Partager via

Procédure pas à pas : Utiliser le cloud pour configurer la stratégie de groupe sur les appareils clients Windows avec des modèles ADMX et des Microsoft Intune

  • Article

Remarque

Cette procédure pas à pas a été créée en tant qu’atelier technique pour Microsoft Ignite. Il a plus de prérequis que les procédures pas à pas classiques, car il compare l’utilisation et la configuration de stratégies ADMX dans Intune et localement.

Les modèles d’administration de stratégie de groupe, également appelés modèles ADMX, incluent des paramètres que vous pouvez configurer sur les appareils clients Windows, y compris les PC. Les paramètres du modèle ADMX sont disponibles par différents services. Ces paramètres sont utilisés par les fournisseurs mobile Gestion des appareils (GPM), y compris les Microsoft Intune. Par exemple, vous pouvez activer idées de conception dans PowerPoint, définir une page d’accueil dans Microsoft Edge, etc.

Conseil

Pour obtenir une vue d’ensemble des modèles ADMX dans Intune, y compris les modèles ADMX intégrés à Intune, consultez Utiliser des modèles ADMX Windows dans Microsoft Intune.

Pour plus d’informations sur les stratégies ADMX, consultez Présentation des stratégies ADMX.

Ces modèles sont intégrés à Microsoft Intune et sont disponibles en tant que profils de modèles d’administration. Dans ce profil, vous configurez les paramètres que vous souhaitez inclure, puis vous « affectez » ce profil à vos appareils.

Dans cette procédure pas à pas, vous allez :

  • Découvrez le centre d’administration Microsoft Intune.
  • Créer des groupes d’utilisateurs et des groupes d’appareils.
  • Comparez les paramètres dans Intune avec les paramètres ADMX locaux.
  • Créez différents modèles d’administration et configurez les paramètres qui ciblent les différents groupes.

À la fin de ce labo, vous pouvez utiliser Intune et Microsoft 365 pour gérer vos utilisateurs et déployer des modèles d’administration.

Cette fonctionnalité s’applique à :

  • Windows 11
  • Windows 10 version 1709 et ultérieures

Conseil

Il existe deux façons de créer un modèle d’administration : en utilisant un modèle ou en utilisant le Catalogue des paramètres. Cet article porte sur l’utilisation du modèle Modèles d’administration. Le Catalogue des paramètres propose un plus grand nombre de paramètres de modèle d’administration. Pour connaître les étapes spécifiques à l’utilisation du catalogue de paramètres, accédez à Utiliser le catalogue de paramètres pour configurer les paramètres.

Configuration requise

  • Un abonnement Microsoft 365 E3 ou E5, qui inclut Intune et Microsoft Entra ID P1 ou P2. Si vous n’avez pas d’abonnement E3 ou E5, essayez-le gratuitement.

    Pour plus d’informations sur ce que vous obtenez avec les différentes licences Microsoft 365, consultez Transformer votre entreprise avec Microsoft 365.

  • Microsoft Intune est configuré en tant qu’autorité GPM Intune. Pour plus d’informations, consultez Définir l’autorité de gestion des appareils mobiles.

    Capture d’écran montrant comment définir l’autorité MDM sur Microsoft Intune dans votre status client.

  • Sur un contrôleur de domaine Active Directory local :

    1. Copiez les modèles Office et Microsoft Edge suivants dans le Magasin central (dossier sysvol) :

    2. Créez une stratégie de groupe pour envoyer ces modèles à un ordinateur administrateur d’entreprise Windows 10/11 dans le même domaine que le contrôleur de domaine. Dans cette procédure pas à pas :

      • La stratégie de groupe que nous avons créée avec ces modèles est appelée OfficeandEdge. Vous verrez ce nom dans les images.
      • L’ordinateur administrateur Windows 10/11 Entreprise que nous utilisons est appelé ordinateur Administration.

