1. Livres & vidéos
  2. Microsoft Intune
  3. Prérequis à la gestion des périphériques
Extrait - Microsoft Intune Implémentation, exploitation et administration
Extraits du livre
Microsoft Intune Implémentation, exploitation et administration
1 avis
Revenir à la page d'achat du livre

Prérequis à la gestion des périphériques

Introduction

Ce chapitre aborde les principaux prérequis nécessaires à la mise en service de Microsoft Intune et à la gestion des périphériques. Nous aborderons la mise en place d’un tenant de sa création au provisionnement des ressources nécessaires. Nous verrons comment configurer un tenant Microsoft Intune en focalisant sur les règles générales liées à l’enregistrement et à la gestion des terminaux. Nous verrons comment enregistrer des périphériques Windows selon leurs configurations puis comment provisionner de nouvelles machines Windows via Windows Autopilot. Les modes de mise à disposition ayant évolué, nous aborderons le service Windows 365 pour le provisionnement de cloud PC. Nous verrons comment prendre en charge les environnements Linux. Nous focaliserons aussi une partie du chapitre sur l’enregistrement Apple en listant les prérequis, en abordant l’enregistrement automatisé via Apple Business Manager ou les enregistrements manuels ou via Apple Configuration par un technicien. Nous étendrons notre apprentissage avec l’enregistrement Google et Android en abordant les prérequis, l’enregistrement automatique via Android Zero Touch ou Samsung KNOX. Nous traiterons les différents modes de gestion proposés par Android Enterprise ou Android Open Source Project...

Mise en place d’un tenant

Cette section traite de la mise en place d’un tenant Microsoft incluant les différents éléments nécessaires à la mise en service. Il vous servira de base pour préparer votre environnement de laboratoire dans l’apprentissage.

1. Création d’un tenant Microsoft

Comme nous l’avons abordé dans le chapitre Aperçu et fondamentaux de Microsoft Intune, la création d’un tenant Microsoft revient au provisionnement d’un tenant Microsoft Entra ID. Dans le cadre des organisations, la création du tenant Microsoft est réalisée par les équipes de compte Microsoft lors de la signature d’un contrat entreprise ou par le partenaire Cloud Service Provider à qui vous faites l’acquisition des licences.

Pour la réalisation des tests inhérents à votre apprentissage, vous pouvez utiliser deux possibilités :

  • Utiliser un essai gratuit valable 30 jours :

Lors de la création, vous devez choisir un nom de domaine onmicrosoft.com. Celui-ci ne doit pas avoir été réservé par une autre organisation.

L’utilisation d’un essai requiert le renseignement d’une carte de crédit. Nous vous recommandons de désactiver le renouvellement automatique (afin de ne pas être prélevé à la fin de l’essai) dans le centre d’administration...

Configuration du tenant Intune

Une fois les configurations générales du tenant en place, nous pouvons procéder aux configurations de base relatives au service Microsoft Intune.

1. Assignation de permissions/rôles

La première étape consiste à planifier votre stratégie de délégation selon les responsabilités de l’organisation telles que définies dans une matrice RACI. Pour assigner les permissions, nous vous renvoyons au chapitre Aperçu et fondamentaux de Microsoft Intune, section Gestion des droits et des permissions.

2. Restrictions de limite d’enregistrement

Les restrictions de limite d’enregistrement permettent de définir et de limiter le nombre d’appareils qu’un utilisateur peut inscrire dans le service. L’une des principales raisons d’utiliser des restrictions de limite d’enregistrement est de prévenir l’utilisation abusive des ressources IT. En empêchant les utilisateurs d’inscrire un nombre excessif d’appareils, les entreprises peuvent mieux gérer les licences et les coûts associés à la gestion des appareils. Cela permet aussi de garantir une distribution équitable des ressources disponibles parmi tous les utilisateurs. En fonction des besoins spécifiques de l’entreprise, les administrateurs peuvent configurer différentes limites pour différents groupes d’utilisateurs, offrant ainsi une flexibilité et une personnalisation accrue. Les restrictions de limite d’enregistrement contribuent également à améliorer la sécurité. Chaque appareil supplémentaire inscrit augmente la surface d’attaque potentielle de l’organisation. En limitant le nombre d’appareils qu’un utilisateur peut enregistrer, il est possible de réduire le risque d’accès non autorisé et de propagation de logiciels malveillants.

On retrouve une stratégie dans tous les tenants qui définit la limite d’enregistrement à 15 périphériques par utilisateur.

 Pour procéder à la modification de la stratégie par défaut ou la création d’une nouvelle stratégie, ouvrez le portail d’administration Microsoft Intune et naviguez dans Devices...

