Partager via


Guide de déploiement : Gérer les appareils s’exécutant Windows 10/11

Ce guide décrit comment protéger et gérer les applications et les points de terminaison Windows à l’aide de Microsoft Intune, et inclut nos recommandations d’installation et ressources, des prérequis à l’inscription.

Pour chaque section de ce guide, passez en revue les tâches associées. Certaines tâches sont obligatoires et d’autres, telles que la configuration Microsoft Entra l’accès conditionnel, sont facultatives. Sélectionnez les liens fournis dans chaque section pour accéder à notre documentation d’aide recommandée sur Microsoft Learn, où vous trouverez des informations plus détaillées et des instructions pratiques.

Étape 1 : Conditions préalables

Remplissez les conditions préalables suivantes pour activer les fonctionnalités de gestion des points de terminaison de votre locataire :

Pour plus d’informations sur les rôles et les autorisations Microsoft Intune, consultez RBAC avec Microsoft Intune. Les rôles Administrateur général Microsoft Entra et Administrateur Intune disposent de droits complets dans Microsoft Intune. Ces rôles sont hautement privilégiés et ont plus d’accès que nécessaire pour de nombreuses tâches de gestion des appareils dans Microsoft Intune. Nous vous recommandons d’utiliser le rôle intégré le moins privilégié disponible pour effectuer des tâches.

Pour plus d’informations et des recommandations sur la façon de préparer votre organization, d’intégrer ou d’adopter des Intune pour la gestion des appareils mobiles, consultez Guide de migration : Configurer ou passer à Microsoft Intune.

Étape 2 : Planifier votre déploiement

Utilisez le guide de planification Microsoft Intune pour définir les objectifs de gestion des appareils, les scénarios de cas d’usage et les besoins. Utilisez le guide pour planifier le déploiement, la communication, le support, les tests et la validation. Par exemple, dans certains cas, vous n’avez pas besoin d’être présent lorsque les employés et les étudiants inscrivent leurs appareils. Nous vous recommandons d’avoir un plan de communication afin que les utilisateurs sachent où trouver des informations sur l’installation et l’utilisation de Portail d'entreprise Intune.

Pour plus d’informations, consultez Microsoft Intune guide de planification.

Étape 3 : Créer des stratégies de conformité

Utilisez des stratégies de conformité pour vous assurer que les appareils qui accèdent à vos données sont sécurisés et répondent aux normes de votre organization. La dernière étape du processus d’inscription est l’évaluation de la conformité, qui vérifie que les paramètres de l’appareil sont conformes à vos stratégies. Les utilisateurs d’appareils doivent résoudre tous les problèmes de conformité pour accéder aux ressources protégées. Intune marque les appareils qui ne respectent pas les exigences de conformité comme non conformes et prend des mesures supplémentaires (telles que l’envoi d’une notification à l’utilisateur, la restriction de l’accès ou la réinitialisation de l’appareil) en fonction de votre action en cas de configurations de non-conformité.

Vous pouvez utiliser Microsoft Entra stratégies d’accès conditionnel conjointement avec les stratégies de conformité des appareils pour contrôler l’accès aux PC Windows, à la messagerie d’entreprise et aux services Microsoft 365. Par exemple, vous pouvez créer une stratégie qui empêche les employés d’accéder à Microsoft Teams dans Edge sans inscrire ou sécuriser au préalable leur appareil.

Conseil

Pour obtenir une vue d’ensemble des stratégies de conformité des appareils, consultez Vue d’ensemble de la conformité.

