Gérer les appareils Windows avec Intune

[ad_1]

Avec Intune, vous pouvez gérer les appareils et les applications de vos employés ainsi que leur accès aux données de votre entreprise. Pour utiliser ce système de gestion des appareils mobiles (MDM), les appareils doivent d’abord être enregistrés pour le service Intune.

Cependant, il existe plusieurs façons d’enregistrer les appareils de vos employés. Chaque méthode dépend du type de propriété de l’appareil (privé ou professionnel), du type d’appareil (iOS, Windows, Android) et des exigences de gestion (réinitialisations, affinité, verrouillage).

Par défaut, les appareils de toutes les plates-formes peuvent être enregistrés auprès d’Intune. Cependant, vous pouvez restreindre les appareils par plate-forme.

Gestion du cycle de vie des appareils

La gestion des appareils mobiles, comme la plupart des activités de gestion informatique, suit un cycle de vie. Le cycle de vie de la gestion des appareils mobiles comprend quatre phases:

  • Dans la phase d’enregistrement, les appareils sont enregistrés avec la solution de gestion des appareils mobiles. Intune vous permet d’enregistrer à la fois des appareils mobiles tels que des smartphones et des PC Windows.
  • Dans la phase «Configurer», assurez-vous que les appareils enregistrés sont sécurisés et respectent toutes les politiques de configuration et de sécurité. Vous pouvez également automatiser les tâches administratives courantes, telles que la configuration du WLAN.
  • Dans la phase de protection, la solution de gestion des appareils mobiles vous permet de surveiller en continu les paramètres définis dans la phase de configuration. Dans cette phase, vous utilisez également la solution de gestion mobile pour maintenir la conformité des appareils en surveillant et en déployant les mises à jour logicielles.
  • Lorsqu’un appareil n’est plus nécessaire, perdu ou volé, vous devez protéger les données sur l’appareil. Vous pouvez supprimer des données en réinitialisant l’appareil et en effectuant une réinitialisation complète ou sélective qui supprime uniquement les données d’entreprise de l’appareil.

Enregistrement MDM automatique

L’enregistrement automatique permet aux utilisateurs d’enregistrer leurs appareils Windows 10 avec Intune sans assistance informatique. Les administrateurs peuvent utiliser le portail Azure Active Directory (AAD) pour activer l’inscription automatique pour tous les utilisateurs ou groupes spécifiques.

Pour enregistrer vos appareils, les utilisateurs ajoutent votre compte professionnel à leurs appareils privés ou incorporent leur compte d’entreprise dans Azure Active Directory. En arrière-plan, l’appareil est enregistré et intégré à Azure Active Directory et peut être géré via le portail AAD via Intune.

Enregistrement d’appareils Windows 10

Il existe de nombreuses façons d’enregistrer des appareils Windows 10 avec Microsoft Intune pour la gestion des appareils. Certains sont contrôlés par l’utilisateur et d’autres par des administrateurs informatiques. Certains sont conçus pour prendre en charge les programmes BYOD et d’autres améliorent les scénarios de déploiement modernes et la gestion des appareils d’entreprise. Chaque méthode d’enregistrement peut avoir des exigences et des comportements de déploiement différents.

Les méthodes qui peuvent être utilisées pour s’inscrire dans Intune sont les suivantes:

Méthode La description
Méthode 1: «Ajouter un compte professionnel ou scolaire». Cette méthode d’enregistrement intègre l’appareil dans Azure AD. Si vous avez des licences Azure AD Premium et que votre client Azure AD est configuré pour l’inscription automatique avec Intune, votre appareil sera également enregistré dans Intune. Cette méthode est préférable lorsque le pilote automatique n’est pas utilisé dans l’environnement.
Méthode 2: «S’inscrire uniquement dans MDM (contrôlé par l’utilisateur)». Cette méthode d’enregistrement enregistre l’appareil uniquement dans Intune et n’inclut pas l’appareil dans Azure AD. Vous utilisez ce type d’inscription uniquement dans les environnements sans licences Azure AD Premium qui sont nécessaires pour activer l’inscription automatique des appareils dans Intune.
Méthode 3: «Intégration Azure AD (OOBE)». Cette méthode d’enregistrement est essentiellement la même que la méthode 1, à une exception près: le périphérique est enregistré lors d’une expérience hors boîte (OOBE). Si vous avez des licences Azure AD Premium et que votre client Azure AD est configuré pour l’inscription automatique avec Intune, votre appareil sera également enregistré dans Intune.
Méthode 4: «Intégration Azure AD (pilote automatique – mode de déploiement contrôlé par l’utilisateur)». Cette méthode d’enregistrement est essentiellement la même que la méthode 2, à quelques exceptions près. L’appareil est enregistré lors d’une expérience personnalisée prête à l’emploi (OOBE). La plupart des écrans OOBE peuvent être ignorés pour une expérience de configuration utilisateur plus fluide.