Enregistrement des périphériques Windows

Maintenant que votre tenant est préparé pour permettre la gestion des périphériques, nous pouvons passer à la mise en place des mécanismes permettant d’enregistrer des périphériques Windows. Comme nous l’avons vu dans le chapitre Aperçu et fondamentaux de Microsoft Intune, la plateforme Windows offre différents modes d’enregistrements avec l’enregistrement par Windows Autopilot, l’enregistrement automatique dans Intune lors de la jointure manuelle à Microsoft Entra ID, l’enregistrement automatique dans Intune lors de l’hybridation d’une machine jointe à Active Directory (Entra Hybrid Join) ou l’enregistrement automatique dans Intune lors de la cogestion avec Microsoft Configuration. Enfin, on retrouve deux méthodes non recommandées : l’enregistrement automatique dans Intune lors de la jointure à Microsoft Entra ID via un package de provisionnement et l’enregistrement manuel par l’utilisateur dans Microsoft Intune uniquement. Nous allons aborder les principaux modes d’enregistrement.

Voici un lien qui communique des informations sur les processus de jointure des machines à Microsoft Entra ID : https://learn.microsoft.com/en-us/entra/identity/devices/device-registration-how-it-works?WT.mc_id=EM-MVP-4028970#hybrid-azure-ad-joined-in-managed-environments

Les sous-sections suivantes s’attachent à détailler les prérequis nécessaires à l’enregistrement des appareils Windows.

1. Configuration de votre nom de domaine

L’enregistrement des périphériques Windows requiert la configuration du nom de domaine public (DNS) avec un enregistrement dédié permettant de rediriger Windows vers la bonne solution de gestion (Microsoft Intune). Pour ce faire, vous devez créer deux enregistrements CNAME pour chaque nom de domaine associé aux identifiants de connexion (UPN) des utilisateurs.

Enregistrement

Pointe vers

TTL

EnterpriseEnrollment.<NomDeDomainePublic>

EnterpriseEnrollment-s.manage .microsoft.com

1 h

EnterpriseRegistration. .<NomDeDomainePublic>

EnterpriseRegistration.windows.net

1 h

À titre d’exemple, cela pourrait donner : EnterpriseEnrollment.microsofttouch.fr et EnterpriseRegistration.microsofttouch.fr...

Provisionnement de périphériques Windows avec Windows Autopilot

Nous avons vu comment enregistrer des machines existantes dans Microsoft Intune, cette section s’attache à détailler le provisionnement de périphériques Windows avec Windows Autopilot.

1. Concepts

Windows Autopilot se propose en deux versions différentes : le provisionnement et la préparation. Le mode préparation de périphérique ne constitue pas une évolution ou une version 2 du provisionnement puisque Microsoft propose une approche complètement différente requérant (à date d’écriture de cet ouvrage) que le périphérique soit enregistré par l’organisation et non par le fabricant ou le revendeur. De plus, cette nouvelle approche ne propose que le mode de déploiement piloté par l’utilisateur là où le mode provisionnement donne accès à d’autres modes : le déploiement automatique (self-deploying mode) ou le déploiement préconfiguré (pré-provisionned deployment). À date d’écriture de cet ouvrage, ce nouveau mode de préparation n’en est qu’à ses prémices et il est difficile de voir à quel point il va chambouler ou remplacer le mode provisionnement historique de Windows Autopilot. Nous aborderons les deux approches dans cette section. Pour un rappel des différences et des fondements, veuillez vous référer au chapitre Aperçu et fondamentaux de Microsoft Intune, section Fonctionnalités de Microsoft Intune.

2. Prérequis

Cette sous-section détaille les différents prérequis nécessaires à la mise en place de Windows Autopilot dans les modes provisionnement et préparation.

a. Prérequis généraux

Cette section décrit les prérequis généraux applicables pour la mise en œuvre de Windows Autopilot dans les différents modes.

Prérequis applicables à l’ensemble des modes

Voici les prérequis applicables à l’ensemble des modes proposés par Autopilot :

  • Les communications telles que définies dans le chapitre Aperçu et fondamentaux de Microsoft Intune doivent être autorisées pour...

Provisionnement de périphériques Windows avec Windows 365

Cette section traite du provisionnement de machines virtuelles avec le service Windows 365 afin de mettre à disposition des environnements dédiés et personnels aux utilisateurs. Vous pouvez par exemple mettre à disposition ces environnements à des prestataires externes, des VIP, etc.