Tâche Détails
Créer une stratégie de conformité Obtenir des instructions pas à pas sur la création et l’affectation d’une stratégie de conformité à des groupes d’utilisateurs et d’appareils.
Ajouter des actions en cas de non-conformité Choisissez ce qui se passe lorsque les appareils ne remplissent plus les conditions de votre stratégie de conformité. Les exemples d’actions incluent l’envoi d’alertes, le verrouillage à distance des appareils ou la mise hors service d’appareils. Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie.
Créer une stratégie d’accès conditionnel basée sur l’appareil ou basée sur l’application Sélectionnez les applications ou services que vous souhaitez protéger et définissez les conditions d’accès.
Bloquer l’accès aux applications qui n’utilisent pas l’authentification moderne Créer une stratégie d’accès conditionnel basé sur l’application pour bloquer les applications qui utilisent des méthodes d’authentification autres que OAuth2 ; par exemple, les applications qui utilisent l’authentification de base et l’authentification basée sur les formulaires. Toutefois, avant de bloquer l’accès, connectez-vous à Microsoft Entra ID et passez en revue le rapport d’activité des méthodes d’authentification pour voir si les utilisateurs utilisent l’authentification de base pour accéder à des éléments essentiels que vous avez oubliés ou que vous ne connaissez pas. Par exemple, les éléments tels que les kiosques de calendriers de salle de réunion utilisent l’authentification de base.
Ajouter des paramètres de conformité personnalisés Avec les paramètres de conformité personnalisés, vous pouvez écrire vos propres scripts Bash pour traiter les scénarios de conformité qui ne sont pas encore inclus dans les options de conformité des appareils intégrées à Microsoft Intune. Cet article explique comment créer, surveiller et dépanner des stratégies de conformité personnalisées pour les appareils Windows. Les paramètres de conformité personnalisés vous obligent à créer un script personnalisé qui identifie les paires paramètres et valeur.

Étape 4 : Configurer la sécurité des points de terminaison

Utilisez Intune fonctionnalités de sécurité de point de terminaison pour configurer la sécurité des appareils et gérer les tâches de sécurité pour les appareils à risque.

Tâche Détails
Gérer des appareils avec des fonctionnalités de sécurité de point de terminaison Utilisez les paramètres de sécurité des points de terminaison dans Intune pour gérer efficacement la sécurité des appareils et résoudre les problèmes des appareils.
Ajouter des paramètres Endpoint Protection Configurez les fonctionnalités de sécurité de protection des points de terminaison courantes, telles que le pare-feu, BitLocker et Microsoft Defender. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres Endpoint Protection.
Configuration de Microsoft Defender pour point de terminaison dans Intune Lorsque vous intégrez Intune à Microsoft Defender pour point de terminaison, vous contribuez non seulement à empêcher les violations de sécurité, mais vous pouvez également tirer parti de Microsoft Defender pour la gestion des menaces & des points de terminaison (TVM) et utiliser des Intune pour corriger la faiblesse des points de terminaison identifié par TVM.
Gérer la stratégie BitLocker Assurez-vous que les appareils sont chiffrés lors de l’inscription en créant une stratégie qui configure BitLocker sur les appareils gérés.
Gérer les profils de base de référence de sécurité Utilisez les bases de référence de sécurité dans Intune pour vous aider à sécuriser et à protéger vos utilisateurs et appareils. Une base de référence de sécurité inclut les meilleures pratiques et recommandations pour les paramètres qui ont un impact sur la sécurité.
Utiliser Windows Update entreprise pour les mises à jour logicielles Configurez une stratégie de déploiement Windows Update avec Windows Update entreprise. Cet article présente les types de stratégies que vous pouvez utiliser pour gérer les mises à jour logicielles Windows 10/11 et explique comment passer des reports d’anneau de mise à jour à une stratégie de mise à jour des fonctionnalités.

Étape 5 : Configurer les paramètres de l’appareil

Utilisez Microsoft Intune pour activer ou désactiver les paramètres et fonctionnalités Windows sur les appareils. Pour configurer et appliquer ces paramètres, créez un profil de configuration d’appareils, puis attribuez le profil aux groupes de votre organisation. Les appareils reçoivent le profil une fois qu’ils sont inscrits.

