Guide de déploiement : Gérer les appareils exécutant Windows 10/11
Ce guide décrit comment protéger et gérer les applications et les points de terminaison Windows à l’aide de Microsoft Intune, et inclut nos recommandations d’installation et ressources, des prérequis à l’inscription.
Pour chaque section de ce guide, passez en revue les tâches associées. Certaines tâches sont obligatoires et d’autres, telles que la configuration de l’accès conditionnel Microsoft Entra, sont facultatives. Sélectionnez les liens fournis dans chaque section pour accéder à notre documentation d’aide recommandée sur Microsoft Learn, où vous trouverez des informations plus détaillées et des instructions pratiques.
Étape 1 : Conditions préalables
Remplissez les conditions préalables suivantes pour activer les fonctionnalités de gestion des points de terminaison de votre locataire :
- Ajouter des utilisateurs et des groupes
- Attribuer des licences aux utilisateurs
- Définir l’autorité de gestion des appareils mobiles
Pour plus d’informations sur les rôles et les autorisations Microsoft Intune, consultez RBAC avec Microsoft Intune. Les rôles Administrateur général Microsoft Entra et Administrateur Intune disposent de droits complets dans Microsoft Intune. Ces rôles sont hautement privilégiés et ont plus d’accès que nécessaire pour de nombreuses tâches de gestion des appareils dans Microsoft Intune. Nous vous recommandons d’utiliser le rôle intégré le moins privilégié disponible pour effectuer des tâches.
Pour plus d’informations et des recommandations sur la façon de préparer votre organisation, d’intégrer ou d’adopter Intune pour la gestion des appareils mobiles, consultez Guide de migration : Configurer ou déplacer vers Microsoft Intune.
Étape 2 : Planifier votre déploiement
Utilisez le guide de planification Microsoft Intune pour définir les objectifs de gestion des appareils, les scénarios de cas d’usage et les besoins. Utilisez le guide pour planifier le déploiement, la communication, le support, les tests et la validation. Par exemple, dans certains cas, vous n’avez pas besoin d’être présent lorsque les employés et les étudiants inscrivent leurs appareils. Nous vous recommandons d’avoir un plan de communication afin que les utilisateurs sachent où trouver des informations sur l’installation et l’utilisation du portail d’entreprise Intune.
Pour plus d’informations, consultez guide de planification Microsoft Intune.
Étape 3 : Créer des stratégies de conformité
Utilisez des stratégies de conformité pour vous assurer que les appareils qui accèdent à vos données sont sécurisés et répondent aux normes de votre organisation. La dernière étape du processus d’inscription est l’évaluation de la conformité, qui vérifie que les paramètres de l’appareil sont conformes à vos stratégies. Les utilisateurs d’appareils doivent résoudre tous les problèmes de conformité pour accéder aux ressources protégées. Intune marque les appareils qui ne respectent pas les exigences de conformité comme non conformes et effectue des actions supplémentaires (telles que l’envoi d’une notification à l’utilisateur, la restriction de l’accès ou la réinitialisation de l’appareil) en fonction de votre action pour les configurations de non-conformité .
Vous pouvez utiliser des stratégies d’accès conditionnel Microsoft Entra conjointement avec des stratégies de conformité des appareils pour contrôler l’accès aux PC Windows, à la messagerie d’entreprise et aux services Microsoft 365. Par exemple, vous pouvez créer une stratégie qui empêche les employés d’accéder à Microsoft Teams dans Edge sans inscrire ou sécuriser au préalable leur appareil.
Conseil
Pour obtenir une vue d’ensemble des stratégies de conformité des appareils, consultez Vue d’ensemble de la conformité.
