Comment débuter avec Microsoft Intune ?
Sommaire
I. Présentation
Dans cet article, nous allons parler de la solution Intune, proposée par Microsoft et intégrée dans l'écosystème Microsoft 365. Microsoft Intune sera présenté afin d'évoquer ses fonctionnalités, mais également les licences nécessaires à son utilisation, puis nous verrons comment faire nos premiers pas : de l'inscription d'un appareil à la création d'une première stratégie de configuration.
Cet article servira de base pour la suite : d'autres tutoriels sur des cas d'usage spécifiques seront mis en ligne sur IT-Connect pour que vous puissiez monter en compétences sur ce sujet.
Pour suivre la mise en pratique de ce tutoriel, vous pouvez créer un tenant de test gratuit :
II. Qu'est-ce que Microsoft Intune ?
Microsoft Intune représente tous les services de gestion des appareils de chez Microsoft. Intune en lui-même, est une solution de gestion des appareils basée sur le Cloud Microsoft 365. Cette solution offre la possibilité de gérer les différents appareils amenés à se connecter aux ressources de l'entreprise, que ce soit des ordinateurs, des smartphones ou des tablettes.
Intune prend en charge une grande variété de systèmes d'exploitation, notamment Windows, Linux, macOS, Chrome OS, mais également Android et iOS. Ainsi, l'entreprise peut gérer les différents types d'appareils, même si les capacités de gestion varient d'un système à un autre. Ainsi, Intune est capable de gérer des ordinateurs, des smartphones, des tablettes, des machines virtuelles, des kiosques, etc.
Grâce à la création de stratégies, l'administrateur système pourra configurer les appareils à distance, que ce soit pour uniformiser les paramètres du système, renforcer la sécurité (BitLocker, LAPS, etc.), déployer des applications et mettre en conformité des appareils.
Microsoft Intune s'inscrit totalement dans l'esprit du "Modern Device Management" où l'on prend en considération les appareils de l'entreprise, mais également les appareils personnels (principe du BYOD), et le fait que l'utilisateur est susceptible de travailler depuis n'importe où. Par ailleurs, Intune dispose de toutes les fonctionnalités nécessaires pour mettre en oeuvre le modèle Zero Trust.
Aujourd'hui, derrière le terme "Microsoft Intune" se cache une suite de services proposés par Microsoft. Ce schéma issu de la documentation Microsoft donne une bonne vue d'ensemble. Bien entendu, ceci est susceptible d'évoluer avec le temps.
Remarque : Intune est capable de s'associer à Configuration Manager (System Center Configuration Manager / SCCM) en mode co-gestion pour combiner l'utilisation des deux outils pour la gestion des ressources Cloud et on-premise.
III. Les licences pour Intune
Microsoft Intune n'est pas gratuit, c'est un service Cloud accessible en payant un abonnement. Toutefois, peut-être que vous pouvez déjà en bénéficier ! En fait, tout dépend des licences que vous avez pour vos utilisateurs.
Il y a 3 offres d'abonnements pour Microsoft Intune :
- Microsoft Intune (Plan 1)
- Microsoft Intune Plan 2
- Microsoft Intune Suite
Vous pouvez les comparer en consultant cette page :
L'offre "Microsoft Intune", correspondante au "Plan 1" est intégrée dans plusieurs licences Microsoft 365. Si vous avez l'une des licences ci-dessous, vous avez déjà Microsoft Intune :
- Microsoft 365 E3
- Microsoft 365 E5
- Microsoft 365 F1
- Microsoft 365 F3
- Microsoft 365 Business Premium
- Office 365 E3 + Enterprise Mobility + Security E3 (EMS)
- Office 365 E5 + Enterprise Mobility + Security E5 (EMS)
Voici un exemple d'un utilisateur avec une licence "Microsoft 365 E5 Developer", où l'on peut voir qu'il y a bien "Microsoft Intune Plan 1" dans la liste des services.