Nous ne détaillerons pas l’ensemble des éléments relatifs à Windows 365 et nous vous redirigeons vers la documentation : https://learn.microsoft.com/windows-365/enterprise/?WT.mc_id=EM-MVP-4028970

1. Concepts

Windows 365 est un service de Microsoft permettant aux utilisateurs de bénéficier d’un PC dans le cloud (cloud PC). Grâce à cette solution Desktop-as-a-Service (DaaS), les entreprises peuvent offrir à leurs employés un environnement de travail virtuel sécurisé, accessible depuis n’importe quel appareil connecté à Internet. Cela permet de simplifier la gestion informatique en centralisant les mises à jour et la sécurité au sein du cloud. Windows 365 facilite également le télétravail et l’accès aux ressources de l’entreprise, tout en réduisant les coûts liés à l’achat et la maintenance de matériel physique.

Il existe de nombreux scénarios pouvant être utilisés par Windows 365 comme l’accès à un machine pour des prestataires de services depuis leur environnement, la réduction des coûts et de l’impact environnemental pour l’achat de machines physique pour les utilisateurs internes, la mise à disposition de machines à destination des employés de terrain.

Windows 365 se propose au travers de différentes licences dont Windows 365 Enterprise à destination des employés de bureau afin de fournir un environnement Windows accessible dans toutes les conditions de connexion. Windows 365 Frontline est à destination des employés de terrain avec un accès flexible et temporaire. La licence est étudiée pour réduire les coûts tout en permettant une utilisation partagée mais non concurrente. Elle propose deux scénarios :...

Enregistrement Linux

L’enregistrement des machines Linux est une procédure relativement simple puisque ces environnements open source ne proposent pas de service de déploiement rationalisé à travers toutes les distributions. Tous les périphériques sont enregistrés comme appareils d’entreprise. Il n’existe pas de scénario personnel (BYOD). L’enregistrement ne s’applique pas aux serveurs.

1. Prérequis

À date d’écriture de cet ouvrage, l’enregistrement est supporté sur les distributions et versions Linux suivantes :

  • Ubuntu Desktop en cours de support par Intune. À date, Windows Subsystem for Linux (WSL2) n’est pas officiellement supporté.

  • RedHat Enterprise Linux en cours de support par Intune.

Les périphériques doivent être configurés avec un environnement graphique GNOME.

Outre ces éléments, le périphérique requiert les applications suivantes :

  • Microsoft Edge en version 102 ou ultérieure pour permettre l’accès aux ressources de l’entreprise. L’utilisateur peut télécharger le paquet (RPM ou DEB selon la distribution) directement depuis le site de Microsoft Edge ou exécuter effectuer une installation en ligne de commande.

  • L’application Microsoft Intune correspondant à la version de Linux pour enregistrer et...

Enregistrement Apple

Cette section traite de l’enregistrement des périphériques Apple dans les différents modes de gestion proposés par Microsoft Intune.

1. Concepts

Pour obtenir un aperçu complet des modes de gestion des périphériques Apple, veuillez vous rapporter à la section Modes de gestion du chapitre Aperçu et fondamentaux de Microsoft Intune.

On retrouve tout de même plusieurs scénarios d’enregistrement :

  • l’enregistrement manuel d’un appareil personnel (BYOD) via User Enrollment (iOS/iPadOS) ou Device Enrollment ;

  • l’enregistrement manuel d’un appareil professionnel via Device Enrollment, Direct Enrollment (macOS), Apple Configurator (iOS/iPadOS) ;

  • l’enregistrement automatique via le programme Apple Automated Device Enrollment (ADE).

2. Prérequis

Cette sous-section décrit la mise en place de tous les prérequis nécessaires à la mise en œuvre de l’enregistrement de périphériques Apple macOS et iOS/iPadOS.

En premier lieu, vous devez vous assurer d’enregistrer une version d’iOS/iPadOS ou macOS en cours de support par Microsoft : https://learn.microsoft.com/en-us/mem/intune/fundamentals/supported-devices-browsers?WT.mc_id=EM-MVP-4028970#apple

a. Certificat Apple Push MDM

Pour permettre l’enregistrement des appareils avec Apple, il faut créer un certificat Apple Push MDM et l’associer au tenant Microsoft Intune. Ceci permet d’authentifier les appareils lorsqu’ils communiquent avec Intune et le service de gestion des appareils d’Apple.

 Pour ce faire, commencez par créer un compte de service dans Microsoft Entra ID dédié à cet usage avec une boîte aux lettres qui devra être supervisée. Ouvrez le site de gestion des certificats (identity.apple.com) et sélectionnez Pas de compte Apple ? Créez le vôtre dès à présent. Suivez la procédure jusqu’à la création effective du compte.

 Ouvrez ensuite le portail d’administration Microsoft Intune et naviguez dans Devices - Device onboarding - Enrollment. Vous retrouvez le statut en naviguant ensuite dans l’onglet Apple puis Apple MDM Push Certificate dans la sectionPrerequisites.