| Tâche | Détails |
|---|---|
| Créer une stratégie de conformité | Obtenir des instructions pas à pas sur la création et l’affectation d’une stratégie de conformité à des groupes d’utilisateurs et d’appareils. |
| Ajouter des actions en cas de non-conformité | Choisissez ce qui se passe lorsque les appareils ne remplissent plus les conditions de votre stratégie de conformité. Les exemples d’actions incluent l’envoi d’alertes, le verrouillage à distance des appareils ou la mise hors service d’appareils. Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie. |
| Créer une stratégie d’accès conditionnel basée sur un appareil ou une application | Sélectionnez les applications ou services que vous souhaitez protéger et définissez les conditions d’accès. |
| Bloquer l’accès aux applications qui n’utilisent pas l’authentification moderne | Créer une stratégie d’accès conditionnel basé sur l’application pour bloquer les applications qui utilisent des méthodes d’authentification autres que OAuth2 ; par exemple, les applications qui utilisent l’authentification de base et l’authentification basée sur les formulaires. Toutefois, avant de bloquer l’accès, connectez-vous à l’ID Microsoft Entra et passez en revue le rapport d’activité des méthodes d’authentification pour voir si les utilisateurs utilisent l’authentification de base pour accéder à des éléments essentiels que vous avez oubliés ou que vous ne connaissez pas. Par exemple, les éléments tels que les kiosques de calendriers de salle de réunion utilisent l’authentification de base. |
| Ajouter des paramètres de conformité personnalisés | Avec les paramètres de conformité personnalisés, vous pouvez écrire vos propres scripts Bash pour traiter les scénarios de conformité qui ne sont pas encore inclus dans les options de conformité des appareils intégrées à Microsoft Intune. Cet article explique comment créer, surveiller et dépanner des stratégies de conformité personnalisées pour les appareils Windows. Les paramètres de conformité personnalisés vous obligent à créer un script personnalisé qui identifie les paires paramètres et valeur. |
Étape 4 : Configurer la sécurité des points de terminaison
Utilisez les fonctionnalités de sécurité des points de terminaison Intune pour configurer la sécurité des appareils et gérer les tâches de sécurité pour les appareils à risque.
| Tâche | Détails |
|---|---|
| Gérer des appareils avec des fonctionnalités de sécurité de point de terminaison | Utilisez les paramètres de sécurité des points de terminaison dans Intune pour gérer efficacement la sécurité des appareils et résoudre les problèmes des appareils. |
| Ajouter des paramètres Endpoint Protection | Configurez les fonctionnalités de sécurité de protection des points de terminaison courantes, telles que le pare-feu, BitLocker et Microsoft Defender. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres Endpoint Protection. |
| Configuration de Microsoft Defender pour point de terminaison dans Intune | Lorsque vous intégrez Intune à Microsoft Defender pour point de terminaison, vous contribuez non seulement à empêcher les violations de sécurité, mais vous pouvez également tirer parti de La gestion des menaces & des vulnérabilités (TVM) de Microsoft Defender pour points de terminaison et utiliser Intune pour corriger la faiblesse de point de terminaison identifiée par TVM. |
| Gérer la stratégie BitLocker | Assurez-vous que les appareils sont chiffrés lors de l’inscription en créant une stratégie qui configure BitLocker sur les appareils gérés. |
| Gérer les profils de base de référence de sécurité | Utilisez les bases de référence de sécurité dans Intune pour vous aider à sécuriser et à protéger vos utilisateurs et appareils. Une base de référence de sécurité inclut les meilleures pratiques et recommandations pour les paramètres qui ont un impact sur la sécurité. |
| Utiliser Windows Update for Business pour les mises à jour logicielles | Configurez une stratégie de déploiement Windows Update avec Windows Update for Business. Cet article présente les types de stratégies que vous pouvez utiliser pour gérer les mises à jour logicielles Windows 10/11 et explique comment passer des reports d’anneau de mise à jour à une stratégie de mise à jour des fonctionnalités. |
Étape 5 : Configurer les paramètres de l’appareil
Utilisez Microsoft Intune pour activer ou désactiver les paramètres et fonctionnalités Windows sur les appareils. Pour configurer et appliquer ces paramètres, créez un profil de configuration d’appareils, puis attribuez le profil aux groupes de votre organisation. Les appareils reçoivent le profil une fois qu’ils sont inscrits.