      Dans certaines organisations, un administrateur de domaine a deux comptes :

      • Un compte professionnel de domaine classique
      • Un autre compte d’administrateur de domaine utilisé uniquement pour les tâches d’administrateur de domaine, telles que la stratégie de groupe

      L’objectif de cet ordinateur Administration est que les administrateurs se connectent avec leur compte d’administrateur de domaine et accèdent aux outils conçus pour gérer la stratégie de groupe.

  • Sur cet ordinateur Administration :

    • Connectez-vous avec un compte d’administrateur de domaine.

    • Ajoutez les outils de gestion rsat : stratégie de groupe :

      1. Ouvrez l’application >ParamètresSystème>Fonctionnalités facultatives>Ajouter une fonctionnalité.

        Si vous utilisez une version antérieure à Windows 10 22H2, accédez à Paramètres Applications>>& fonctionnalités>Fonctionnalités facultatives>Ajouter une fonctionnalité.

      2. Sélectionnez RSAT : stratégie de groupe Outils> de gestionAjouter.

        Attendez que Windows ajoute la fonctionnalité. Une fois l’opération terminée, elle s’affiche finalement dans l’application Outils d’administration Windows .

        Capture d’écran montrant les applications Outils d’administration Windows, y compris l’application stratégie de groupe Management.

    • Vérifiez que vous disposez d’un accès à Internet et de droits d’administrateur sur l’abonnement Microsoft 365, qui inclut le centre d’administration Intune.

Ouvrir le Centre d’administration Intune

  1. Ouvrez un navigateur web Chromium, tel que Microsoft Edge version 77 et ultérieure.

  2. Accédez au Centre d’administration Microsoft Intune. Connectez-vous avec le compte suivant :

    Utilisateur : entrez le compte d’administrateur de votre abonnement client Microsoft 365.
    Mot de passe : entrez son mot de passe.

Ce centre d’administration est axé sur la gestion des appareils et inclut des services Azure, tels que Microsoft Entra ID et Intune. Vous ne voyez peut-être pas le Microsoft Entra ID et la personnalisation Intune, mais vous les utilisez.

Vous pouvez également ouvrir le Centre d’administration Intune à partir de la Centre d’administration Microsoft 365 :

  1. Accédez à https://admin.microsoft.com.

  2. Connectez-vous avec le compte administrateur de votre abonnement client Microsoft 365.

  3. Sélectionnez Afficher tous les>centres d’administrationGestion des points> de terminaison. Le centre d’administration Intune s’ouvre.

    Capture d’écran montrant tous les centres d’administration dans le Centre d’administration Microsoft 365.

Créer des groupes et ajouter des utilisateurs

Les stratégies locales sont appliquées dans l’ordre LSDOU : local, site, domaine et unité d’organisation (UO). Dans cette hiérarchie, les stratégies d’unité d’organisation remplacent les stratégies locales, les stratégies de domaine remplacent les stratégies de site, etc.

Dans Intune, les stratégies sont appliquées aux utilisateurs et aux groupes que vous créez. Il n’existe pas de hiérarchie. Par exemple :

  • Si deux stratégies mettent à jour le même paramètre, ce dernier s’affiche en tant que conflit.
  • Si deux stratégies de conformité sont en conflit, la stratégie la plus restrictive s’applique.
  • Si deux profils de configuration sont en conflit, le paramètre n’est pas appliqué.

Pour plus d’informations, consultez Questions courantes, problèmes et résolutions avec les stratégies et les profils d’appareil.

Dans les étapes suivantes, vous allez créer des groupes de sécurité et ajouter des utilisateurs à ces groupes. Vous pouvez ajouter un utilisateur à plusieurs groupes. Par exemple, il est normal qu’un utilisateur dispose de plusieurs appareils, tels qu’un Surface Pro pour le travail et un appareil mobile Android pour les appareils personnels. Et il est normal qu’une personne accède aux ressources de l’organisation à partir de ces appareils multiples.

  1. Dans le Centre d’administration Intune, sélectionnez Groupes>Nouveau groupe.

  2. Saisissez les paramètres suivants :

    • Type de groupe : Sélectionnez Sécurité.
    • Nom du groupe : entrez Tous les appareils Windows 10 étudiants.
    • Type d’appartenance : sélectionnez Affecté.

