Jonction de Microsoft Entra pilotée par l’utilisateur pour la préparation des appareils Windows Autopilot : créer un groupe d’appareils

• S’applique à:

  ✅ Windows 11

Étapes de jointure de Microsoft Entra pilotée par l’utilisateur pour la préparation des appareils Windows Autopilot :

• Étape 1 : Configurer l’inscription automatique Intune Windows
• Étape 2 : Autoriser les utilisateurs à joindre des appareils à Microsoft Entra ID

• Étape 3 : Créer un groupe d’appareils

• Étape 4 : Créer un groupe d’utilisateurs
• Étape 5 : Affecter des applications et des scripts PowerShell à un groupe d’appareils
• Étape 6 : Créer une stratégie de préparation des appareils Windows Autopilot
• Étape 7 : Ajouter l’identificateur d’entreprise Windows à l’appareil (facultatif)

Pour obtenir une vue d’ensemble du flux de travail de jointure de Microsoft Entra de préparation d’appareil Windows Autopilot pilotée par l’utilisateur, consultez Vue d’ensemble de la jointure d’Microsoft Entra appareils Windows Autopilot pilotée par l’utilisateur.

Remarque

Le groupe d’appareils créé à cette étape est spécifique à la préparation des appareils Windows Autopilot. Microsoft recommande de créer un groupe d’appareils spécifiquement pour une utilisation avec la préparation des appareils Windows Autopilot au lieu de réutiliser les groupes d’appareils existants utilisés dans d’autres scénarios Autopilot.

Créer un groupe d'appareils

Les groupes d’appareils sont un ensemble d’appareils organisés en un groupe Microsoft Entra. Les groupes d’appareils peuvent être dynamiques ou affectés :

• Groupes dynamiques : les appareils sont automatiquement ajoutés au groupe en fonction de règles.
• Groupes attribués : les appareils sont ajoutés manuellement au groupe et sont statiques.

La préparation des appareils Windows Autopilot utilise un groupe d’appareils dans le cadre de la stratégie de préparation des appareils Windows Autopilot. Le groupe d’appareils spécifié dans la stratégie de préparation des appareils Windows Autopilot est le groupe d’appareils dans lequel les appareils sont ajoutés automatiquement pendant le déploiement de la préparation de l’appareil Windows Autopilot. Le groupe d’appareils spécifié dans la stratégie de préparation de l’appareil Windows Autopilot doit être un groupe de sécurité affecté.

Pour créer un groupe d’appareils de sécurité affecté à utiliser avec la préparation de l’appareil Windows Autopilot, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Dans l’écran d’accueil, sélectionnez Groupes dans le volet gauche.

3. Dans le Groupes | Écran Tous les groupes, vérifiez que Tous les groupes est sélectionné, puis sélectionnez Nouveau groupe.

4. Dans l’écran Nouveau groupe qui s’ouvre :

   1. Pour Type de groupe, sélectionnez Sécurité.

   2. Pour Nom du groupe, entrez un nom pour le groupe d’appareils, par exemple Groupe d’appareils de préparation de l’appareil Windows Autopilot.

   3. Pour Description du groupe, entrez une description pour le groupe d’appareils.

   4. Pour Microsoft Entra rôles peuvent être attribués au groupe, sélectionnez Non.

   5. Pour Type d’appartenance, sélectionnez Affecté.

   6. Pour Propriétaires, sélectionnez le lien Aucun propriétaire sélectionné .

   7. Dans l’écran Ajouter des propriétaires qui s’ouvre :

      1. Faites défiler la liste des objets et sélectionnez le principal de service Intune Client d’approvisionnement avec AppId f1346770-5b25-470b-88bd-d5744ab7952c. Vous pouvez également utiliser la barre de recherche pour rechercher et sélectionner Intune client d’approvisionnement.

         Remarque

         • Dans certains locataires, le principal de service peut avoir le nom de Intune Autopilot ConfidentialClient au lieu de Intune client d’approvisionnement. Tant que l’AppID du principal de service est f1346770-5b25-470b-88bd-d5744ab7952c, il s’agit du principal de service approprié.

         • Si le client d’approvisionnement Intune ou Intune principal de service Autopilot ConfidentialClient avec AppId f1346770-5b25-470b-88bd-d5744ab7952c n’est pas disponible dans la liste des objets ou lors de la recherche, voir Ajout du principal de service client Intune provisionnement.