| Tâche | Détails |
|---|---|
| Créer un profil d’appareil | Créez un profil d’appareil dans Microsoft Intune et recherchez des ressources sur tous les types de profils d’appareil. Vous pouvez également utiliser le catalogue de paramètres pour créer une stratégie à partir de zéro. |
| Configurer les paramètres de stratégie de groupe | Utiliser des modèles Windows 10 pour configurer les paramètres de stratégie de groupe dans Microsoft Intune. Les modèles d’administration incluent des centaines de paramètres que vous pouvez configurer pour Internet Explorer, Microsoft Edge, OneDrive, le Bureau à distance, Word, Excel, ainsi que d’autres programmes Office. Ces modèles 100 % cloud offrent aux administrateurs une vue simplifiée des paramètres, à l’image de la stratégie de groupe. |
| Configurer le profil de Wi-Fi | Ce profil permet aux utilisateurs de trouver et de se connecter au réseau Wi-Fi de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez la référence des paramètres Wi-Fi pour Windows 10 et versions ultérieures. |
| Configurer le profil VPN | Configurez une option VPN sécurisée, telle que Microsoft Tunnel, pour les personnes qui se connectent au réseau de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres VPN. |
| Configurer le profil de la messagerie e-mail | Configurez les paramètres de la messagerie e-mail afin que les personnes puissent se connecter à un serveur de messagerie et accéder à leur e-mail professionnel ou scolaire. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres de la messagerie e-mail. |
| Restreindre les fonctionnalités de l’appareil | Protégez les utilisateurs contre les accès et les distractions non autorisés en limitant les fonctionnalités de l’appareil qu’ils peuvent utiliser au travail ou à l’école. Pour obtenir une description des paramètres de cette zone, consultez la référence sur les restrictions d’appareil pour Windows 10/11 et Windows 10 Teams. |
| Configurer un profil personnalisé | Ajoutez et attribuez des paramètres et des fonctionnalités d’appareil qui ne sont pas intégrés à Intune. Pour obtenir une description des paramètres dans cette zone, consultez la référence des paramètres personnalisés. |
| Configurer les paramètres du BIOS | Configurer Intune pour pouvoir contrôler les paramètres UEFI (BIOS) sur les appareils inscrits, à l’aide de l’interface de configuration du microprogramme d’appareil (DFCI) |
| Configurer la jonction de domaine | Si vous envisagez d’inscrire des appareils joints à Microsoft Entra, veillez à créer un profil de jonction de domaine afin qu’Intune sache quel domaine local joindre. |
| Configurer les paramètres d’optimisation de la distribution | Utilisez ces paramètres pour réduire la consommation de bande passante sur les appareils téléchargeant des applications et des mises à jour. |
| Personnaliser l’expérience d’inscription et de personnalisation | Personnalisez l’expérience de l’application Portail d’entreprise Intune et Microsoft Intune avec les mots, les préférences de personnalisation, d’écran et les informations de contact de votre organisation. |
| Configurer des kiosques et des appareils dédiés | Créez un profil kiosque pour gérer les appareils s’exécutant en mode plein écran. |
| Personnaliser les appareils partagés | Contrôlez l’accès, les comptes et les fonctionnalités d’alimentation sur les appareils partagés ou multi-utilisateurs. |
| Configurer la limite réseau | Créez un profil de limite réseau pour protéger votre environnement contre les sites que vous n’avez pas confiance. |
| Configurer la surveillance de l’intégrité Windows | Créez un profil de surveillance de l’intégrité Windows pour permettre à Microsoft de collecter des données sur les performances et de fournir des recommandations d’amélioration. La création d’un profil active le point de terminaison analytique fonctionnalité dans Microsoft Intune, qui analyse les données collectées, recommande des logiciels, permet d’améliorer les performances de démarrage et résout les problèmes de support courants. |
| Configurer l’application Take a Test pour les étudiants | Configurez l’application Passer un test pour les étudiants qui passent des tests ou des examens sur des appareils inscrits. |
| Configurer le profil cellulaire eSim | Vous pouvez configurer eSIM pour les appareils compatibles ESIM, tels que la Surface LTE Pro, pour se connecter à Internet via une connexion de données cellulaires. Cette configuration est idéale pour les voyageurs du monde entier qui ont besoin de rester connectés et flexibles pendant les voyages, et élimine le besoin d’une carte SIM. |
Étape 6 : Configurer des méthodes d’authentification sécurisées
Configurez des méthodes d’authentification dans Intune pour vous assurer que seules les personnes autorisées accèdent à vos ressources internes. Intune prend en charge l’authentification multifacteur, les certificats et les informations d’identification dérivées. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.