  3. Sélectionnez Membres, puis ajoutez des appareils.

    L’ajout d’appareils est facultatif. L’objectif est de vous entraîner à créer des groupes et à savoir comment ajouter des appareils. Si vous utilisez cette procédure pas à pas dans un environnement de production, sachez ce que vous faites.

  4. Choisir>Créez pour enregistrer vos modifications.

    Vous ne voyez pas votre groupe ? Sélectionnez Actualiser.

  5. Sélectionnez Nouveau groupe, puis entrez les paramètres suivants :

    • Type de groupe : Sélectionnez Sécurité.

    • Nom du groupe : entrez Tous les appareils Windows.

    • Type d’appartenance : sélectionnez Appareil dynamique.

    • Membres de l’appareil dynamique : sélectionnez Ajouter une requête dynamique et configurez votre requête :

      • Propriété : sélectionnez deviceOSType.
      • Opérateur : sélectionnez Égal à.
      • Valeur : entrez Windows.

      1. Sélectionnez Ajouter une expression. Votre expression est affichée dans la syntaxe de règle :

        Capture d’écran montrant comment créer une requête dynamique et ajouter des expressions dans un modèle d’administration Microsoft Intune.

        Lorsque les utilisateurs ou les appareils répondent aux critères que vous entrez, ils sont automatiquement ajoutés aux groupes dynamiques. Dans cet exemple, les appareils sont automatiquement ajoutés à ce groupe lorsque le système d’exploitation est Windows. Si vous utilisez cette procédure pas à pas dans un environnement de production, soyez prudent. L’objectif est de vous entraîner à créer des groupes dynamiques.

      2. Sauvegarder>Créez pour enregistrer vos modifications.

  6. Créez le groupe Tous les enseignants avec les paramètres suivants :

    • Type de groupe : Sélectionnez Sécurité.

    • Nom du groupe : entrez Tous les enseignants.

    • Type d’appartenance : sélectionnez Utilisateur dynamique.

    • Membres utilisateur dynamiques : sélectionnez Ajouter une requête dynamique et configurez votre requête :

      • Propriété : sélectionnez le service.

      • Opérateur : sélectionnez Égal à.

      • Valeur : entrez Enseignants.

        1. Sélectionnez Ajouter une expression. Votre expression est affichée dans la syntaxe de règle.

          Lorsque les utilisateurs ou les appareils répondent aux critères que vous entrez, ils sont automatiquement ajoutés aux groupes dynamiques. Dans cet exemple, les utilisateurs sont automatiquement ajoutés à ce groupe lorsque leur service est Enseignants. Vous pouvez entrer le service et d’autres propriétés lorsque des utilisateurs sont ajoutés à votre organization. Si vous utilisez cette procédure pas à pas dans un environnement de production, soyez prudent. L’objectif est de vous entraîner à créer des groupes dynamiques.

        2. Sauvegarder>Créez pour enregistrer vos modifications.

Points de discussion

  • Les groupes dynamiques sont une fonctionnalité dans Microsoft Entra ID P1 ou P2. Si vous n’avez pas Microsoft Entra ID P1 ou P2, vous êtes autorisé à créer uniquement des groupes attribués. Pour plus d’informations sur les groupes dynamiques, accédez à :

  • Microsoft Entra ID P1 ou P2 inclut d’autres services couramment utilisés lors de la gestion des applications et des appareils, notamment l’authentification multifacteur (MFA) et l’accès conditionnel.

  • De nombreux administrateurs demandent quand utiliser des groupes d’utilisateurs et quand utiliser des groupes d’appareils. Pour obtenir des conseils, accédez à Groupes d’utilisateurs et groupes d’appareils.