      2. Une fois que Intune client d’approvisionnement est sélectionné comme propriétaire, sélectionnez Sélectionner.

   8. Sélectionnez Créer pour terminer la création du groupe d’appareils affecté.

   Importante

   Les appareils sont automatiquement ajoutés à ce groupe d’appareils pendant le déploiement de la préparation de l’appareil Windows Autopilot. Il n’est pas nécessaire d’ajouter manuellement des appareils en tant que membres du groupe d’appareils créé à cette étape, mais cela n’a aucun impact sur le processus de préparation des appareils Windows Autopilot.

Ajout du principal de service client d’approvisionnement Intune

Si le Intune principal de service client d’approvisionnement avec AppId f1346770-5b25-470b-88bd-d5744ab7952c n’est pas disponible lors de la sélection du propriétaire du groupe d’appareils, procédez comme suit pour ajouter le principal de service :

1. Sur un appareil où Microsoft Intune ou Microsoft Entra ID est normalement administré, ouvrez une invite de commandes Windows PowerShell avec élévation de privilèges.

2. Dans la fenêtre d’invite de commandes Windows PowerShell :

   1. Installez le module Microsoft.Graph.Authentication en entrant la commande suivante :

      Install-Module Microsoft.Graph.Authentication
      

      Si vous y êtes invité :

      • Acceptez d’installer NuGet en entrant Y ou Oui, ou en sélectionnant le bouton Oui .
      • Acceptez l’installation à partir du dépôt non approuvé PSGallery en entrant Y ou Oui, ou en sélectionnant le bouton Oui .

      Pour plus d’informations, consultez Microsoft.Graph.Authentication et Set-PSRepository -InstallationPolicy.

   2. Installez le module Microsoft.Graph.Applications en entrant la commande suivante :

      Install-Module Microsoft.Graph.Applications
      

      Si vous y êtes invité, acceptez d’installer à partir du dépôt non approuvé PSGallery en entrant Y ou Oui, ou en sélectionnant le bouton Oui .

      Pour plus d’informations, consultez Microsoft.Graph.Applications et Set-PSRepository -InstallationPolicy.

   3. Une fois les modules Microsoft.Graph.Authentication et Microsoft.Graph.Applications installés, connectez-vous à Microsoft Entra ID en entrant la commande suivante :

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Pour plus d’informations, consultez Connect-MgGraph.

   4. S’il n’est pas déjà authentifié pour Microsoft Entra ID, la fenêtre Se connecter à votre compte s’affiche. Entrez les informations d’identification d’un administrateur Microsoft Entra ID qui dispose des autorisations nécessaires pour ajouter des principaux de service.

   5. Si la fenêtre Autorisations demandées s’affiche, cochez la case Consentement au nom de votre organization, puis sélectionnez le bouton Accepter.

   6. Une fois authentifié auprès de Microsoft Entra ID et les autorisations appropriées sont accordées, ajoutez le Intune principal du service client d’approvisionnement en entrant la commande suivante :

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Pour plus d’informations, consultez New-MgServicePrincipal -BodyParameter.

      Remarque

      • Le message d’erreur suivant s’affiche si le principal du service client d’approvisionnement Intune existe déjà dans le locataire :

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Le message d’erreur suivant s’affiche si l’une des conditions suivantes est remplie :

        • Le compte utilisé pour se connecter avec la Connect-MgGraph commande ne dispose pas des autorisations nécessaires pour ajouter un principal de service au locataire.
        • L’argument -Scopes "Application.ReadWrite.All" n’est pas ajouté à la Connect-MgGraph commande .
        • La fenêtre Autorisations demandées n’est pas acceptée.
        • La case Consentement au nom de votre organization n’est pas cochée dans la fenêtre Autorisations demandées.

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Étape suivante : Créer un groupe d’utilisateurs

Étape 4 : Créer un groupe d’utilisateurs

Contenu connexe

Pour plus d’informations sur la création de groupes dans Intune, consultez les articles suivants :

• Créez des groupes d’appareils.
• Ajouter des groupes pour organiser les utilisateurs et les appareils.
• Gérer les groupes Microsoft Entra et l’appartenance aux groupes.
• Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.