Microsoft Intune – L’essentiel sur les profils de configuration des appareils

I. Présentation

Dans cet article, nous allons partir à la découverte des profils de configuration des appareils avec Microsoft Intune ! Il est essentiel de bien maitriser les profils de configuration, car ils permettent de configurer et personnaliser le système des appareils gérés avec Intune. Ce qui en fait une fonctionnalité incontournable !

Au sein de mon article d'introduction à Microsoft Intune, je vous ai expliqué comment créer un profil de configuration sans évoquer toutes les possibilités ni le fonctionnement de certaines options. Cet article aura pour objectif d'approfondir le sujet des profils de configuration !

Après avoir lu cet article, vous connaîtrez les différentes options offertes par l'intermédiaire d'Intune puisque nous allons évoquer les types de profil de configuration, mais également la notion d'étendue (utilisateur/appareil), les balises d'étendues ainsi que les filtres. Ce sera aussi l'occasion de voir que nous pouvons "faire des GPOs" à partir d'Intune, ce qui devrait plaire aux adeptes de stratégies de groupe !

• Voir la vidéo sur YouTube

Avant de lire cet article, nous vous recommandons de lire l'article d'introduction à Intune si vous débutez dans l'utilisation de cette solution :

• Comment débuter avec Intune ?

II. La notion de profil de configuration

Les profils de configuration des appareils (que l'on appelle aussi "Profils d'appareils") correspondent à des stratégies qui vont permettre de définir un ensemble de paramètres à appliquer sur les appareils.

Nous pouvons citer quelques exemples :

• Personnaliser les paramètres du système (activer/désactiver une fonction de Windows, déployer un fond d'écran, etc...)
• Personnaliser les paramètres d'une application, notamment la suite Microsoft Office ou le navigateur Microsoft Edge
• Déployer un nouveau réseau Wi-Fi sur les appareils
• Etc...

Comme pour les stratégies de groupe, il y a des milliers de possibilités... Sachez qu'Intune est capable de déployer des profils de configuration à destination des appareils sous Windows, macOS, iOS, iPadOS, et Android.

Un profil de configuration se crée à partir du Centre d'administration Microsoft Intune. Bien qu'il existe plusieurs types de profils de configuration, dans la majorité des cas, la création d'une nouvelle stratégie passera par le menu suivant :

• Appareils > Stratégie > Profils de configuration > Créer > Nouvelle stratégie

III. Les types de profils de configuration pour les appareils

Il y a plusieurs types de profils de configuration disponibles dans Intune et nous allons les présenter dans cette partie de l'article.

A. Catalogue des paramètres

Le "Catalogue des paramètres" (Settings catalog) correspond à un inventaire de tous les paramètres disponibles : libre à vous de rechercher le ou les paramètres dont vous avez besoin et de les ajouter à votre stratégie afin d'en faire la configuration.

La zone de recherche et le système de filtres permettent de gagner du temps lorsque l'on recherche un paramètre pour un usage spécifique. D'ailleurs, dans la zone de recherche, vous pouvez spécifier plusieurs mots clés séparés par une virgule.

• Appareils > Profils de configuration > Créer > Nouvelle stratégie > Catalogue des paramètres

B. Modèles (Templates)

Les "Modèles" (Templates) correspondent à des paramètres organisés par groupe. Lorsque vous sélectionnez un modèle, la stratégie créée vous permettra de configurer tous les paramètres associés à ce modèle. Parmi les exemples de modèles, nous pouvons citer ceux pour la configuration Wi-Fi, la configuration VPN ou encore le modèle E-mail pour définir la configuration d'un serveur de messagerie sur des appareils.

• Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles

C. Les modèles d'administration

Les "Modèles d'administration" (Administratives templates), c'est probablement la section qui va plaire le plus aux administrateurs systèmes habitués à configurer des GPOs en environnement Active Directory ! En effet, Intune reprend un ensemble de modèles d'administration (ADMX) pour la configuration de Windows, mais aussi de Microsoft Office, de Microsoft Edge et de Google Chrome.

Les modèles d'administration sont accessibles au travers de la création d'un profil de type "Modèles" (ou via le "Catalogue des paramètres").

• Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles > Modèles d'administration
  • Pour les modèles d'administrations intégrés à Intune par Microsoft
• Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles > Modèles d'administration importés (préversion)
  • Pour les modèles d'administrations importés par l'administrateur (vous) à partir de fichiers ADMX et ADML

Comme le montre l'image ci-dessous, lorsque nous créons un profil de configuration basé sur un modèle d'administration, nous retrouvons une interface et une organisation des paramètres similaires à l'expérience proposée par la console d'édition d'une stratégie de groupe.

D'ailleurs, lorsque nous cliquons sur un paramètre, nous pouvons le configurer comme nous avons l'habitude de le faire pour une GPO, sauf qu'ici tout est intégré à l'interface web. La description du paramètre est intégrée, tout comme les systèmes pris en charge.