  • N’oubliez pas qu’un utilisateur peut appartenir à plusieurs groupes. Considérez certains des autres groupes d’utilisateurs et d’appareils dynamiques que vous pouvez créer, par exemple :

    • Tous les étudiants
    • Tous les appareils Android
    • Tous les appareils iOS/iPadOS
    • Marketing
    • Ressources humaines
    • Tous les employés de Charlotte
    • Tous les employés de Redmond
    • Administrateurs informatiques de la côte Ouest
    • Administrateurs informatiques de la côte Est

Les utilisateurs et les groupes créés sont également visibles dans le Centre d’administration Microsoft 365, Microsoft Entra ID dans le Portail Azure et Microsoft Intune dans le Portail Azure. Vous pouvez créer et gérer des groupes dans toutes ces zones pour votre abonnement client. Si votre objectif est la gestion des appareils, utilisez le centre d’administration Microsoft Intune.

Vérifier l’appartenance au groupe

  1. Dans le centre d’administration Intune, sélectionnez Utilisateurs>Tous les utilisateurs> sélectionnent le nom d’un utilisateur existant.
  2. Passez en revue certaines des informations que vous pouvez ajouter ou modifier. Par exemple, examinez les propriétés que vous pouvez configurer, telles que le poste, le service, la ville, l’emplacement du bureau, etc. Vous pouvez utiliser ces propriétés dans vos requêtes dynamiques lors de la création de groupes dynamiques.
  3. Sélectionnez Groupes pour afficher l’appartenance de cet utilisateur. Vous pouvez également supprimer l’utilisateur d’un groupe.
  4. Sélectionnez quelques-unes des autres options pour afficher plus d’informations et ce que vous pouvez faire. Par exemple, examinez la licence affectée, les appareils de l’utilisateur, etc.

Qu’est-ce que je viens de faire ?

Dans le centre d’administration Intune, vous avez créé de nouveaux groupes de sécurité et ajouté des utilisateurs et des appareils existants à ces groupes. Nous utilisons ces groupes dans les étapes ultérieures de ce didacticiel.

Créer un modèle dans Intune

Dans cette section, nous créons un modèle d’administration dans Intune, examinons certains paramètres dans stratégie de groupe Management et comparons le même paramètre dans Intune. L’objectif est d’afficher un paramètre dans la stratégie de groupe et d’afficher le même paramètre dans Intune.

  1. Dans le centre d’administration Intune, sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>nouvelle stratégie.

  2. Entrez les propriétés suivantes :

    • Plateforme : sélectionnez Windows 10 et ultérieur.
    • Type de profile : sélectionnez Modèles>Modèles d’administration.

  3. Sélectionnez Créer.

  4. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, entrez Administration modèle Windows 10 appareils des étudiants.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

  5. Sélectionnez Suivant.

  6. Dans Paramètres de configuration, Tous les paramètres affichent une liste alphabétique de tous les paramètres. Vous pouvez également filtrer les paramètres qui s’appliquent aux appareils (configuration ordinateur) et les paramètres qui s’appliquent aux utilisateurs (configuration utilisateur) :

    Capture d’écran montrant comment appliquer des paramètres de modèle ADMX aux utilisateurs et aux appareils dans Microsoft Intune.

  7. Développez Configuration >de l’ordinateurMicrosoft Edge>, sélectionnez Paramètres SmartScreen. Notez le chemin d’accès à la stratégie et tous les paramètres disponibles :

    Capture d’écran montrant comment afficher les paramètres de stratégie Microsoft Edge SmartScreen dans les modèles ADMX dans Microsoft Intune.

  8. Dans la recherche, entrez télécharger. Notez que les paramètres de stratégie sont filtrés :

    Capture d’écran montrant comment filtrer les paramètres de stratégie Microsoft Edge SmartScreen dans un modèle ADMX Microsoft Intune.

Open stratégie de groupe Management

Dans cette section, nous affichons une stratégie dans Intune et sa stratégie de correspondance dans stratégie de groupe Management Rédacteur.

Comparer une stratégie d’appareil

  1. Sur l’ordinateur Administration, ouvrez l’application Gestion des stratégie de groupe.

    Cette application est installée avec RSAT : stratégie de groupe Management Tools, qui est une fonctionnalité facultative que vous ajoutez sur Windows. Conditions préalables (dans cet article) répertorie les étapes à suivre pour l’installer.