Cette méthode est la méthode préférée pour enregistrer des appareils dans Intune, mais cela nécessite des licences Azure AD Premium, et votre client Azure AD doit être configuré pour s’inscrire automatiquement avec Intune.

Méthode 5: «Intégration Azure AD (pilote automatique en mode auto-déployant)». Cette méthode d’enregistrement est essentiellement la même que la méthode 4, à une exception près. Il permet de sauter tous les écrans OOBE après la première mise sous tension de l’appareil. L’intégration Azure AD et l’enregistrement Intune sont entièrement automatisés, sans interaction avec l’utilisateur.

Ce type d’enregistrement est principalement destiné aux appareils sans utilisateur tels que les kiosques, mais peut également être utilisé par des utilisateurs normaux. Vous pouvez pré-affecter un utilisateur à un appareil afin que l’utilisateur n’ait qu’à saisir un mot de passe. Il s’agit de la configuration la plus efficace par rapport aux autres méthodes.

Méthode 6: «S’inscrire uniquement dans MDM (Device Registration Manager)». Cette méthode d’enregistrement est très similaire à la méthode 3, sauf qu’elle est exécutée par des administrateurs informatiques à l’aide d’un type de compte spécial, un compte Device Enrollment Manager (DEM).

Le DEM enregistre l’appareil, se connecte à Enterprise Portal et installe les applications dont l’utilisateur a besoin.

Méthode 7: «Cogestion de System Center Configuration Manager». La gestion partagée vous permet de gérer simultanément les appareils Windows 10 à l’aide de Configuration Manager et de Microsoft Intune. Il s’agit d’une solution qui vous fait passer de la gestion traditionnelle à la gestion moderne et vous permet de faire la transition avec une approche progressive.

La gestion partagée est la méthode préférée pour enregistrer les périphériques existants qui sont déjà gérés par System Center Configuration Manager (SCCM). Une fois activé, l’appareil peut être géré par SCCM et Intune afin que les meilleures fonctionnalités des deux puissent être utilisées.

Méthode 8: «Intégration Azure AD (enregistrement de masse)». L’enregistrement de masse est un moyen efficace de configurer un grand nombre d’appareils à gérer par Intune sans avoir à reconstruire les appareils. Vous activez l’inscription en bloc en créant un package de déploiement à l’aide de l’application Windows Configuration Designer à partir du magasin.

Profils d’appareils et d’utilisateurs

Microsoft Intune comprend des paramètres et des fonctionnalités que vous pouvez activer ou désactiver sur différents appareils au sein de votre organisation. Ces paramètres et fonctionnalités sont gérés à l’aide de profils. Exemples de profils:

  • Un profil sans fil qui permet à différents appareils d’accéder à votre réseau sans fil d’entreprise.
  • Un profil VPN qui permet à plusieurs appareils d’accéder au serveur VPN sur votre réseau d’entreprise.

Les profils suivants sont disponibles dans Intune:

