qu’elle applique la stratégie sur l’ordinateur. Si vous souhaitez appliquer une entrée à un utilisateur spécifique et à un ordinateur spécifique, ajoutez à la fois Sid et ComputerSid dans la même entrée.

    Pour plus d’informations sur ces options, consultez les articles suivants de la documentation Microsoft Defender pour point de terminaison :

  4. Pour la règle que vous avez enregistrée, sélectionnez Définir les paramètres réutilisables pour ID inclus et ID exclu en fonction de vos besoins. Les deux sélections ouvrent un volet Sélectionner des paramètres réutilisables .

    Capture d’écran montrant le volet Sélectionner les paramètres réutilisables pour les profils de contrôle d’appareil.

  5. Sélectionnez un ou plusieurs des groupes disponibles pour les ajouter à cette règle, puis enregistrez vos sélections. L’exemple suivant montre une configuration avec un seul groupe sélectionné pour ID exclu :

    Capture d’écran montrant le résultat de la sélection d’un groupe pour un ID exclu uniquement.

  6. Après avoir ajouté des groupes réutilisables à un profil, terminez la configuration de la stratégie. Une fois enregistré, Intune inclut les paramètres des groupes réutilisables et déploie le profil sur les appareils en fonction des affectations du profil. Un maximum de 100 groupes réutilisables peuvent être ajoutés par profil.

Si vous disposez d’une licence E5, vous pouvez utiliser Microsoft Defender pour point de terminaison pour afficher les événements de contrôle d’appareil sous le rapport contrôle d’appareil et la chasse avancée. Consultez Protéger les données de votre organization avec le contrôle d’appareil | Microsoft Docs dans la documentation defender pour point de terminaison.

Utiliser des groupes réutilisables pour Endpoint Privilege Manager

Pour plus d’informations sur la prise en charge de l’utilisation de groupes réutilisables pour Endpoint Privilege Manager, consultez Stratégies pour Endpoint Privilege Manager

À propos des conflits de stratégie

Les paramètres d’appareil que vous pouvez gérer via des groupes de paramètres réutilisables sont appliqués par Intune les mêmes que les paramètres qui sont directement configurés dans un profil. Si des conflits ou des chevauchements sont introduits par les paramètres de vos groupes réutilisables, vous pouvez utiliser le même processus de résolution des problèmes pour identifier et résoudre ces conflits.

Pour plus d’informations, consultez les conseils qui peuvent être spécifiques aux types de profils que vous utilisez. Pour obtenir des conseils généraux, consultez Résoudre les problèmes de stratégies et de profils dans Microsoft Intune et Questions et réponses courantes avec les stratégies et les profils d’appareil dans Microsoft Intune.

Étapes suivantes

Vue d’ensemble de la configuration des appareils