| Tâche | Détails |
|---|---|
| Exiger une authentification multifacteur (MFA) | Exiger que les utilisateurs fournissent deux formes d’informations d’identification au moment de l’inscription de l’appareil. Cette stratégie fonctionne conjointement avec les stratégies d’accès conditionnel Microsoft Entra. |
| Créer un profil de certificat approuvé | Créez et déployez un profil de certificat approuvé avant de créer un profil de certificat importé SCEP, PKCS ou PKCS. Le profil de certificat approuvé déploie le certificat racine approuvé sur les appareils et auprès des utilisateurs à l’aide des certificats SCEP, PKCS et PKCS importés. |
| Utiliser des certificats SCEP avec Intune | Découvrez ce qui est nécessaire pour utiliser des certificats SCEP avec Intune et configurez l’infrastructure requise. Vous pouvez ensuite créer un profil de certificat SCEP ou configurer une autorité de certification tierce avec SCEP. |
| Utiliser des certificats PKCS avec Intune | Configurer l’infrastructure requise (telle que les connecteurs de certificat locaux), exporter un certificat PKCS et ajouter le certificat à un profil de configuration d’appareil Intune. |
| Utiliser des certificats PKCS importés avec Intune | Configurer des certificats PKCS importés, ce qui vous permet de configurer et d’utiliser S/MIME pour chiffrer une messagerie e-mail. |
| Configurer un émetteur d’informations d’identification dérivées | Provisionnez des appareils Windows avec des certificats dérivés de cartes à puce utilisateur. |
| Intégrer Windows Hello Entreprise à Microsoft Intune | Créez une stratégie Windows Hello Entreprise pour activer ou désactiver Windows Hello Entreprise lors de l’inscription de l’appareil. Hello Entreprise est une méthode de connexion alternative qui utilise Active Directory ou un compte Microsoft Entra pour remplacer un mot de passe, une carte à puce ou une carte à puce virtuelle. |
Étape 7 : Déployer des applications
Quand vous configurez des applications et des stratégies d’applications, réfléchissez aux besoins de votre organisation, tels que les plateformes que vous allez prendre en charge, les tâches que les utilisateurs effectuent, le type d’applications dont ils ont besoin pour effectuer ces tâches et qui en a besoin. Vous pouvez utiliser Intune pour gérer l’ensemble de l’appareil (y compris les applications) ou utilisez Intune pour gérer uniquement les applications.
| Tâche | Détails |
|---|---|
| Ajouter des applications cœur de métier | Ajoutez des applications métier macOS à Intune et affectez-les à des groupes. |
| Ajouter Microsoft Edge | Ajoutez et affectez Microsoft Edge pour Windows. |
| Ajouter une application Portail d’entreprise Intune à partir du Microsoft Store | Ajoutez et affectez manuellement l’application Portail d’entreprise Intune en tant qu’application requise. |
| Ajouter l’application Portail d’entreprise Intune pour Autopilot | Ajoutez l’application Portail d’entreprise aux appareils approvisionnés par Windows Autopilot. |
| Ajouter des applications Microsoft 365 | Ajoutez Microsoft 365 Apps for enterprise. |
| Attribuer des applications à des groupes | Après avoir ajouté des applications à Intune, attribuez-les aux utilisateurs et aux appareils. |
| Inclure et exclure des affectations d’applications | Contrôler l’accès et la disponibilité à une application en incluant et en excluant des groupes sélectionnés de l’affectation. |
| Utiliser des scripts PowerShell | Chargez des scripts PowerShell pour étendre les fonctionnalités de gestion des appareils Windows dans Intune et faciliter la transition vers la gestion moderne. |
Étape 8 : Inscrire des appareils
Pendant l’inscription, l’appareil est inscrit avec l’ID Microsoft Entra et évalué pour la conformité. Pour plus d’informations sur chaque méthode d’inscription et sur la façon de choisir celle qui convient à votre organisation, consultez le Guide d’inscription des appareils Windows pour Microsoft Intune.
| Tâche | Détails |
|---|---|
| Activer l’inscription automatique GPM | Simplifiez l’inscription en activant l’inscription automatique, qui inscrit automatiquement dans Intune les appareils qui rejoignent ou s’inscrivent avec votre ID Microsoft Entra. L’inscription automatique simplifie le déploiement de Windows Autopilot, l’inscription BYOD, l’inscription à l’aide d’une stratégie de groupe et l’inscription en bloc via un package d’approvisionnement. |
| Activer la découverte automatique du serveur MDM | Si vous n’avez pas d’ID Microsoft Entra P1 ou P2, nous vous recommandons de créer un type d’enregistrement CNAME pour les serveurs d’inscription Intune. L’enregistrement CNAME redirige les demandes d’inscription vers le serveur approprié afin que les utilisateurs inscrits n’aient pas à taper manuellement le nom du serveur. |
| Scénarios Windows Autopilot | Simplifiez l’OOBE piloté par l’utilisateur ou le déploiement automatique pour vous et vos utilisateurs en configurant l’inscription des appareils Microsoft Intune pour qu’elle se produise automatiquement pendant Windows Autopilot. |
