Créer des restrictions de plateforme d’appareil

S’applique à : Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Créez une stratégie de restriction d’inscription de plateforme d’appareils pour empêcher les appareils de s’inscrire dans Intune. Les restrictions disponibles sont les suivantes :

• Plateforme d’appareils
• Version du système d'exploitation
• Fabricant
• Propriété (propriété personnelle)

Vous pouvez créer une stratégie de restriction de plateforme d’appareil dans le centre d’administration Microsoft Intune ou utiliser la stratégie par défaut déjà disponible. Vous pouvez avoir jusqu’à 25 stratégies de restriction de plateforme d’appareil.

Cet article décrit les restrictions de plateforme d’appareil prises en charge dans Microsoft Intune et comment les configurer dans le centre d’administration.

Contrôle d'accès basé sur les rôles

Pour créer des restrictions de plateforme d’appareil dans Microsoft Intune, vous devez être affecté en tant qu’administrateur Intune. Ce rôle est intégré à Microsoft Entra ID et peut :

• Créer des restrictions de plateforme d’appareil

• Modifier les restrictions de plateforme d’appareil

• Supprimer les restrictions de plateforme d’appareil

• Redéfinissez les restrictions de plateforme d’appareil

Tous les autres rôles de Intune intégrés disposent d’un accès en lecture seule aux restrictions de plateforme d’appareil. Vous pouvez appliquer des balises d’étendue à une restriction de plateforme d’appareil pour limiter davantage l’accès. Pour plus d’informations sur le contrôle d’accès en fonction du rôle (RBAC), consultez RBAC avec Microsoft Intune.

Stratégie par défaut

Microsoft Intune fournit une stratégie par défaut pour les restrictions de plateforme d’appareils que vous pouvez modifier et personnaliser en fonction des besoins. Intune applique la stratégie par défaut à toutes les inscriptions utilisateur et sans utilisateur jusqu’à ce que vous affectiez une stratégie de priorité supérieure.

Bonne pratique - Restrictions de plateforme Android

Étant donné que Intune prend en charge deux plateformes Android, il est important de comprendre comment fonctionnent les restrictions de version du système d’exploitation lorsque vous les utilisez avec des restrictions de plateforme d’appareil :

• Si vous autorisez les deux plateformes pour le même groupe, puis que vous l’affinez pour les versions spécifiques et sans chevauchement, Intune examine la version pour déterminer les appareils de flux d’inscription Android.
• Si vous autorisez les deux plateformes, mais que vous bloquez les mêmes versions, les appareils exécutant des versions bloquées ne peuvent pas s’inscrire. Les utilisateurs sur ces appareils sont envoyés via le flux d’inscription de l’administrateur d’appareil Android avant d’être bloqués et invités à se déconnecter.

Importante

La gestion des administrateurs d’appareils Android est déconseillée et n’est plus disponible pour les appareils ayant accès à Google Mobile Services (GMS). Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android. La documentation de support et d’aide reste disponible pour certains appareils sans GMS exécutant Android 15 et versions antérieures. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Créer une restriction de plateforme d’appareil

1. Connectez-vous au centre d’administration Microsoft Intune et accédez à Appareils.

2. Sous Intégration de l’appareil, sélectionnez Inscription.

3. Sous Options d’inscription, sélectionnez Restriction de la plateforme de l’appareil.

4. Sélectionnez l’onglet en haut de la page qui correspond à la plateforme que vous configurez. Les options disponibles sont les suivantes :

   • Restrictions Windows
   • Restrictions Android
   • Restrictions macOS
   • Restrictions iOS

5. Sélectionnez Créer une restriction.

6. Dans la page de base, donnez un nom et une description facultative à la restriction.

7. Sélectionnez Suivant.

8. Dans la page Paramètres de la plateforme, configurez les restrictions pour votre plateforme sélectionnée. Les options disponibles sont les suivantes :

   • Plateforme (Android) : sélectionnez Autoriser pour autoriser l’inscription d’une plateforme et Bloquer pour la restreindre.

   • GPM (Windows, macOS et iOS/iPadOS) : sélectionnez Autoriser pour autoriser l’inscription d’une plateforme et Bloquer pour la restreindre.

   • Propriété personnelle: sélectionnez Autoriser pour permettre aux appareils de s’inscrire et fonctionner en tant qu’appareils personnels.

   • Fabricant de l’appareil (Android) : entrez une liste séparée par des virgules des fabricants que vous souhaitez bloquer.

   • Autoriser la plage minimale/maximale (Android, Windows, iOS/iPadOS) : entrez les versions minimale et maximale du système d’exploitation autorisées à s’inscrire. Les formats de version pris en charge sont notamment :

     • Windows prend en charge major.minor.build.rev pour Windows 10 et Windows 11. Intune ne reçoit pas le numéro de révision lors de l’inscription, entrez donc 0 comme numéro de révision.

     • L’administrateur d’appareil Android et le profil professionnel Android Entreprise prennent en charge major.minor.rev.build.

     • iOS/iPad OS prend en charge major.minor.rev.

       Conseil

       La plage min/max ne s’applique pas aux appareils Apple qui s’inscrivent auprès du Programme d’inscription de l'appareil, d’Apple School Manager ou de l’application Apple Configurator. Bien que Intune ne bloque pas les inscriptions ADE qui utilisent Portail d'entreprise pour s’authentifier, le fait de ne pas répondre aux exigences du système d’exploitation a un impact sur l’inscription, car les appareils ne peuvent pas créer l’enregistrement d’appareil Microsoft Entra utilisé pour évaluer les stratégies d’accès conditionnel. Vous pouvez indiquer que c’est le cas si un utilisateur de périphérique reçoit un message d’erreur indiquant « Impossible de mapper l’enregistrement de périphérique avec un utilisateur » après s’être connecté à Portail d'entreprise.

