Partager via

Inscrire automatiquement un appareil Windows à l’aide d’une stratégie de groupe

Vous pouvez utiliser une stratégie de groupe pour déclencher l’inscription automatique auprès de la gestion des appareils mobiles (GPM) pour les appareils joints à un domaine Active Directory (AD).

La stratégie de groupe créée sur votre ad local déclenche l’inscription dans Intune sans aucune interaction de l’utilisateur. Ce mécanisme de cause à effet signifie que vous pouvez inscrire automatiquement en masse un grand nombre d’appareils d’entreprise joints à un domaine dans Microsoft Intune. Le processus d’inscription démarre en arrière-plan une fois que vous vous connectez à l’appareil avec votre compte Microsoft Entra.

Configuration requise :

Astuce

Pour plus d’informations, consultez les rubriques suivantes :

L’inscription automatique s’appuie sur la présence d’un service MDM et l’inscription Microsoft Entra pour le PC. Une fois que l’entreprise a inscrit son AD avec l’ID Microsoft Entra, un PC Windows joint à un domaine est automatiquement inscrit à Microsoft Entra.

Remarque

Dans Windows 10, version 1709, le protocole d’inscription a été mis à jour pour vérifier si l’appareil est joint à un domaine. Pour plus d’informations, consultez [MS-MDE2] : Mobile Device Enrollment Protocol Version 2. Pour obtenir des exemples, consultez la section 4.3.1 RequestSecurityToken de la documentation sur le protocole MS-MDE2.

Lorsque la stratégie de groupe d’inscription automatique est activée, une tâche est créée en arrière-plan pour lancer l’inscription GPM. La tâche utilise la configuration du service MDM existante à partir des informations Microsoft Entra de l’utilisateur. Si l’authentification multifacteur est requise, l’utilisateur est invité à effectuer l’authentification. Une fois l’inscription configurée, l’utilisateur peut vérifier l’état dans la page Paramètres.

  • À compter de Windows 10, version 1709, lorsque la même stratégie est configurée dans stratégie de groupe et GPM, la stratégie de groupe est prioritaire sur mdm.
  • À compter de Windows 10, version 1803, un nouveau paramètre vous permet de définir la priorité sur GPM. Pour plus d’informations, consultez Stratégie de groupe Windows et Stratégie MDM Intune qui gagne ?.

Pour que cette stratégie fonctionne, vous devez vérifier que le fournisseur de services GPM autorise l’inscription MDM lancée par la stratégie de groupe pour les appareils joints à un domaine.

Configurer l’inscription automatique pour un groupe d’appareils

Pour configurer l’inscription automatique à l’aide d’une stratégie de groupe, procédez comme suit :

  1. Créez un objet de stratégie de groupe (GPO) et activez la stratégie de groupe Configuration> ordinateurModèles> d’administrationComposants> WindowsGPM>Activer l’inscription GPM automatique à l’aide des informations d’identification Microsoft Entra par défaut.
  2. Créez un groupe de sécurité pour les PC.
  3. Lier l’objet de stratégie de groupe.
  4. Filtrez à l’aide de groupes de sécurité.

Si vous ne voyez pas la stratégie, obtenez la dernière version d’ADMX pour votre version de Windows. Pour résoudre le problème, utilisez les procédures suivantes. La dernière version de MDM.admx est à compatibilité descendante.

  1. Téléchargez les modèles d’administration pour la version souhaitée :

  2. Installez le package sur le contrôleur de domaine.

  3. Accédez à C:\Program Files (x86)\Microsoft Group Policy, puis recherchez le sous-répertoire approprié en fonction de la version installée.

  4. Copiez le dossier PolicyDefinitions dans \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Si ce dossier n’existe pas, copiez les fichiers dans le magasin de stratégies central de votre domaine.