  2. Développez Domaines> , sélectionnez votre domaine. Par exemple, sélectionnez contoso.net.

  3. Cliquez avec le bouton droit sur Modifier lastratégie> OfficeandEdge. L’application stratégie de groupe Management Rédacteur s’ouvre.

    Capture d’écran montrant comment cliquer avec le bouton droit sur la stratégie de groupe ADMX Office et Microsoft Edge locale, puis sélectionner Modifier.

    OfficeandEdge est une stratégie de groupe qui inclut les modèles ADMX Office et Microsoft Edge. Cette stratégie est décrite dans conditions préalables (dans cet article).

  4. Développez Stratégies de configuration>> de l’ordinateurModèles>d’administration Panneau de configuration>Personnalisation. Notez les paramètres disponibles.

    Capture d’écran montrant comment développer Configuration de l’ordinateur dans le Rédacteur de gestion des stratégie de groupe locaux, puis accéder à Personnalisation.

    Double-cliquez sur Empêcher l’activation de l’appareil photo de l’écran de verrouillage et consultez les options disponibles :

    Capture d’écran montrant comment afficher les options des paramètres de configuration de l’ordinateur local dans la stratégie de groupe.

  5. Dans le centre d’administration Intune, accédez à votre modèle d’Administration - Windows 10 modèle d’appareils étudiants.

  6. SélectionnezConfiguration>de l’ordinateur Panneau de configuration> Personnalisation. Notez les paramètres disponibles :

    Capture d’écran montrant le chemin du paramètre de stratégie de personnalisation dans Microsoft Intune.

    Le type de paramètre est Appareil et le chemin d’accès est /Control Panel/Personalization. Ce chemin est similaire à ce que vous venez de voir dans stratégie de groupe Management Rédacteur. Si vous ouvrez le paramètre Empêcher l’activation de la caméra de l’écran de verrouillage, les options Non configuré, Activé et Désactivé s’affichent dans stratégie de groupe Management Rédacteur.

Comparer une stratégie utilisateur

  1. Dans votre modèle d’administration, sélectionnez Configuration >de l’ordinateurTous les paramètres, puis recherchez inprivate browsing. Notez le chemin d’accès.

    Faites de même pour la configuration utilisateur. Sélectionnez Tous les paramètres, puis recherchez inprivate browsing.

  2. Dans stratégie de groupe Management Rédacteur, recherchez les paramètres utilisateur et appareil correspondants :

    • Appareil : développez Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsInternet Explorer>Confidentialité>Désactiver la navigation InPrivate.
    • Utilisateur : développezStratégies> de configuration> utilisateurModèles> d’administrationComposants> WindowsInternet Explorer>Confidentialité>Désactiver la navigation InPrivate.

    Capture d’écran montrant comment désactiver la navigation InPrivate dans Internet Explorer à l’aide d’un modèle ADMX.

Conseil

Pour afficher les stratégies Windows intégrées, vous pouvez également utiliser GPEdit (Modifier l’application de stratégie de groupe ).

Comparer une stratégie Microsoft Edge

  1. Dans le centre d’administration Intune, accédez à votre modèle d’Administration - Windows 10 modèle d’appareils étudiants.

  2. Développez Configuration >de l’ordinateurDémarragede Microsoft Edge>, page d’accueil et nouvel onglet. Notez les paramètres disponibles.

    Faites de même pour la configuration utilisateur.

  3. Dans stratégie de groupe Management Rédacteur, recherchez les paramètres suivants :

    • Appareil : développezStratégies> de configuration >de l’ordinateurModèles >d’administrationDémarrage, page d’accueil et nouvel ongletMicrosoft Edge>.
    • Utilisateur : développezStratégies>de configuration> utilisateurModèles> d’administrationDémarrage, page d’accueil et nouvel ongletMicrosoft Edge>

Qu’est-ce que je viens de faire ?