Tâche Détails
Créer un profil d’appareil Créez un profil d’appareil dans Microsoft Intune et recherchez des ressources sur tous les types de profils d’appareil. Vous pouvez également utiliser le catalogue de paramètres pour créer une stratégie à partir de zéro.
Configurer les paramètres de stratégie de groupe Utiliser des modèles Windows 10 pour configurer les paramètres de stratégie de groupe dans Microsoft Intune. Les modèles d’administration incluent des centaines de paramètres que vous pouvez configurer pour Internet Explorer, Microsoft Edge, OneDrive, le Bureau à distance, Word, Excel, ainsi que d’autres programmes Office. Ces modèles 100 % cloud offrent aux administrateurs une vue simplifiée des paramètres, à l’image de la stratégie de groupe.
Configurer le profil de Wi-Fi Ce profil permet aux utilisateurs de trouver et de se connecter au réseau Wi-Fi de votre organisation. Pour obtenir une description des paramètres dans cette zone, consultez la référence des paramètres Wi-Fi pour Windows 10 et versions ultérieures.
Configurer le profil VPN Configurez une option VPN sécurisée, telle que Microsoft Tunnel, pour les personnes qui se connectent au réseau de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres VPN.
Configurer le profil de la messagerie e-mail Configurez les paramètres de la messagerie e-mail afin que les personnes puissent se connecter à un serveur de messagerie et accéder à leur e-mail professionnel ou scolaire. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres de la messagerie e-mail.
Restreindre les fonctionnalités de l’appareil Protégez les utilisateurs contre les accès et les distractions non autorisés en limitant les fonctionnalités de l’appareil qu’ils peuvent utiliser au travail ou à l’école. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les restrictions d’appareil pour Windows 10/11 et Windows 10 Teams.
Configurer un profil personnalisé Ajoutez et attribuez des paramètres et des fonctionnalités d’appareil qui ne sont pas intégrés à Intune. Pour obtenir une description des paramètres dans cette zone, consultez la référence des paramètres personnalisés.
Configurer les paramètres du BIOS Configurer Intune afin de pouvoir contrôler les paramètres UEFI (BIOS) sur les appareils inscrits, à l’aide de l’interface de configuration du microprogramme d’appareil (DFCI)
Configurer la jonction de domaine Si vous envisagez d’inscrire Microsoft Entra appareils joints, veillez à créer un profil de jointure de domaine afin que Intune sache quel domaine local joindre.
Configurer les paramètres d’optimisation de la distribution Utilisez ces paramètres pour réduire la consommation de bande passante sur les appareils téléchargeant des applications et des mises à jour.
Personnaliser l’expérience d’inscription et de personnalisation Personnalisez l’expérience de l’application Portail d’entreprise Intune et Microsoft Intune avec les mots, les préférences de personnalisation, d’écran et les informations de contact de votre organisation.
Configurer des kiosques et des appareils dédiés Créez un profil kiosque pour gérer les appareils s’exécutant en mode plein écran.
Personnaliser les appareils partagés Contrôlez l’accès, les comptes et les fonctionnalités d’alimentation sur les appareils partagés ou multi-utilisateurs.
Configurer la limite réseau Créez un profil de limite réseau pour protéger votre environnement contre les sites que vous n’avez pas confiance.
Configurer la surveillance de l’intégrité Windows Créez un profil de surveillance de l’intégrité Windows pour permettre à Microsoft de collecter des données sur les performances et de fournir des recommandations d’amélioration. La création d’un profil active la fonctionnalité d’analyse de point de terminaison dans Microsoft Intune, qui analyse les données collectées, recommande des logiciels, permet d’améliorer les performances de démarrage et résout les problèmes de support courants.
Configurer l’application Take a Test pour les étudiants Configurez l’application Passer un test pour les étudiants qui passent des tests ou des examens sur des appareils inscrits.
Configurer le profil cellulaire eSim Vous pouvez configurer eSIM pour les appareils compatibles ESIM, tels que la Surface LTE Pro, pour se connecter à Internet via une connexion de données cellulaires. Cette configuration est idéale pour les voyageurs du monde entier qui ont besoin de rester connectés et flexibles tout en voyageant, et élimine le besoin d’une carte SIM carte.

Étape 6 : Configurer des méthodes d’authentification sécurisées

Configurez des méthodes d’authentification dans Intune pour vous assurer que seules les personnes autorisées accèdent à vos ressources internes. Intune prend en charge l’authentification multifacteur, les certificats et les informations d’identification dérivées. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.