| Inscrire des appareils joints hybrides Microsoft Entra avec Windows Autopilot | Le connecteur Intune pour Active Directory permet aux appareils des services de domaine Active Directory de se joindre à l’ID Microsoft Entra, puis de s’inscrire automatiquement dans Intune. Nous vous recommandons cette option d’inscription pour les environnements locaux qui utilisent les services de domaine Active Directory et ne peuvent pas déplacer leurs identités vers l’ID Microsoft Entra. |
| Inscrire des appareils à l’aide d’une stratégie de groupe | Déclenchez l’inscription automatique dans Intune à l’aide d’une stratégie de groupe. |
| Inscrire des appareils en bloc | Créez un package d’approvisionnement dans le Concepteur de configuration Windows qui joint un grand nombre de nouveaux appareils Windows à l’ID Microsoft Entra et les inscrit dans Intune. |
| Configurer la page d’état d’inscription (ESP) | Créez un profil de page d’état d’inscription avec des paramètres personnalisés pour guider les utilisateurs dans la configuration et l’inscription des appareils. |
| Modifier l’étiquette de propriété de l’appareil | Une fois qu’un appareil a été inscrit, vous pouvez modifier son étiquette de propriété dans Intune en lui attribuant la valeur propriété de l’entreprise ou propriété personnelle. Cet ajustement modifie la façon dont vous gérez l’appareil et peut activer davantage de fonctionnalités de gestion et d’identification dans Intune, ou les limiter. |
| Configurer le proxy pour le connecteur Active Directory Intune | Configurez le connecteur Intune pour Active Directory afin qu’il fonctionne avec vos serveurs proxy sortants existants. |
| Résoudre les problèmes d’inscription | Détectez un problème et recherchez des résolutions aux problèmes qui se produisent lors de l’inscription. |
Étape 9 : Exécuter des actions à distance
Une fois les appareils configurés, vous pouvez utiliser les actions à distance prises en charge pour gérer et dépanner les appareils à distance. Les articles suivants vous présentent les actions à distance pour Windows. Si une action est absente ou désactivée dans le portail, elle n’est pas prise en charge pour Windows.
| Tâche | Détails |
|---|---|
| Effectuer une action à distance sur des appareils | Apprenez à explorer au niveau du détail, à gérer à distance et à dépanner des appareils individuels dans Intune. Cet article répertorie toutes les actions à distance disponibles dans Intune et fournit des liens vers ces procédures. |
| Utiliser TeamViewer pour gérer à distance les appareils Intune | Configurez TeamViewer dans Intune et apprenez à administrer à distance un appareil. |
| Utiliser des tâches de sécurité pour afficher les menaces et les vulnérabilités | Utilisez Intune pour corriger la faiblesse de point de terminaison identifiée par Microsoft Defender pour point de terminaison. Avant de pouvoir travailler avec des tâches de sécurité, vous devez intégrer Microsoft Defender pour point de terminaison à Intune. |
Étape 10 : Aider les employés et les étudiants
Les ressources de cette section se trouvent dans la documentation de l’aide utilisateur de Microsoft Intune. Cette documentation est destinée aux employés, aux étudiants et aux autres utilisateurs d’appareils sous licence Intune qui inscrivent un appareil personnel ou fourni par l’entreprise. Des liens de documentation sont disponibles dans l’application Portail d’entreprise Intune et pointent vers des informations sur :
- Méthodes d’inscription, avec des procédures pas à pas pour l’inscription
- Paramètres et fonctionnalités du portail d’entreprise
- Comment désinscrire et supprimer des données stockées
- Mise à jour des paramètres de l’appareil pour les exigences de conformité
- Comment signaler des problèmes d’application
Conseil
Rendez les exigences de système d’exploitation et de mot de passe d’appareil de votre organisation faciles à trouver sur votre site web ou dans un e-mail d’intégration afin que les employés n’aient pas à retarder l’inscription pour rechercher ces informations.
| Tâche | Détails |
|---|---|
| Installer l’application Portail d’entreprise Intune pour Windows | Découvrez où obtenir l’application Portail d’entreprise et comment se connecter. |
| Mettre à jour l’application Portail d’entreprise | Cet article explique comment installer la dernière version du portail d’entreprise et comment activer les mises à jour automatiques des applications. |
| Inscrire un appareil | Cet article explique comment inscrire des appareils personnels exécutant Windows 10 ou Windows 11. |
| Désinscrire un appareil | Cet article explique comment désinscrire un appareil d’Intune et supprimer le cache et les journaux stockés pour le portail d’entreprise. |
Étapes suivantes
Pour obtenir une vue d’ensemble du Centre d’administration Microsoft Intune et comment y naviguer, consultez Tutoriel : Procédure pas à pas du Centre d’administration Microsoft Intune. Les tutoriels sont un contenu de niveau 100 à 200 pour les personnes qui débutent avec Intune ou un scénario spécifique.
Pour les autres versions de ce guide, consultez :