Vous avez créé un modèle d’administration dans Intune. Dans ce modèle, nous avons examiné certains paramètres ADMX et examiné les mêmes paramètres ADMX dans stratégie de groupe Management.

Ajouter des paramètres au modèle d’administration Students

Dans ce modèle, nous configurons certains paramètres de Explorer Internet pour verrouiller les appareils partagés par plusieurs étudiants.

  1. Dans votre modèle Administration : Windows 10 appareils des étudiants, développez Configuration de l’ordinateur, sélectionnez Tous les paramètres, puis recherchez Désactiver la navigation InPrivate :

    Capture d’écran montrant comment désactiver la stratégie d’appareil de navigation InPrivate dans un modèle d’administration dans Microsoft Intune.

  2. Sélectionnez le paramètre Désactiver la navigation InPrivate . Dans cette fenêtre, notez la description et les valeurs que vous pouvez définir. Ces options sont similaires à celles que vous voyez dans la stratégie de groupe.

  3. Sélectionnez Activé>OK pour enregistrer vos modifications.

  4. Configurez également les paramètres de Explorer Internet suivants. Veillez à sélectionner OK pour enregistrer vos modifications.

    • Autoriser le glisser-déplacer ou le copier-coller des fichiers

      • Type : Appareil
      • Chemin : \Windows Components\Internet Explorer\Internet Panneau de configuration\Security Page\Internet Zone
      • Valeur : Désactivé

    • Empêcher l’ignorance des erreurs de certificat

      • Type : Appareil
      • Chemin d’accès : \Windows Components\Internet Explorer\Internet Panneau de configuration
      • Valeur : activé

    • Désactiver la modification des paramètres de la page d’accueil

      • Type : Utilisateur
      • Chemin d’accès : \Composants Windows\Internet Explorer
      • Valeur : activé
      • Page d’accueil : entrez une URL, telle que contoso.com.

  5. Effacez votre filtre de recherche. Notez que les paramètres que vous avez configurés sont répertoriés en haut :

    Capture d’écran montrant les paramètres ADMX configurés répertoriés en haut dans Microsoft Intune.

Affecter votre modèle

  1. Dans votre modèle, sélectionnez Suivant jusqu’à ce que vous accédiez à Affectations. Choisissez Sélectionner les groupes à inclure :

    Capture d’écran montrant comment sélectionner votre profil de modèle d’administration dans la liste Profils configuration de l’appareil dans Microsoft Intune.

  2. Une liste d’utilisateurs et de groupes existants s’affiche. Sélectionnez le groupe Tous les appareils Windows 10 étudiants que vous avez créé précédemment >Sélectionner.

    Si vous utilisez cette procédure pas à pas dans un environnement de production, envisagez d’ajouter des groupes vides. L’objectif est de vous entraîner à attribuer votre modèle.

  3. Sélectionnez Suivant. Dans Vérifier + créer, sélectionnez Créer pour enregistrer vos modifications.

Dès que le profil est enregistré, il s’applique aux appareils lorsqu’ils case activée avec Intune. Si les appareils sont connectés à Internet, cela peut se produire immédiatement. Pour plus d’informations sur les temps d’actualisation des stratégies, consultez Combien de temps faut-il aux appareils pour obtenir une stratégie, un profil ou une application.

Lorsque vous attribuez des stratégies et des profils stricts ou restrictifs, ne vous verrouillez pas. Envisagez de créer un groupe qui est exclu de vos stratégies et profils. L’idée est d’avoir accès à la résolution des problèmes. Surveillez ce groupe pour vérifier qu’il est utilisé comme prévu.

Qu’est-ce que je viens de faire ?

Dans le centre d’administration Intune, vous avez créé un profil de configuration d’appareil de modèle d’administration et attribué ce profil à un groupe que vous avez créé.

Créer un modèle OneDrive

Dans cette section, vous allez créer un modèle d’administrateur OneDrive dans Intune pour contrôler certains paramètres. Ces paramètres spécifiques sont choisis, car ils sont couramment utilisés par les organisations.

