Découvrir la gestion des stratégies en fonction des groupes

  • 4 minutes

Vous pouvez gérer les affectations d’appareils, d’applications et de stratégies en fonction de groupes d’utilisateurs ou d’appareils.

Vous pouvez ajouter les types de groupes suivants :

  • Groupes affectés : ajoutez manuellement des utilisateurs ou des appareils à un groupe statique.
  • Groupes dynamiques (nécessite Microsoft Entra ID P1 ou P2) : Ajoute automatiquement des utilisateurs ou appareils à des groupes d’utilisateurs ou d’appareils en fonction d’une expression que vous créez.

Appareils

Pour faciliter la gestion des appareils, vous pouvez utiliser des catégories d’appareils Microsoft Intune pour ajouter automatiquement des appareils à des groupes en fonction des catégories que vous définissez.

Les catégories d'appareils suivent le processus suivant :

  1. Créez des catégories parmi lesquelles les utilisateurs peuvent choisir quand ils inscrivent leurs appareils.
  2. Quand les utilisateurs d’appareils iOS/iPadOS et Android inscrivent un appareil, ils doivent choisir une catégorie dans la liste des catégories que vous avez configurées. Pour attribuer une catégorie à un appareil Windows, les utilisateurs doivent utiliser le site web Portail d’entreprise.
  3. Vous pouvez ensuite déployer des stratégies et des applications sur ces groupes.

Vous pouvez créer toute catégorie d’appareils souhaitée. Par exemple :

  • Appareil de point de vente
  • Appareil de démonstration
  • Ventes
  • Comptabilité
  • Manager

Une fois que votre appareil est inscrit, il devient géré. Votre organisation peut affecter des stratégies et des applications à l’appareil via un fournisseur MDM, comme Intune.

Applications

Une fois que vous avez ajouté une application à Microsoft Intune, vous pouvez l’attribuer à des utilisateurs et des appareils. Il est important de noter que vous pouvez attribuer une application à un appareil, qu'Intune le gère ou non.

Dans Intune, vous pouvez déterminer qui a accès à une application en affectant des groupes d’utilisateurs à inclure et à exclure. Avant d’affecter des groupes à l’application, vous devez définir le type d’affectation d’une application. Le type d’affectation rend l’application disponible, obligatoire ou la désinstalle.

Pour définir la disponibilité d’une application, vous incluez et excluez les attributions d’applications sur un groupe d’utilisateurs ou d’appareils. Vous pouvez effectuer cette opération à l’aide d’une combinaison d’affectations d’inclusion et d’exclusion de groupe. Cette fonctionnalité peut être utile lorsque vous rendez l’application disponible en incluant un grand groupe. Ensuite, limitez les utilisateurs sélectionnés en excluant également un groupe plus petit. Le groupe plus petit peut être un groupe de test ou un groupe exécutif.

Il est recommandé de créer et d’affecter des applications spécifiquement pour vos groupes d’utilisateurs, et séparément pour vos groupes d’appareils.

Par exemple, quand vous ajoutez un utilisateur avec l’intitulé de poste Responsable, cet utilisateur est automatiquement ajouté à un groupe d’utilisateurs Tous les responsables. Lorsqu’un appareil a comme type de système d’exploitation d’appareil iOS/iPadOS, il est automatiquement ajouté à un groupe Tous les appareils iOS/iPadOS.

Une fois que vous avez affecté une application à un groupe dans Intune, vous pouvez affecter des stratégies pour l’application aux utilisateurs ou aux appareils.

Stratégies

Vous pouvez affecter des stratégies à des groupes en utilisant Intune. Quand vous affectez des stratégies, vous pouvez choisir qui sera inclus et qui sera exclu.