9. Sélectionnez Suivant.

10. Si vous le souhaitez, ajoutez des balises d’étendue à la restriction. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

    Remarque

    Si vous appliquez des balises d’étendue à une restriction, seuls Intune utilisateurs dans l’étendue peuvent afficher et gérer la stratégie. Seules les personnes dans l’étendue peuvent afficher et réorganiser une restriction, ou modifier son niveau de priorité. Ils peuvent également voir la priorité relative de la restriction, même s’ils ne peuvent pas voir toutes les restrictions.

11. Sélectionnez Suivant.

12. Dans la page Affectations, sélectionnez Ajouter des groupes, puis utilisez la zone de recherche pour rechercher et sélectionner des groupes. Pour affecter la restriction à tous les utilisateurs de l’appareil, sélectionnez Ajouter tous les utilisateurs. Si vous n’affectez pas de restriction à au moins un groupe, la restriction ne s’appliquera pas.

13. Si vous le souhaitez, après avoir attribué des groupes, sélectionnez Modifier le filtre pour restreindre davantage l’attribution de stratégie avec des filtres. Des filtres sont disponibles pour les stratégies macOS, iOS et Windows. Pour plus d’informations, consultez Appliquer des filtres d’affectation dans cet article.

14. Sélectionnez Suivant.

15. Passez en revue votre stratégie, puis sélectionnez Créer pour la créer.

Vous pouvez afficher la nouvelle stratégie de restriction et accéder à ses propriétés dans le tableau Restrictions de la plateforme d’appareil d’inscription Restrictions> detype d’appareil. Sélectionnez et faites glisser la restriction pour la repositionner dans le tableau et modifier sa priorité.

Appliquer des filtres d’affectation

Vous pouvez utiliser des filtres d’attribution pour inclure et exclure des appareils supplémentaires de certaines stratégies ciblées par un groupe. Les restrictions d’inscription et les stratégies ESP prennent toutes les deux en charge l’utilisation de filtres de devoir.

Par exemple, vous pouvez utiliser un filtre pour autoriser les appareils personnels Windows à s’inscrire tout en bloquant les appareils qui exécutent une référence SKU de système d’exploitation spécifique. Pour obtenir ce résultat, appliquez un filtre préconfiguré à vos affectations de restriction d’inscription. Le filtre doit avoir la operatingSystemSKU propriété dans ses règles. Exemples d’étapes :

1. Créez une stratégie de restriction d'inscription à la plate-forme pour Windows.
2. Dans les paramètres de la plateforme, sélectionnez l’option qui permet aux appareils personnels de s’inscrire.
3. Dans les paramètres des affectations, sélectionnez les groupes que vous souhaitez attribuer.
4. Sélectionnez Modifier le filtre , puis appliquez votre filtre préconfiguré qui contient la operatingSystemSKU propriété. La propriété appliquée bloque les appareils exécutant Windows 10 Famille édition.

Pour plus d’informations sur la création de filtres, consultez Créer un filtre.

Remarque

Le traitement des filtres d’affectation pendant l’inscription prend plus de temps. La mise à jour entre Microsoft Entra et Intune qui traite les affectations d’utilisateurs, de groupes et de filtres se produit généralement dans les 15 minutes. Ce n’est pas instantané. Cette durée peut affecter les affectations d’inscription. Vous devez attendre et inscrire les appareils plusieurs minutes après l’ajout des utilisateurs inscrits à un groupe, et non immédiatement après.

Propriétés de filtres prise en charge

Les restrictions d’inscription prennent en charge moins de propriétés de filtre que les autres stratégies ciblées par groupe. Cela est dû au fait que les appareils ne sont pas encore inscrits, Intune n’a pas les informations de l’appareil pour prendre en charge toutes les propriétés. La sélection limitée de propriétés devient disponible lorsque vous :

• Configurez une stratégie de restriction de plateforme d’appareils pour des appareils Apple et Windows.
• Configurez une stratégie de page d’état d’inscription (ESP) pour Windows.
• Modifiez un filtre en cours d’utilisation dans une restriction d’inscription ou un profil ESP.

Les propriétés de filtre suivantes sont toujours disponibles pour une utilisation avec les stratégies d’inscription :

Fenêtres

• Fabricant : pour Windows 11, version 22H2 et ultérieure avec KB5035942 (builds du système d’exploitation 22621.3374 et 22631.3374).
• Modèle : pour Windows 11, version 22H2 et ultérieure avec KB5035942 (builds du système d’exploitation 22621.3374 et 22631.3374).
• Version du système d'exploitation
• Référence SKU du système d’exploitation
• Propriété
• Nom du profil d’inscription

iOS/iPadOS et macOS

• Fabricant
• Modèle
• Version du système d'exploitation
• Propriété
• Nom du profil d’inscription

Pour plus d’informations sur ces propriétés, consultez Propriétés de l’appareil. Les filtres ne peuvent pas être utilisés avec les restrictions d’inscription Android.

Modifier les restrictions d’inscription

Les modifications sont appliquées aux nouvelles inscriptions et n’affectent pas les appareils déjà inscrits.

1. Revenez à Inscription des appareils>.
2. Sélectionnez Restrictions de plateforme d’appareil , puis sélectionnez la plateforme de système d’exploitation à laquelle appartient la restriction.
3. Dans le tableau Restrictions de type d’appareil, sélectionnez le nom de la stratégie que vous souhaitez modifier.
4. Sélectionnez Propriétés.
5. Sélectionnez Modifier.
6. Apportez vos modifications et sélectionnez Vérifier + enregistrer.
7. Passez en revue vos modifications, puis sélectionnez Enregistrer.