Créer une stratégie de conformité dans Microsoft Intune

Les stratégies de conformité des appareils sont une fonctionnalité clé quand vous utilisez Intune pour protéger les ressources de votre organisation. Dans Intune, vous pouvez créer des règles et des paramètres que les appareils doivent respecter pour être considérés comme conformes, par exemple une version de système d’exploitation minimale. Si l’appareil n’est pas conforme, vous pouvez bloquer l’accès aux données et aux ressources à l’aide de l’accès conditionnel.

Vous pouvez également effectuer des actions en cas de non-conformité, telles que l’envoi d’un e-mail de notification à l’utilisateur. Pour obtenir une vue d’ensemble de ce que les stratégies de conformité font, et comment elles sont utilisées, consultez Bien démarrer avec la conformité des appareils.

Cet article :

• Répertorie les conditions préalables et les étapes pour créer une stratégie de conformité.
• Vous montre comment attribuer la stratégie à vos groupes d’utilisateurs ou d’appareils.
• Décrit d’autres fonctionnalités, notamment les balises d’étendue pour « filtrer » vos stratégies, et les étapes que vous pouvez suivre sur les appareils qui ne sont pas conformes.
• Répertorie les durées de cycle d’actualisation d’archivage lorsque des appareils reçoivent des mises à jour de stratégie.

Avant de commencer

Pour utiliser des stratégies de conformité des appareils, veillez à respecter ceci :

• Utiliser les abonnements suivants :

  • Intune
  • Si vous utilisez l’accès conditionnel, vous devez Microsoft Entra ID édition P1 ou P2. Microsoft Entra tarification répertorie ce que vous obtenez avec les différentes éditions. Intune conformité ne nécessite pas de Microsoft Entra ID.

• Utiliser une plateforme prise en charge :

  • Administrateur d’appareils Android
  • Android AOSP
  • Android Entreprise
  • iOS
  • Linux - Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
  • macOS
  • Windows 10/11

Importante

La gestion des administrateurs d’appareils Android est déconseillée et n’est plus disponible pour les appareils ayant accès à Google Mobile Services (GMS). Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android. La documentation de support et d’aide reste disponible pour certains appareils sans GMS exécutant Android 15 et versions antérieures. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

• Inscrire des appareils dans Intune (nécessaire pour connaître l’état de conformité)

• Inscrivez les appareils auprès d’un seul utilisateur ou sans utilisateur principal. Les appareils uniques ne peuvent pas être inscrits auprès de plusieurs utilisateurs.

En plus des paramètres de conformité intégrés à Intune, les plateformes suivantes prennent en charge l’ajout de paramètres de conformité personnalisés aux stratégies de conformité :

• Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
• Windows 10/11

Avant de pouvoir ajouter des paramètres personnalisés, vous devez préparer un fichier JSON personnalisé qui définit les paramètres sur lesquels vous souhaitez baser votre conformité personnalisée et un script qui s’exécute sur les appareils pour détecter les paramètres définis dans le JSON.

Pour plus d’informations sur l’utilisation des paramètres de conformité personnalisés, notamment les plateformes prises en charge, les prérequis et la configuration de la catégorie Conformité personnalisée lors de la création d’une stratégie, consultez Utiliser des paramètres de conformité personnalisés.

Créer la stratégie

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Accédez à Appareils.

3. Sous Gérer les appareils, sélectionnez Conformité. Choisissez ensuite Créer une stratégie.

4. Sélectionnez une plateforme pour cette stratégie dans les options suivantes :

   • Administrateur d’appareils Android
   • Android (AOSP)
   • Android Entreprise
   • iOS/iPadOS
   • Linux - (Ubuntu Desktop, version 20.04 LTS et 22.04 LTS, RedHat Enterprise Linux 8 ou RedHat Enterprise Linux 9)
   • MacOS
   • Windows 10 et versions ultérieures
   • Windows 8.1 et versions ultérieures

   Pour Android Entreprise, vous sélectionnez également un type de profil. Les options disponibles sont les suivantes :

   • Profil professionnel entièrement managé, dédié et appartenant à l’entreprise
   • Profil professionnel appartenant à l’utilisateur

   Sélectionnez ensuite Créer pour ouvrir la page de configuration.