Groupes d’utilisateurs et groupes d’appareils

De nombreux utilisateurs demandent quand utiliser des groupes d’utilisateurs et des groupes d’appareils. La réponse dépend de votre objectif. Voici quelques conseils pour vous aider à bien démarrer :

Groupes d’appareils

Si vous voulez appliquer des paramètres sur un appareil quelle que soit la personne qui est connectée, affectez vos profils à un groupe d’appareils. Les paramètres appliqués aux groupes d’appareils sont toujours associés à l’appareil, et non à l’utilisateur. Les groupes d’appareils sont couramment utilisés pour les appareils partagés et spécialisés.

Par exemple :

  • Les groupes d’appareils sont utiles pour gérer les appareils qui n’ont pas d’utilisateur dédié. Par exemple, vous disposez d'appareils qui impriment des tickets, scannent les stocks, partagent des informations entre les travailleurs postés, attribuent des tickets à des entrepôts spécifiques, etc. Placez ces appareils dans un groupe d’appareils et affectez vos profils à ce groupe d’appareils.
  • Vous créez un profil d’interface de configuration du microprogramme d’appareil (DFCI) Intune qui met à jour les paramètres dans le BIOS. Par exemple, vous configurez ce profil de façon à désactiver l’appareil photo ou à verrouiller les options de démarrage afin d’empêcher les utilisateurs de démarrer un autre système d’exploitation. Ce profil est un bon scénario à affecter à un groupe d’appareils.
  • Sur certains appareils Windows spécifiques, vous devez toujours contrôler certains paramètres de Microsoft Edge, quel que soit l’utilisateur qui utilise l’appareil. Par exemple, vous souhaitez bloquer tous les téléchargements, limiter tous les cookies à la session de navigation active et supprimer l’historique de navigation. Pour ce scénario, placez ces appareils Windows spécifiques dans un groupe d’appareils. Ensuite, créez un modèle d’administration dans Intune, ajoutez ces paramètres d’appareil, et affectez ce profil au groupe d’appareils.

Pour résumer, utilisez des groupes d’appareils lorsque vous ne vous souciez pas de la personne qui est connectée à l’appareil ou de si quelqu’un est connecté. Vous souhaitez que vos paramètres se trouvent toujours sur l’appareil.

Groupes d’utilisateurs

Les paramètres de profil appliqués aux groupes d’utilisateurs sont toujours associés à l’utilisateur et s’appliquent lorsqu’il se connecte à ses nombreux appareils. Il est normal que les utilisateurs disposent de nombreux appareils, par exemple un Surface Pro pour le travail et un appareil iOS/iPadOS personnel. Il est également normal qu’une personne accède aux e-mails et aux autres ressources de l’organisation à partir de ces appareils. Les groupes d’utilisateurs sont généralement utilisés pour les personnes travaillant sur les informations et les connaissances.

Par exemple :

  • Vous souhaitez placer une icône de support technique pour tous les utilisateurs sur tous leurs appareils. Dans ce scénario, placez ces utilisateurs dans un groupe d’utilisateurs et affectez votre profil d’icône de support technique à ce groupe d’utilisateurs.

  • Un utilisateur reçoit un nouvel appareil appartenant à l’organisation. L’utilisateur se connecte à l’appareil avec son compte de domaine. L’appareil est automatiquement inscrit dans Microsoft Entra ID et géré automatiquement par Intune. Ce profil est un bon scénario à affecter à un groupe d’utilisateurs.

  • Chaque fois qu’un utilisateur se connecte à un appareil, vous souhaitez contrôler les fonctionnalités dans des applications, comme OneDrive ou Office. Dans ce scénario, affectez vos paramètres de profil OneDrive ou Office à un groupe d’utilisateurs.

    Par exemple, vous souhaitez bloquer les contrôles ActiveX non fiables dans vos applications Office. Vous pouvez créer un modèle d’administration dans Intune, configurer ce paramètre, puis affecter ce profil à un groupe d’utilisateurs.

Pour résumer, utilisez des groupes d’utilisateurs lorsque vous souhaitez que vos paramètres et règles soient toujours utilisés par l’utilisateur, quel que soit l’appareil qu’il utilise.