Vous pouvez activer un essai gratuit de Microsoft Intune en suivant cette procédure :
IV. Découverte de l'interface d'Intune
L'administration de Microsoft Intune s'effectue à partir d'un centre d'administration dédié accessible à l'adresse "intune.microsoft.com" à partir d'un navigateur web.
Un menu situé sur la gauche de l'interface permet de naviguer entre les différentes sections d'Intune.
- Tableau de bord (Dashboard) : contient un ensemble de widgets avec des métriques et informations clés sur l'état de votre environnement. Ce tableau de bord est totalement personnalisable et vous pouvez en créer plusieurs.
- Appareils (Devices) : c'est ici que vous pouvez visualiser l'état de vos appareils, mais aussi créer des stratégies. En général, avec Intune, nous passons beaucoup de temps dans cette partie de l'interface.
- Applications : cette section sert à gérer le déploiement des applications sur les appareils, mais également les stratégies de sécurité des applications.
- Sécurité du point de terminaison (Endpoint security) : c'est ici que nous gérons les paramètres de sécurité des appareils (chiffrement du disque, pare-feu, antivirus, etc.)
- Rapports (Reports) : surveiller l'état de vos appareils grâce aux rapports Intune
- Utilisateurs (Users) : la liste des utilisateurs (il s'agit de ceux présents dans Microsoft Entra ID)
- Groupes (Groups) : la liste des groupes (il s'agit de ceux présents dans Microsoft Entra ID)
- Administration de locataire (Tenant administration) : configuration de paramètres qui vont impacter l'ensemble du tenant Microsoft 365, notamment la personnalisation du thème graphique, la création de rôles d'administration (RBAC) ou encore la gestion des connecteurs
- Dépannage + support (Troubleshooting + support) : accès à de l'aide relative à Intune
V. L'inscription des appareils dans Intune
Afin de pouvoir gérer un appareil avec Intune, ce dernier doit être inscrit dans cette solution de gestion. Selon s'il s'agit d'un appareil de l'entreprise ou un appareil personnel, il y a plusieurs modes d'inscriptions envisageables :
- Microsoft Entra Registered (ou Azure AD Registered) : pour les appareils personnels (BYOD)
- Microsoft Entra Joined (ou Azure AD Joined) : pour les appareils dont l'entreprise est propriétaire, intégré directement dans Microsoft Entra ID et inscrit dans Intune
- Microsoft Entra Hybrid Joined (ou Hybrid AD Joined) : pour les appareils dont l'entreprise est propriétaire, intégré dans l'Active Directory (on-premise) et synchronisé dans Microsoft Entra ID, puis inscrit dans Intune
Intune peut être utilisé avec les environnements full-Cloud où vos appareils sont inscrits dans Microsoft Entra ID, mais également avec les environnements hybrides où vous avez déjà une infrastructure existante avec un annuaire Active Directory, par exemple. En fonction de votre point de départ, la mise en place d'Intune sera différente.
Il existe plusieurs méthodes pour effectuer l'inscription d'un appareil, notamment via Autopilot, via l'OOBE (processus d'initialisation de Windows), mais aussi via les paramètres de Windows.
Pour en savoir plus sur ces différents modes d'inscription, veuillez vous référer à cet article :
- Comment inscrire un appareil Windows dans Microsoft Entra ID ?
Avant de pouvoir inscrire des appareils dans Intune, vous devez configurer votre tenant.
A. Autoriser l'inscription des appareils dans Microsoft Entra ID
Dans les paramètres de Microsoft Entra ID (ex-Azure Active Directory), vous devez déterminer quels sont les utilisateurs en mesure d'inscrire des appareils. Tout en sachant qu'un appareil inscrit dans Entra ID pourra être enregistré automatiquement dans Intune. Nous allons voir où effectuer cette configuration.
Connectez-vous au portail Microsoft Entra, cliquez sur "Appareils" à gauche (1) puis sur "Tous les appareils" (2) afin de cliquer sur "Paramètres de l'appareil" (3).