5. Sous l’onglet Informations de base , entrez un Nom qui vous permet d’identifier cette stratégie ultérieurement. Par exemple, un nom de stratégie approprié est Marquer les appareils jailbreakés iOS/iPadOS comme non conformes.

   Si vous le souhaitez, entrez une Description pour la stratégie.

6. Sous l’onglet Paramètres de conformité, développez les catégories disponibles, puis configurez les paramètres de votre stratégie. Les articles suivants décrivent les paramètres de conformité disponibles pour chaque plateforme :

   • Administrateur d’appareils Android
   • Android (AOSP)
   • Android Entreprise
   • iOS/iPadOS
   • Linux
   • MacOS
   • Windows 8.1 et versions ultérieures
   • Windows 10/11

7. Si vous le souhaitez, vous pouvez ajouter des paramètres personnalisés pour les plateformes prises en charge.

   Conseil

   Il s’agit d’une étape facultative prise en charge pour les plateformes suivantes :

   • Linux - Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
   • Windows 10 et versions ultérieures
     Avant de pouvoir ajouter des paramètres personnalisés à une stratégie, vous devez avoir chargé un script de détection sur Intune et disposer d’un fichier JSON qui définit les paramètres que vous souhaitez utiliser pour la conformité. Consultez Paramètres de conformité personnalisés.

   Dans la page Paramètres de conformité , développez la catégorie Conformité personnalisée :

   Pour Windows :

   1. Dans la page Paramètres de conformité, développez Conformité personnalisée et définissezConformité personnalisée sur Exiger.
   2. Pour Sélectionner votre script de découverte, sélectionnez Cliquer pour sélectionner, puis entrez le nom d’un script que vous avez précédemment ajouté au centre d’administration Microsoft Intune. Ce script doit être chargé avant de commencer à créer la stratégie. Choisissez Sélectionner pour passer à l’étape suivante.
   3. Pour Charger et valider le fichier JSON avec vos paramètres de conformité personnalisés, sélectionnez l’icône de dossier, puis recherchez et ajoutez le fichier JSON pour Windows que vous souhaitez utiliser avec cette stratégie. Pour obtenir de l’aide sur json, consultez Créer un json pour les paramètres de conformité personnalisés.

   Pour Linux :

   1. Dans la page Paramètres de conformité , sélectionnez Ajouter des paramètres pour ouvrir le sélecteur Paramètres.
   2. Sélectionnez Conformité personnalisée. Fermez ensuite le sélecteur de paramètres.
   3. Basculez Exiger une conformité personnalisée sur True. T
   4. Pour Sélectionner votre script de découverte, sélectionnez Sélectionner un script. Sélectionnez ensuite un script qui a été ajouté précédemment au centre d’administration Microsoft Intune. Ce script doit être chargé avant de commencer à créer la stratégie.
   5. Pour Sélectionner votre fichier de règles, sélectionnez l’icône de dossier, puis recherchez et ajoutez le fichier JSON pour Linux que vous souhaitez utiliser avec cette stratégie. Pour obtenir de l’aide sur json, consultez Créer un json pour les paramètres de conformité personnalisés.

   Attendez que Intune valide le JSON. Les problèmes qui doivent être résolus apparaissent à l’écran. Après validation du contenu JSON, les règles du json apparaissent au format tableau.

8. Sous l’onglet Actions en cas de non-conformité , sélectionnez une séquence d’actions à appliquer automatiquement aux appareils qui ne respectent pas cette stratégie de conformité.

   Vous pouvez ajouter plusieurs actions et configurer des planifications et des détails pour certaines actions. Par exemple, vous pouvez modifier la planification de l’action par défaut Marquer l'appareil comme non conforme afin qu’elle se déclenche après un jour. Vous pouvez ensuite ajouter une action pour envoyer un e-mail à l’utilisateur et l’avertir qu’il n’est pas en conformité. Vous pouvez également ajouter des actions qui verrouillent ou mettez hors service des appareils qui restent non conformes.

   Pour plus d’informations sur les actions que vous pouvez configurer, consultez Ajouter des actions pour les appareils non conformes, notamment comment créer des e-mails de notification à envoyer à vos utilisateurs.