Remarque : les "Modèles d'administration" sont accessibles également via le Catalogue des paramètres.

D. Bases de référence de sécurité

Les "Bases de référence de sécurité" (Security Baselines) sont là pour vous aider à améliorer la posture de sécurité de vos appareils en utilisant des ensembles de paramètres mis à disposition par Microsoft et qui sont le reflet des bonnes pratiques de Microsoft. Autrement dit, il s'agit de stratégies prêtes à l'emploi, mais que vous pouvez personnaliser, et qui vont permettre de durcir la configuration du système d'exploitation Windows, mais aussi de certaines applications (Edge, Defender, etc.).

Pour créer un profil de configuration basé sur les recommandations de Microsoft, vous devez utiliser "ce chemin" sur le portail d'administration Intune :

• Sécurité du point de terminaison > Bases de référence de sécurité > Choix de la baseline > Créer un profil

Les profils de Security Baselines proposés par Microsoft sont également mis à jour par Microsoft de façon automatique. Toutefois, à partir du moment où vous créez un profil basé sur une version spécifique d'une Security Baseline, ce sera à vous d'en faire la mise à jour manuellement (ce qui est compréhensible pour éviter les effets de bords).

Gardez à l'esprit que ces profils de configuration orientés sécurité vont modifier en profondeur la configuration du système (ou de l'application) pour durcir sa configuration, mais également activer certaines fonctionnalités, ce qui peut engendrer le dysfonctionnement de certains services et applications. Il est indispensable de faire toute une batterie de tests pour ajuster, si besoin, la configuration.

IV. Les paramètres OMA-URI et les CSP

Chaque paramètre de configuration Intune est accessible à un OMA-URI unique associé faisant référence à un point d'entrée dans un CSP (Configuration Service Provider). Sachez que les paramètres configurables pour Windows 10 et Windows 11 par l'intermédiaire d'Intune font référence à un ensemble de CSP, et la lecture de la documentation peut s'avérer utile dans certains cas, notamment pour déterminer les éditions de Windows supportées par certains paramètres.

Sachez qu'un paramètre OMA-URI (Open Mobile Alliance - Uniform Resource Identifier) correspond à un standard utilisé par Microsoft Intune pour gérer les paramètres sur les appareils. Ces OMA-URI permettent à Intune de communiquer avec le CSP sur l'appareil cible pour définir ou obtenir les valeurs de ces paramètres.

Certains paramètres ne sont pas disponibles directement à partir de l'interface Intune, bien qu'il soit pris en charge par le système d'exploitation Windows 10 ou Windows 11, ce qui nous "force" à cibler directement l'OMA-URI. Nous pouvons considérer que les OMA-URI permettent une gestion plus fine et précise des appareils à partir d'Intune.

Terminons par ce schéma issu de la documentation Microsoft qui représente bien le fonctionnement, et notamment l'implication du protocole OMA-DM pour la communication.

V. Appliquer la stratégie : sur les utilisateurs ou les appareils ?

Lors de la configuration d'un paramètre dans une stratégie, nous pouvons constater que certains paramètres ont une balise entre parenthèses (utilisateur / appareil). Ceci signifie que le paramètre en question affecte uniquement l'utilisateur ou l'appareil, en fonction de la base spécifiée entre parenthèses.

Lorsque le paramètre s'appliquera sur l'appareil Windows, la modification ne sera pas effectuée dans la même ruche du Registre Windows, en fonction de la portée du paramètre (sur le même principe que pour les GPO) :

• La stratégie pour l'utilisateur modifiera "HKEY_CURRENT_USER", qui est spécifique à chaque session (profil utilisateur)
• La stratégie pour l'appareil modifiera "HKEY_LOCAL_MACHINE", qui est unique sur la machine et commune à l'ensemble des sessions sur la machine

Après avoir configuré les paramètres dans la stratégie, vient l'étape de l'affectation de cette stratégie à des appareils ou des utilisateurs. Cette affectation s'effectue exclusivement par groupe, bien que ce soit possible de solliciter deux "groupes" par défaut permettant d'ajouter tous les appareils ou tous les utilisateurs.

Voici le comportement des stratégies Intune :

• Une stratégie avec des paramètres d'appareils affectée à des appareils va s'appliquer à tous les utilisateurs qui vont utiliser ces appareils
• Une stratégie avec des paramètres d'utilisateurs affectée à des utilisateurs va suivre les utilisateurs d'un appareil à l'autre (synchronisation des paramètres via Intune lorsque l'utilisateur ouvre une session sur un appareil). À cela s'ajoute l'application des paramètres qui cible l'appareil directement.
• Une stratégie avec des paramètres d'utilisateurs attribuée à des appareils va s'appliquer à tous les utilisateurs qui vont utiliser ces appareils (sur le même principe que le loopback processing de GPO en mode fusion).
• En cas de conflit, c'est-à-dire un même paramètre configuré à la fois pour l'utilisateur et l'appareil, sachez que la valeur de ce paramètre pour l'utilisateur sera prioritaire vis-à-vis de la configuration pour l'appareil.