Vous arrivez sur une page avec plusieurs paramètres intéressants, notamment ceux-là :
- Les utilisateurs peuvent joindre des appareils à Microsoft Entra : "Tout" indique que tous les utilisateurs peuvent joindre un appareil dans Entra ID, ce qui signifie que la machine est jointe au tenant (gestion complète), mais vous pouvez choisir "Sélectionné" pour attribuer cette permission uniquement à certains utilisateurs (recommandé).
- Les utilisateurs peuvent inscrire leurs appareils auprès de Microsoft Entra : "Tout" permet d'activer l'inscription des appareils (utile pour les appareils personnels). Ce paramètre est configuré sur "Tout" et bloqué si Intune est activé.
- Exiger l'authentification multifacteur pour inscrire ou joindre des appareils avec Microsoft Entra : indiquez si "Oui" ou "Non" le MFA est requis pour inscrire ou joindre un appareil dans Entra ID. Ceci est recommandé pour des raisons de sécurité.
Cliquez sur "Enregistrer" avant de passer à la suite.
B. Activer Intune sur un tenant Microsoft 365
Pour que les appareils enregistrés ou joints dans Microsoft Entra ID soient inscrits dans Intune, vous devez activer "Microsoft Intune" en tant que solution MDM (Mobile Device Management) pour votre tenant. D'ailleurs, Microsoft prend en charge d'autres solutions MDM : vous n'êtes pas obligé d'utiliser Intune.
A partir du "Centre d'administration Microsoft Entra", cliquez sur "Paramètres", puis sur "Mobilité". Choisissez "Microsoft Intune" sur la droite.
Sur cette page, vous avez deux étendues configurables :
- Etendue de l'utilisateur GPM (ce qui correspond au MDM)
- Étendue de l’utilisateur Protection des informations Windows (WIP) - Qui a changé de nom fin décembre 2023 car cette option s'appelait auparavant "Etendue de l'utilisateur GAM" (ce qui correspond au MAM). Voir ce tweet à ce sujet.
MDM correspond à la gestion des appareils dans leur intégralité, tandis que MAM (Mobile Application Management) correspond à la gestion des données sur les appareils, ce qui est plus adapté aux appareils personnels (dans le cadre du BYOD). Autrement dit, le MDM permet de gérer l'intégralité de l'appareil tandis que la seconde option vise à gérer les données et les applications de l'entreprise sur l'appareil (donc c'est "moins intrusif").
Si vous cochez "Tout", vous permettez à tous les utilisateurs d'effectuer l'inscription Intune. Sinon, le fait de choisir "Partiel" vous permet d'autoriser les membres d'un groupe.
Pour valider, pensez à cliquer sur "Enregistrer" en bas de page.
Grâce à cette configuration, Intune est prêt à accueillir vos premiers appareils !
VI. Premiers pas avec Intune
A. Objectif de la configuration
Pour faire vos premiers pas avec Intune, vous devrez inscrire une première machine afin de pouvoir lui appliquer des paramètres de configuration.
Ici, notre objectif va être créer une nouvelle stratégie de configuration pour paramétrer le navigateur Microsoft Edge sur les machines Windows. Nous allons configurer la page d'accueil par défaut pour mettre Google, ajuster le comportement du navigateur à son lancement et ajuster son comportement lors de l'ouverture d'un nouvel onglet. Ceci va nous permettre de prendre en main l'assistant de création de ce que l'on appelle un "Profil de configuration", soit l'équivalent d'une stratégie de groupe (GPO) en environnement Active Directory.
Dans cet exemple, deux machines seront utilisées : "PC-ITC-01" et "PC-ITC-02". Elles sont toutes les deux sous Windows 11, inscrites en tant qu'appareil "Microsoft Entra Joined" et membre d'un groupe Entra ID nommé "PC_Corporate" (il s'agit d'un groupe statique, mais vous pouvez utiliser un groupe dynamique).
B. Créer un profil de configuration
A partir du Centre d'administration Microsoft Intune, vous devez cliquer sur "Appareils" à gauche puis sur "Profils de configuration" afin de cliquer sur "Créer" et "Nouvelle stratégie". Ce menu est également accessible si vous choisissez un type de plateforme dans la liste (Windows, Linux, etc.).