  1. Créez un autre profil (Gestion des appareils>>Configuration>Créer une>nouvelle stratégie).

  2. Entrez les propriétés suivantes :

    • Plateforme : sélectionnez Windows 10 et ultérieur.
    • Type de profil : sélectionnez Modèles>Modèles d’administration.

  3. Sélectionnez Créer.

  4. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : entrez Administration modèle - Stratégies OneDrive qui s’appliquent à tous les utilisateurs Windows 10.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

  5. Sélectionnez Suivant.

  6. Dans Paramètres de configuration, configurez les paramètres suivants. Veillez à sélectionner OK pour enregistrer vos modifications :

    • Configuration de l’ordinateur :

      • Connecter silencieusement les utilisateurs du client de synchronisation OneDrive avec leurs informations d’identification Windows
        • Type : Appareil
        • Valeur : activé
      • Activer les Fichiers à la demande OneDrive
        • Type : Appareil
        • Valeur : activé

    • Configuration utilisateur :

      • Empêcher les utilisateurs de synchroniser leurs comptes OneDrive personnels
        • Type : Utilisateur
        • Valeur : activé

Vos paramètres ressemblent aux suivants :

Capture d’écran montrant comment créer un modèle d’administration OneDrive dans Microsoft Intune.

Pour plus d’informations sur les paramètres du client OneDrive, consultez Utiliser stratégie de groupe pour contrôler Synchronisation OneDrive paramètres du client.

Affecter votre modèle

  1. Dans votre modèle, sélectionnez Suivant jusqu’à ce que vous accédiez à Affectations. Choisissez Sélectionner les groupes à inclure :

  2. Une liste d’utilisateurs et de groupes existants s’affiche. Sélectionnez le groupe Tous les appareils Windows que vous avez créé précédemment >Sélectionner.

    Si vous utilisez cette procédure pas à pas dans un environnement de production, envisagez d’ajouter des groupes vides. L’objectif est de vous entraîner à attribuer votre modèle.

  3. Sélectionnez Suivant. Dans Vérifier + créer, sélectionnez Créer pour enregistrer vos modifications.

À ce stade, vous avez créé des modèles d’administration et vous les avez affectés à des groupes que vous avez créés. L’étape suivante consiste à créer un modèle d’administration à l’aide de Windows PowerShell et du API Graph Microsoft pour Intune.

Facultatif : Créer une stratégie à l’aide de PowerShell et API Graph

Cette section utilise les ressources suivantes. Nous installons ces ressources dans cette section.

  1. Sur l’ordinateur Administration, ouvrez Windows PowerShell en tant qu’administrateur :

    1. Dans votre barre de recherche, entrez powershell.
    2. Cliquez avec le bouton droit sur Windows PowerShell>Exécuter en tant qu’administrateur.

    Capture d’écran montrant comment exécuter Windows PowerShell en tant qu’administrateur.

  2. Obtenez et définissez la stratégie d’exécution.

    1. Entrer: get-ExecutionPolicy

      Notez ce que la stratégie est définie sur, qui peut être Restreint. Une fois la procédure pas à pas terminée, rétablissez sa valeur d’origine.

    2. Entrer: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Entrez Y pour le modifier.

    La stratégie d’exécution de PowerShell permet d’empêcher l’exécution de scripts malveillants. Pour plus d’informations, consultez À propos des stratégies d’exécution.

  3. Entrer: Install-Module -Name Microsoft.Graph.Intune

    Entrez Y si :

    • Invité à installer le fournisseur NuGet
    • Demandé d’installer les modules à partir d’un référentiel non approuvé

    L’opération peut prendre plusieurs minutes. Lorsque vous avez terminé, une invite similaire à l’invite suivante s’affiche :

    Capture d’écran montrant l’invite Windows PowerShell après l’installation d’un module.