 Dans le volet qui s’ouvre...

Enregistrement Google/Android

Cette section traite de l’enregistrement des appareils Google et Android. On retrouve différents types de gestion selon les plateformes proposées par Google. 

1. Concepts

Pour obtenir un aperçu complet des modes de gestion des périphériques Android, veuillez vous rapporter à la section Modes de gestion du chapitre Aperçu et fondamentaux de Microsoft Intune. On retrouve tout de même plusieurs scénarios d’enregistrement :

  • l’enregistrement manuel d’un appareil personnel (BYOD) via Android Enterprise Personally Owned with Work Profile;

  • l’enregistrement manuel d’un appareil professionnel via les modes Android Enterprise Fully Managed, COPE ou Dedicated ainsi qu’Android Open Source Project (AOSP) ;

  • l’enregistrement automatique via l’un des programmes de déploiement suivant : Android Enterprise Zero Touch, Samsung KNOX Mobile Enrollment (KME), etc.

S’agissant des périphériques Google ChromeOS, Microsoft n’apporte pas de gestion directe. La gestion se fait via une connexion au service Google Enterprise qui permet des fonctions très basiques, dont l’effacement, le redémarrage, le déprovisionnement, l’inventaire des informations du système, et l’activation du mode perdu.

2. Prérequis

Cette sous-section décrit la mise en place de tous les prérequis nécessaires à la mise en œuvre de l’enregistrement de périphériques Android ou Chrome Enterprise. 

En premier lieu, vous devez vous assurer d’enregistrer une version d’Android en cours de support par Microsoft : https://learn.microsoft.com/mem/intune/fundamentals/supported-devices-browsers?WT.mc_id=EM-MVP-4028970#android

a. Compte Managed Google Play

Pour permettre l’enregistrement des appareils avec Android Enterprise, il faut créer et associer un compte Managed Google Play au tenant Microsoft Intune. Ce compte fait le lien entre Intune et le service de Google (Google Mobile Services) utilisé pour gérer les appareils Android Enterprise.

 Pour ce faire, commencez par créer un compte de service dans Microsoft Entra ID dédié à cet usage. Assignez-lui temporairement les droits Global Administrator et une licence Intune....

Suivi de l’enregistrement

En tant qu’administrateur de la solution, il est primordial d’assurer un suivi de l’enregistrement des appareils. Ceci peut se faire à différents objectifs comme le suivi global des indicateurs, la supervision des enregistrements en échec, le dépannage d’un enregistrement en échec, etc.

 Pour accéder aux différents rapports permettant de suivre l’enregistrement, ouvrez le portail d’administration Intune et naviguez dans Devices - Device Onboarding - Enrollment. Ouvrez ensuite l’onglet Monitor pour retrouver plusieurs rapports :

  • Enrollment Failures permet d’afficher la liste des enregistrements en échec pour tous les utilisateurs ou un utilisateur spécifique. Vous pouvez ensuite ouvrir chacun des enregistrements afin d’obtenir des détails sur les erreurs.

  • Incomplete user enrollments affiche la liste des enregistrements arrêtés en milieu de procédure. Vous obtenez le nombre d’enregistrements total, le nombre et le pourcentage d’enregistrements incomplets sur les 14 derniers jours. Une chronologie affiche la proportion d’enregistrements incomplets par section (liste de contrôle, écrans de plateforme, conditions d’utilisation, conformité/activation).

  • Windows Autopilot deployments est un rapport focalisé sur le mode hérité de...

Conclusion

Ce chapitre vous a permis d’aborder tous les prérequis pouvant être nécessaires à la mise en œuvre de la gestion des périphériques pour toutes les plateformes supportées par Microsoft Intune et pour tous les modes de gestion proposés. Vous avez d’abord pu voir la mise en œuvre d’un tenant Microsoft et la configuration du tenant Microsoft Intune incluant les permissions, les configurations de base et tous les mécanismes nécessaires à l’enregistrement et à la gestion des appareils (restrictions, notifications, catégories, règles de nettoyage, etc.).

Nous avons ensuite abordé l’enregistrement de périphérique Windows existant avec les prérequis à mettre en œuvre pour la jointure Entra ID, Active Directory, Microsoft Defender for Endpoint ou Workgroup. Par la suite, vous avez pu voir tous les prérequis pour le provisionnement des appareils Windows avec Windows Autopilot dans les deux modes proposés : provisionnement (hérité) et préparation de l’appareil. Nous avons vu la gestion des enregistrements, l’expérience utilisateur pour les deux modes ainsi que la gestion des scénarios de réinitialisation et de restauration d’une machine. Outre Autopilot, nous avons abordé le provisionnement de machines...