Un panneau latéral va s'ouvrir sur la droite. Vous devez choisir la plateforme cible, c'est-à-dire le système d'exploitation donc "Windows 10 et ultérieur" dans cet exemple. Vous devez également choisir un type de profil :
- Catalogue des paramètres : donne accès à un ensemble de paramètres, organisés par catégories, et vous pouvez configurer les paramètres de votre choix (c'est ce que vous devez choisir pour réussir cette mise en pratique).
- Modèles : donne accès à des modèles de configuration pour certaines fonctions ou services. Quand vous choisissez un modèle, vous devez configurer tous les paramètres du modèle. A noter l'existence du modèle "Personnalisé" très utile pour cibler les paramètres OMA-URI de notre choix.
Ensuite, vous devez nommer la stratégie et indiquer une description. Ceci est très pratique pour apporter des précisions sur le contenu du profil de configuration afin de pouvoir l'identifier facilement. Passez à l'étape suivante quand c'est fait.
Bienvenue sur l'étape "Paramètres de configuration", c'est là que vous devez définir les paramètres du profil. Pour commencer, vous devez cliquer sur le lien "Ajouter des paramètres" pour faire votre sélection de paramètres à configurer. Autrement dit, nous allons sélectionner plusieurs paramètres, et ensuite les configurer.
Dans le panneau latéral, indiquez "edge" dans la zone de recherche (1) et cliquez sur le bouton "Recherche" (2) afin d'identifier facilement les paramètres en lien avec Microsoft Edge.
Cliquez sur "Microsoft Edge\Démarrage, page d'accueil et page Nouvel onglet" (3) car c'est dans cette catégorie que nous allons retrouver les paramètres dont nous avons besoin aujourd'hui. Cochez la case à côté du paramètre "Action to take on startup" (4) pour le sélectionner car nous allons le configurer. Ce paramètre permet d'indiquer ce que doit faire le navigateur à son lancement : ouvrir une URL spécifique, continuer la session précédente, etc.
Descendez dans la liste... Afin de sélectionner deux autres paramètres :
- Configure the home page URL : configurer l'URL de la page d'accueil de Microsoft Edge
- Configure the new tab page URL : configurer l'URL lorsque l'on ouvre un nouvel onglet dans Microsoft Edge
Descendez encore dans la liste... Sélectionnez ces deux paramètres :
- Set the new tab page as the home page : définir la page nouvel onglet comme page d'accueil
- Sites to open when the browser starts : définir la liste du site ou des sites à ouvrir au démarrage du navigateur
Ensuite, vous pouvez fermer le panneau latéral. Nous avons un ensemble de 5 paramètres à configurer.
Il ne reste plus qu'à activer les paramètres et à indiquer les bonnes valeurs (lorsque c'est nécessaire). Voici un exemple pour définir "google.fr" par défaut quand on ouvre un nouvel onglet, que l'on accède à la page d'accueil ou que l'on ouvre le navigateur.
Quand c'est fait, passez à l'étape suivante "Balises d'étendue", que nous allons ignorer pour cette fois (pas d'utilité).
Par contre, vous devez vous intéresser à l'étape "Affectations". En effet, c'est ici que vous allez affecter ce profil de configuration à un ensemble d'appareils ou d'utilisateurs. Vous avez le choix entre ajouter un ou plusieurs groupes, ou sélectionner tous les utilisateurs ou tous les ordinateurs. Dans cet exemple, le groupe "PC_Corporate" contenant mes deux ordinateurs sera utilisé.
L'étape "Vérifier + créer" est la dernière du processus de création d'un nouveau profil de configuration. Révisez votre configuration avant de cliquer sur le bouton "Créer". Sachez que ce profil pourra être modifié par la suite.
Voilà, vous venez de créer votre premier profil de configuration Intune ! Il apparait bien dans la liste.
C. Tester le profil de configuration Intune
Sur un poste de travail concerné par le profil de configuration, vous devez tester votre configuration. En ce qui me concerne, pour le moment, je peux constater que c'est la page d'accueil par défaut de Microsoft Edge qui s'affiche.