  4. Dans votre navigateur web, accédez à https://github.com/Microsoft/Intune-PowerShell-SDK/releases, puis sélectionnez le fichier Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Sélectionnez Enregistrer sous, puis sélectionnez un dossier dont vous vous souviendrez. c:\psscripts est un bon choix.

    2. Ouvrez votre dossier, puis cliquez avec le bouton droit sur le fichier > .zip Extraire tout>extraire. La structure de votre dossier ressemble au dossier suivant :

      Capture d’écran montrant la structure de dossiers Intune sdk PowerShell après l’extraction.

  5. Sous l’onglet Affichage, case activée Extensions de nom de fichier :

    Capture d’écran montrant comment sélectionner des extensions de nom de fichier sous l’onglet Affichage dans l’Explorateur de fichiers Windows.

  6. Dans votre dossier, accédez à c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Cliquez avec le bouton droit sur chaque .dll >Propriétés>débloquer.

    Capture d’écran montrant comment débloquer les DLL.

  7. Dans votre application Windows PowerShell, entrez :

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Entrez R si vous êtes invité à exécuter à partir de l’éditeur non approuvé.

  8. Intune modèles d’administration utilisent la version bêta de Graph :

    1. Entrer: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Entrer: Connect-MSGraph -AdminConsent

    3. Lorsque vous y êtes invité, connectez-vous avec le même compte d’administrateur Microsoft 365. Ces applets de commande créent la stratégie dans votre organization client.

      Utilisateur : entrez le compte d’administrateur de votre abonnement client Microsoft 365.
      Mot de passe : entrez son mot de passe.

    4. Sélectionnez Accepter.

  9. Créez le profil de configuration Configuration de test . Entrer:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Lorsque ces applets de commande réussissent, le profil est créé. Pour confirmer, accédez au centre > d’administration Intune Appareils>Gérer la configuration des appareils>. Votre profil De configuration de test doit être répertorié.

  10. Obtenez toutes les paramètres SettingDefinitions. Entrer:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Recherchez l’ID de définition à l’aide du nom complet du paramètre. Entrer:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Configurez un paramètre. Entrer:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Afficher votre stratégie

  1. Dans le centre > d’administration Intune Appareils>Gérer les appareils>Actualiser laconfiguration>.
  2. Sélectionnez votre profil de configuration> de test Paramètres.
  3. Dans la liste déroulante, sélectionnez Tous les produits.

Vous voyez que le paramètre Connexion silencieuse des utilisateurs au client Synchronisation OneDrive avec leurs informations d’identification Windows est configuré.

Meilleures pratiques en matière de stratégie

Lorsque vous créez des stratégies et des profils dans Intune, il existe des recommandations et des meilleures pratiques à prendre en compte. Pour plus d’informations, consultez bonnes pratiques en matière de stratégie et de profil.

Nettoyer les ressources

Lorsque vous n’en avez plus besoin, vous pouvez :

  • Supprimez les groupes que vous avez créés :

    • Tous les appareils Windows 10 étudiants
    • Tous les appareils Windows
    • Tous les enseignants

  • Supprimez les modèles d’administration que vous avez créés :

    • modèle Administration - Windows 10 appareils des étudiants
    • modèle Administration - Stratégies OneDrive qui s’appliquent à tous les utilisateurs Windows 10
    • Test Configuration

  • Rétablissez la valeur d’origine de la stratégie d’exécution Windows PowerShell. L’exemple suivant définit la stratégie d’exécution sur Restricted :

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Étapes suivantes

Dans ce tutoriel, vous vous êtes familiarisé avec le centre d’administration Microsoft Intune, vous avez utilisé le générateur de requêtes pour créer des groupes dynamiques et créé des modèles d’administration dans Intune pour configurer les paramètres ADMX. Vous avez également comparé l’utilisation de modèles ADMX locaux et dans le cloud avec Intune. En prime, vous avez utilisé des applets de commande PowerShell pour créer un modèle d’administration.

Pour plus d’informations sur les modèles d’administration dans Intune, accédez à :

Utiliser des modèles Windows 10/11 pour configurer les paramètres de stratégie de groupe dans Intune