  5. Attendez que la réplication DFSR SYSVOL soit terminée pour que la stratégie soit disponible.

Configurer la stratégie de groupe d’inscription automatique pour un seul PC

Cette procédure est uniquement à des fins d’illustration pour montrer le fonctionnement de la nouvelle stratégie d’inscription automatique. Il n’est pas recommandé pour l’environnement de production dans l’entreprise.

  1. Exécutez GPEdit.msc. Choisissez Démarrer, puis, dans la zone de texte, tapez gpedit.

  2. Sous Meilleure correspondance, sélectionnez Modifier la stratégie de groupe pour la lancer.

  3. Dans Stratégie de l’ordinateur local, sélectionnez Modèles> d’administrationComposants> WindowsGPM.

  4. Double-cliquez sur Activer l’inscription GPM automatique à l’aide des informations d’identification Microsoft Entra par défaut. Sélectionnez Activer, informations d’identification de l’utilisateur dans la liste déroulante Sélectionner le type d’informations d’identification à utiliser, puis sélectionnez OK.

    Stratégie d’inscription automatique GPM.

    Remarque

    Dans Windows 10, version 1903 et ultérieures, le fichier MDM.admx a été mis à jour pour inclure l’option Informations d’identification de l’appareil pour sélectionner les informations d’identification utilisées pour inscrire l’appareil. Le comportement par défaut pour les versions antérieures consiste à revenir aux informations d’identification de l’utilisateur.

    Les informations d’identification de l’appareil sont uniquement prises en charge pour l’inscription à Microsoft Intune dans les scénarios avec la cogestion ou les pools d’hôtes multisession Azure Virtual Desktop , car l’abonnement Intune est centré sur l’utilisateur. Les informations d’identification de l’utilisateur sont prises en charge pour les pools d’hôtes personnels Azure Virtual Desktop.

Lorsqu’une actualisation de stratégie de groupe se produit sur le client, une tâche est créée et planifiée pour s’exécuter toutes les cinq minutes pendant un jour. La tâche est appelée Planification créée par le client d’inscription pour l’inscription automatique dans mdm à partir de l’ID Microsoft Entra. Pour afficher la tâche planifiée, lancez l’application Planificateur de tâches.

Si l’authentification à deux facteurs est requise, vous êtes invité à terminer le processus. Voici un exemple de capture d’écran.

Capture d’écran de la notification d’authentification à deux facteurs.

Astuce

Vous pouvez éviter ce comportement en utilisant des stratégies d’accès conditionnel dans l’ID Microsoft Entra. Pour en savoir plus, consultez Qu’est-ce que l’accès conditionnel ?.

Vérifier l’inscription

Pour vérifier la réussite de l’inscription à GPM, accédez à Démarrer>paramètres>Comptes>Accès professionnel ou scolaire, puis sélectionnez votre compte de domaine. Sélectionnez Informations pour afficher les informations d’inscription mdm.

Capture d’écran des paramètres de l’école professionnelle.

Remarque

Si vous ne voyez pas le bouton Informations ou les informations d’inscription, l’inscription a peut-être échoué. Vérifiez l’état dans l’application Planificateur de tâches et consultez Diagnostiquer l’inscription GPM.

Application Planificateur de tâches

Sélectionnez Démarrer, puis, dans la zone de texte, tapez task scheduler. Sous Meilleure correspondance, sélectionnez Planificateur de tâches pour le lancer.

Dans Bibliothèque du planificateur de tâches, ouvrez Microsoft > Windows , puis sélectionnez EnterpriseMgmt.

Tâche planifiée d’inscription automatique.

Pour afficher le résultat de la tâche, déplacez la barre de défilement pour afficher le résultat de la dernière exécution. Vous pouvez voir les journaux sous l’onglet Historique .

Le message 0x80180026 est un message d’échec (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), qui peut être provoqué par l’activation de la stratégie Désactiver l’inscription MDM .

Remarque

La console GPEdit ne reflète pas l’état des stratégies définies par votre organisation sur votre appareil. Il est utilisé uniquement par l’utilisateur pour définir des stratégies.