   Autre exemple : utiliser des emplacements auxquels vous ajoutez au moins un emplacement à une stratégie de conformité. Dans ce cas, l’action par défaut en cas de non-conformité s’applique quand vous sélectionnez au moins un emplacement. Si l’appareil n’est connecté à aucun des emplacements sélectionnés, il est considéré comme non conforme. Vous pouvez configurer la planification pour accorder aux utilisateurs une période de grâce, par exemple un jour.

9. Sous l’onglet Balises d’étendue, sélectionnez des balises pour filtrer les stratégies selon des groupes spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Après avoir ajouté les paramètres, vous pouvez également ajouter une balise d’étendue à vos stratégies de conformité.

   Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser des balises d’étendue pour filtrer les stratégies.

10. Sous l’onglet Affectations, affectez la stratégie à vos groupes.

Sélectionnez Ajouter des groupes, puis affectez la stratégie à un ou plusieurs groupes. La stratégie s’appliquera à ces groupes lorsque vous enregistrerez la stratégie après la prochaine étape.

Les stratégies pour Linux ne prennent pas en charge les affectations basées sur l’utilisateur et ne peuvent être affectées qu’à des groupes d’appareils.

11. Sous l’onglet Vérifier + créer, vérifiez les paramètres et sélectionnez Créer quand vous êtes prêt à enregistrer votre stratégie de conformité.

    La conformité des utilisateurs ou des appareils ciblés par votre stratégie est évaluée lors de l’archivage avec Intune.

Durées de cycle d’actualisation

Intune utilise différents cycles d’actualisation pour rechercher les mises à jour des stratégies de conformité. Si l’appareil vient d’être inscrit, la fréquence d’archivage est plus élevée. Cycles d’actualisation de la stratégie et du profil répertorie les temps d’actualisation estimés.

Les utilisateurs peuvent ouvrir l’application Portail d’entreprise et synchroniser l’appareil à tout moment pour rechercher immédiatement les mises à jour de stratégie.

Attribuer un état InGracePeriod

L’état InGracePeriod pour une stratégie de conformité est une valeur. Cette valeur est déterminée par la combinaison de la période de grâce d’un appareil et de l’état réel de l’appareil pour cette stratégie de conformité.

Plus précisément, si un appareil a un état NonCompliant pour une stratégie de conformité affectée et si :

• L’appareil n’a pas de période de grâce affectée, la valeur affectée pour la stratégie de conformité est NonCompliant
• L’appareil a une période de grâce qui a expiré, la valeur affectée pour la stratégie de conformité est NonCompliant
• L’appareil a une période de grâce qui se situe dans le futur, la valeur affectée pour la stratégie de conformité est InGracePeriod

Le tableau suivant récapitule ces points :

État de conformité réel	Valeur de la période de grâce affectée	État de conformité effectif
NonCompliant	Aucune période de grâce affectée	NonCompliant
NonCompliant	Date d’hier	NonCompliant
NonCompliant	Date de demain	InGracePeriod

Pour plus d’informations sur la surveillance des stratégies de conformité des appareils, consultez Surveiller les stratégies de conformité d’appareils Intune.

Attribuer un état de stratégie de conformité résultant

Si un appareil a plusieurs stratégies de conformité et qu’il a des états de conformité différents pour au moins deux stratégies de conformité attribuées, un seul état de conformité résultant est attribué. Cette affectation est basée sur un niveau de gravité conceptuel affecté à chaque état de conformité. Chaque état de conformité a le niveau de gravité suivant :

État	Severity
Inconnu	1
NotApplicable	2
Conforme	3
InGracePeriod	4
NonCompliant	5
Error	6

Quand un appareil a plusieurs stratégies de conformité, le niveau de gravité le plus élevé de toutes les stratégies lui est attribué.

Par exemple, trois stratégies de conformité sont attribuées à un appareil : un état Inconnu (gravité = 1), un état Conforme (gravité = 3) et un état InGracePeriod (gravité = 4). L’état InGracePeriod a le niveau de gravité le plus élevé. Par conséquent, les trois stratégies ont l’état de conformité InGracePeriod.

Prochaines étapes

Supervisez vos stratégies.