Pour approfondir le sujet, vous pouvez consulter la documentation Microsoft :

• Microsoft Learn - Intune - Scopes

VI. Intune et les balises d'étendue

Les balises d'étendue sont utiles pour les organisations qui ont besoin de segmenter l'administration des appareils et sont là en complément de la gestion des rôles (RBAC). Une balise d'étendue va permettre de "filtrer" les objets visibles à partir d'un compte utilisateur pour qu'il ne puisse voir que les appareils correspondants à ses attributions. Par exemple, cette fonctionnalité pourra s'avérer utile dans une organisation répartie dans plusieurs pays avec plusieurs équipes IT.

Le portail Intune décrit cette fonctionnalité de la façon suivante : "Les balises d'étendue définissent des groupes de ressources Intune qui s'alignent sur des attributions de rôle Intune spécifiques. Par exemple, une balise d'étendue "Bureau de Seattle" peut servir à associer des stratégies, des profils ou des applications uniquement avec les administrateurs qui s'appliquent à l'emplacement Bureau de Seattle."

La balise d'étendue par défaut n'applique aucune restriction. Vous avez la possibilité de choisir une ou plusieurs balises d'étendue lors de la création d'un profil de configuration.

Mais avant cela, il faudra créer une balise d'étendue et en faire la configuration à partir du portail Intune.

• Administrateur de locataire > Rôles > Balises d'étendue > Créer

VII. Intune et les filtres lors de l'affectation d'une stratégie

Quand une stratégie est affectée à tous les appareils, à tous les utilisateurs, ou à un groupe spécifique, l'administrateur a la possibilité de définir un filtre. Ceci signifie que l'on va pouvoir cibler un ensemble d'utilisateurs / d'appareils contenus dans le groupe.

Sur chaque groupe, il est possible d'affecter un seul filtre à la fois, mais un filtre peut contenir plusieurs conditions. Un filtre peut être basé sur une caractéristique des appareils ou des applications.

Pour créer un filtre, nous devons accéder à l'emplacement suivant du portail d'administration Intune :

• Appareils > Filtres > Créer > Appareils gérés / Applications gérées

Prenons un exemple tout simple où nous allons créer un filtre permettant de filtrer sur le fabricant des appareils pour conserver uniquement les appareils où le fabricant est "VMware Inc.", ce qui correspond à des VMs sur un environnement VMware. D'ailleurs, cette fonctionnalité me fait penser au principe des filtres WMI avec les GPOs.

Nous commençons par définir un nom, une description et nous devons choisir la plateforme cible, c'est-à-dire l'OS.

Ensuite, nous définir l'ensemble des règles intégrées à ce filtre, ce qui permet de définir des conditions. Comme le montre l'image ci-dessous, nous pouvons choisir entre plusieurs propriétés : fabricant, modèle, nom de l'appareil, propriétaire, etc.

Une fois la propriété choisie, nous devons sélectionner un opérateur (égal, commence par, etc.) et définir une valeur. Nous pouvons aussi définir le comportement à adopter (et/ou) dans le cas où il y a plusieurs expressions (ou conditions, si vous préférez) dans ce filtre. La règle peut être modifiée manuellement, si vous avez besoin de créer de filtres plus avancés.

Ce qui est très pratique, c'est le bouton "Aperçu" puisqu'il permet de voir quels sont les appareils correspondants à ce filtre. Autrement dit, ce bouton permet de tester le filtre (sur la base de tous les appareils inscrits).

Une fois que c'est fait, il ne reste plus qu'à poursuivre jusqu'à la création du filtre...

Ensuite, ce filtre pourra être utilisé lors de la création d'un profil de configuration au moment de l'étape "Affectations" (1). Il suffira de cliquer sur "Modifier le filtre" (2), de choisir s'il faut inclure ou exclure les appareils filtrés (3) puis de sélectionner le filtre (4).

Les filtres sont très pratiques et offrent de nombreuses possibilités pour la gestion des ordinateurs, des smartphones et des tablettes. Si l'on prend l'exemple des appareils sous iOS et iPadOS, à savoir les iPhone et les iPad, sachez que nous pourrions faire un filtre pour détecter les appareils jailbreakés (isRooted) ! Ce même filtre pourrait fonctionner pour détecter les appareils Android rootés.

• Microsoft Learn - Propriétés des filtres Intune

VIII. Conclusion

Grâce à la lecture de cet article, ou après avoir regardé la vidéo, vous avez une bonne vue d'ensemble des possibilités offertes avec les profils de configuration Intune ! Comme je le disais en introduction, c'est une fonction clé puisqu'elle va nous permettre de gérer la configuration des appareils, en plus d'autres stratégies comme celles dédiées à la sécurité (sans parler des Security Baselines) et que nous découvrirons progressivement dans d'autres articles.