La question que l'on peut se poser, et c'est légitime, c'est : comment synchroniser le PC avec Intune pour qu'il applique le nouveau profil ? Il y a plusieurs solutions possibles. Nous allons utiliser une méthode classique, via l'interface graphique de Windows. Par ailleurs, un redémarrage du PC peut aussi fonctionner.
Remarque : par défaut, pour les profils de configuration, le cycle de synchronisation - automatique - d'un appareil est de 8 heures. Toutefois, il y a des synchronisations plus fréquentes dans les 2 heures qui suivent l'inscription dans Intune.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Il ne reste plus qu'à patienter le temps de la synchronisation.
Une fois le profil de configuration appliqué sur la machine, la configuration de Microsoft Edge se retrouve modifiée. Lorsque le navigateur est lancé, Google s'affiche à l'écran.
Dans les paramètres du navigateur, si l'on s'intéresse à la section "Démarrer, accueil et nouveaux onglets", nous pouvons voir que certains paramètres sont verrouillés. Il s'agit des paramètres configurés via notre profil de configuration.
La configuration est opérationnelle !
D. Suivre le déploiement d'un profil de configuration
A partir du portail Intune, si vous cliquez sur le nom de votre politique, vous pouvez accéder à des informations sur son statut. Ainsi, vous pouvez savoir s'il y a eu des erreurs sur certains appareils, ou à l'inverse, si le profil s'est correctement appliqué. Pour obtenir plus d'informations, notamment un détail par machine, vous devez cliquer sur le bouton "Afficher le rapport".
Par ailleurs, sur chaque machine inscrite dans Intune, vous pouvez retrouver des journaux dans l'Observateur d'événements local de la machine. Les journaux liés à Intune sont créés dans ce journal :
- Journaux des applications et des services > Microsoft > Windows > Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider > Admin
L'exemple ci-dessous montre un événement qui fait référence à l'application de nouveaux paramètres. Ce journal est intéressant en phase de débogage, en complément des informations disponibles sur le portail Intune.
VII. Conclusion
Cet article d'introduction à Microsoft Intune touche à sa fin ! C'est un vaste sujet que nous allons continuer à explorer au travers d'autres tutoriels afin que vous puissiez prendre en main les différentes fonctionnalités d'Intune au fur et à mesure. Nous allons notamment vous proposer des tutoriels sur des cas pratiques bien précis et répondant à des besoins que l'on rencontre en entreprise !
Si vous avez également vos propres idées, n'hésitez pas à laisser un commentaire sur cet article.
Enfin.Merci beaucoup pour ce beau partage. Si possible de nous montrer comment convertir les gpo en stratégie intune.
Bonjour,
Avez vous eu des problèmes d’intégrations pour certains ordinateurs?
En effet, on a des ordinateurs qui essayent en boucle de s’inscrire sur Intune mais qui n’y arrivent pas et crées une multitude d’entrées dans intune.
Merci d’avance pour vos retours
Salut Mathias,
Généralement, lors de l’intégration des ordinateurs dans Intune, le problème réside dans les mises à jour non effectuées sur le PC.
Bonjour Florian et bonjour à tous.
Merci pour cette série de vidéo et d’exemples sur Microsoft Itunes. J’ai cependant une question car je débute en informatique.
Je me suis crée un compte pour l’utilisation du Microsoft Sandbox pour la gestion de la partie administrative. Je souhaiterais faire des essais en intégrant des PC sous Intunes. J’ai tenté de le faire via un PC W10 sous VirtualBox, j’ai bien réussi à le joindre au domaine azure ad mais le poste ne remonte pas dans la console d’Intune.
Comment puis-je faire pour me créer un environnement de test pour tester le déploiement d’applications ?
Merci à tous pour vos réponses.
Bonjour Florian
Merci pour les explications,
Je suis en mode Hybrid mais le status Azureadjoined reste sur NO.
Comment puis-je le passer en YES afin que dans mon Entra les PCs soient en Microsoft Entra Hybrid joined
merci par avance de votre retour