Tâche Détails
Exiger une authentification multifacteur (MFA) Exiger que les utilisateurs fournissent deux formes d’informations d’identification au moment de l’inscription de l’appareil. Cette stratégie fonctionne conjointement avec Microsoft Entra stratégies d’accès conditionnel.
Créer un profil de certificat approuvé Créez et déployez un profil de certificat approuvé avant de créer un profil de certificat importé SCEP, PKCS ou PKCS. Le profil de certificat approuvé déploie le certificat racine approuvé sur les appareils et auprès des utilisateurs à l’aide des certificats SCEP, PKCS et PKCS importés.
Utiliser des certificats SCEP avec Intune Découvrez ce qui est nécessaire pour utiliser des certificats SCEP avec Intune et configurez l’infrastructure requise. Vous pouvez ensuite créer un profil de certificat SCEP ou configurer une autorité de certification tierce avec SCEP.
Utiliser des certificats PKCS avec Intune Configurer l’infrastructure requise (telle que les connecteurs de certificat locaux), exporter un certificat PKCS et ajouter le certificat à un profil de configuration d’appareil Intune.
Utiliser des certificats PKCS importés avec Intune Configurer des certificats PKCS importés, ce qui vous permet de configurer et d’utiliser S/MIME pour chiffrer une messagerie e-mail.
Configurer un émetteur d’informations d’identification dérivées Provisionnez des appareils Windows avec des certificats dérivés de cartes à puce utilisateur.
Intégrer Windows Hello Entreprise à Microsoft Intune Créez une stratégie de Windows Hello Entreprise pour activer ou désactiver Windows Hello Entreprise lors de l’inscription de l’appareil. Hello entreprise est une méthode de connexion alternative qui utilise Active Directory ou un compte Microsoft Entra pour remplacer un mot de passe, une carte intelligente ou un carte intelligent virtuel.

Étape 7 : Déployer des applications

Quand vous configurez des applications et des stratégies d’applications, réfléchissez aux besoins de votre organisation, tels que les plateformes que vous allez prendre en charge, les tâches que les utilisateurs effectuent, le type d’applications dont ils ont besoin pour effectuer ces tâches et qui en a besoin. Vous pouvez utiliser Intune pour gérer l’ensemble de l’appareil (y compris les applications) ou utilisez Intune pour gérer uniquement les applications.

Tâche Détails
Ajouter des applications cœur de métier Ajoutez des applications métier macOS à Intune et affectez-les à des groupes.
Ajouter Microsoft Edge Ajoutez et affectez Microsoft Edge pour Windows.
Ajouter une application Portail d'entreprise Intune à partir du Microsoft Store Ajoutez et affectez manuellement l’application Portail d'entreprise Intune en tant qu’application requise.
Ajouter une application Portail d'entreprise Intune pour Autopilot Ajoutez l’application Portail d'entreprise aux appareils approvisionnés par Windows Autopilot.
Ajouter des applications Microsoft 365 Ajoutez Applications Microsoft 365 pour les grandes entreprises.
Attribuer des applications à des groupes Après avoir ajouté des applications à Intune, attribuez-les aux utilisateurs et aux appareils.
Inclure et exclure des affectations d’applications Contrôler l’accès et la disponibilité à une application en incluant et en excluant des groupes sélectionnés de l’affectation.
Utiliser des scripts PowerShell Chargez des scripts PowerShell pour étendre les fonctionnalités de gestion des appareils Windows dans Intune et faciliter le passage à la gestion moderne.

Étape 8 : Inscrire des appareils

Pendant l’inscription, l’appareil est inscrit avec Microsoft Entra ID et évalué pour sa conformité. Pour plus d’informations sur chaque méthode d’inscription et sur la façon de choisir celle qui convient à votre organization, consultez guide d’inscription des appareils Windows pour Microsoft Intune.

Tâche Détails
Activer l’inscription automatique GPM Simplifiez l’inscription en activant l’inscription automatique, qui inscrit automatiquement les appareils dans Intune qui rejoignent ou s’inscrivent auprès de votre Microsoft Entra ID. L’inscription automatique simplifie le déploiement de Windows Autopilot, l’inscription BYOD, l’inscription à l’aide de stratégie de groupe et l’inscription en bloc via un package d’approvisionnement.
Activer la découverte automatique du serveur MDM Si vous n’avez pas Microsoft Entra ID P1 ou P2, nous vous recommandons de créer un type d’enregistrement CNAME pour Intune serveurs d’inscription. L’enregistrement CNAME redirige les demandes d’inscription vers le serveur approprié afin que les utilisateurs inscrits n’aient pas à taper manuellement le nom du serveur.
Scénarios Windows Autopilot Simplifiez l’OOBE piloté par l’utilisateur ou le déploiement automatique pour vous et vos utilisateurs en configurant Microsoft Intune’inscription des appareils pour qu’elle se produise automatiquement pendant Windows Autopilot.
Inscrire Microsoft Entra appareils joints hybrides avec Windows Autopilot Le connecteur Intune pour Active Directory permet aux appareils de services de domaine Active Directory de se joindre à Microsoft Entra ID, puis de s’inscrire automatiquement dans Intune. Nous vous recommandons cette option d’inscription pour les environnements locaux qui utilisent services de domaine Active Directory et ne peuvent pas déplacer leurs identités vers Microsoft Entra ID.
Inscrire des appareils à l’aide de stratégie de groupe Déclenchez l’inscription automatique dans Intune à l’aide d’une stratégie de groupe.
Inscrire des appareils en bloc Créez un package d’approvisionnement dans le Designer de configuration Windows qui joint un grand nombre de nouveaux appareils Windows à Microsoft Entra ID et les inscrit dans Intune.
Configurer la page de status d’inscription (ESP) Créez un profil de page d’inscription status avec des paramètres personnalisés pour guider les utilisateurs dans la configuration et l’inscription des appareils.
Modifier l’étiquette de propriété de l’appareil Une fois qu’un appareil a été inscrit, vous pouvez modifier son étiquette de propriété dans Intune en lui attribuant la valeur propriété de l’entreprise ou propriété personnelle. Cet ajustement modifie la façon dont vous gérez l’appareil et peut activer davantage de fonctionnalités de gestion et d’identification dans Intune, ou les limiter.
Configurer le proxy pour Intune connecteur Active Directory Configurez le connecteur Intune pour Active Directory afin qu’il fonctionne avec vos serveurs proxy sortants existants.
Résoudre les problèmes d’inscription Détectez un problème et recherchez des résolutions aux problèmes qui se produisent lors de l’inscription.

Étape 9 : Exécuter des actions à distance

Une fois les appareils configurés, vous pouvez utiliser les actions à distance prises en charge pour gérer et dépanner les appareils à distance. Les articles suivants vous présentent les actions à distance pour Windows. Si une action est absente ou désactivée dans le portail, elle n’est pas prise en charge pour Windows.

Tâche Détails
Effectuer une action à distance sur des appareils Apprenez à explorer au niveau du détail, à gérer à distance et à dépanner des appareils individuels dans Intune. Cet article répertorie toutes les actions à distance disponibles dans Intune et fournit des liens vers ces procédures.
Utiliser TeamViewer pour gérer à distance les appareils Intune Configurez TeamViewer dans Intune et apprenez à administrer à distance un appareil.
Utiliser des tâches de sécurité pour afficher les menaces et les vulnérabilités Utilisez Intune pour corriger la faiblesse de point de terminaison identifiée par Microsoft Defender pour point de terminaison. Avant de pouvoir travailler avec des tâches de sécurité, vous devez intégrer Microsoft Defender pour point de terminaison à Intune.

Étape 10 : Aider les employés et les étudiants

Les ressources de cette section se trouvent dans la documentation Microsoft Intune Aide utilisateur. Cette documentation est destinée aux employés, étudiants et autres utilisateurs d’appareils sous licence Intune qui inscrivent un appareil personnel ou fourni par l’entreprise. Des liens de documentation sont disponibles dans l’application Portail d'entreprise Intune et pointent vers des informations sur :

  • Méthodes d’inscription, avec des procédures pas à pas pour l’inscription
  • Portail d'entreprise paramètres et fonctionnalités
  • Comment désinscrire et supprimer des données stockées
  • Mise à jour des paramètres de l’appareil pour les exigences de conformité
  • Comment signaler des problèmes d’application

Conseil

Facilitez la recherche de la configuration requise du système d’exploitation et du mot de passe d’appareil de votre organization sur votre site web ou dans un e-mail d’intégration afin que les employés n’aient pas à retarder l’inscription pour rechercher ces informations.

Tâche Détails
Installer Portail d'entreprise Intune application pour Windows Découvrez où obtenir l’application Portail d'entreprise et comment se connecter.
Mettre à jour l’application Portail d'entreprise Cet article explique comment installer la dernière version de Portail d'entreprise et comment activer les mises à jour automatiques des applications.
Inscrire un appareil Cet article explique comment inscrire des appareils personnels exécutant Windows 10 ou Windows 11.
Désinscrire un appareil Cet article explique comment désinscrire un appareil de Intune et supprimer le cache et les journaux stockés pour Portail d'entreprise.

Étapes suivantes