Profil La description
Fonctions de l’appareil (iOS et macOS) Fonctions de contrôle pour les appareils iOS et macOS, telles que AirPrint, les notifications et les configurations d’appareils approuvées.
restrictions d’appareil Les restrictions d’appareil contrôlent la sécurité, le matériel, le partage de données et d’autres paramètres sur les appareils. Par exemple, créez un profil de restriction d’appareil qui empêche les utilisateurs d’appareils iOS d’utiliser l’appareil photo de l’appareil.
protection des terminaux Configurez les paramètres de protection des terminaux pour Windows 10 BitLocker et les paramètres de Windows Defender pour les appareils Windows 10.
protection d’identité La protection de l’identité contrôle la convivialité de Windows Hello Entreprise sur les appareils exécutant Windows 10 et Windows 10 Mobile. Configurez ces paramètres pour mettre Windows Hello Entreprise à la disposition des utilisateurs et des appareils et définissez les exigences relatives aux codes PIN et aux gestes des appareils.
kiosque Le profil de configuration «Kiosque» configure un appareil afin qu’une ou plusieurs applications puissent être exécutées. Vous pouvez également personnaliser d’autres fonctionnalités de votre appareil Kiosk, notamment le menu Démarrer et le navigateur Web.
email Dans le profil de préférence de messagerie, les paramètres de messagerie pour Exchange ActiveSync sont créés, attribués et surveillés sur les appareils. Vous pouvez utiliser des profils de messagerie pour garantir la cohérence, réduire les appels d’assistance et permettre aux utilisateurs finaux d’accéder au compte de messagerie d’entreprise sur vos appareils personnels sans avoir à les configurer.
VPN Les paramètres VPN attribuent des profils VPN aux utilisateurs et aux appareils de votre organisation afin qu’ils puissent se connecter facilement et en toute sécurité au réseau. Les VPN (réseaux privés virtuels) permettent aux utilisateurs d’accéder à distance et en toute sécurité à votre réseau d’entreprise. Les appareils utilisent un profil de connexion VPN pour se connecter à votre serveur VPN.
WLAN Les paramètres WLAN attribuent des paramètres de réseau sans fil aux utilisateurs et aux appareils. L’attribution d’un profil sans fil permet aux utilisateurs d’accéder à votre réseau sans fil d’entreprise sans avoir à le configurer eux-mêmes.
eSIM mobil (actuellement état d’aperçu public) Les profils mobiles eSIM permettent de configurer des connexions mobiles pour Internet et l’accès aux données sur vos appareils gérés. Après avoir reçu les codes d’activation de votre opérateur mobile, vous pouvez importer ces codes d’activation à l’aide d’Intune, puis les affecter à vos appareils compatibles eSIM.
éducation – Paramètres de formation – Windows 10: «Configurer les options de l’application Windows Take a Test. Si vous configurez ces options, l’appareil ne pourra pas exécuter d’autres applications tant que le test n’est pas terminé.

– Paramètres d’éducation – iOS: utilise l’application iOS Classroom pour guider l’apprentissage et contrôler les appareils des élèves dans la salle de classe. Vous pouvez configurer des appareils iPad pour permettre à plusieurs étudiants de partager un seul appareil.

Mise à niveau des éditions Les mises à niveau des éditions pour Windows 10 mettent automatiquement à jour certaines versions de Windows 10 vers une édition plus récente.
Mettre à jour les directives Les politiques de mise à jour iOS vous montrent comment créer et affecter des politiques iOS pour installer des mises à jour logicielles sur vos appareils iOS. Vous pouvez également vérifier l’état de l’installation.
certificats Les certificats configurent le protocole SCE (Simple Certificate Enrollment) de confiance et les certificats PKCS (Public Key Cryptography Standards) qui peuvent être attribués aux appareils et utilisés pour authentifier les profils WLAN, VPN et de messagerie.
Profil de protection des informations Windows La protection des informations Windows vous protège des fuites de données sans compromettre l’expérience des employés. Il protège également les applications et les données d’entreprise sur les appareils d’entreprise et privés que les employés utilisent au travail contre les fuites accidentelles de données. Aucune modification de votre environnement ou d’autres applications n’est requise.
Profil défini par l’utilisateur Les paramètres personnalisés incluent la possibilité d’attribuer des paramètres de périphérique qui ne sont pas intégrés à Intune. Sur les appareils Android, par exemple, vous pouvez entrer des valeurs OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Pour les appareils iOS, vous pouvez importer un fichier de configuration que vous avez créé dans le configurateur Apple. Les profils personnalisés sont expliqués en détail dans une rubrique ci-dessous.

Des profils d’utilisateurs

Le système d’exploitation Windows 10 nécessite que chaque utilisateur dispose d’un profil utilisateur. Les profils utilisateur sont créés lorsqu’un utilisateur se connecte pour la première fois et stockés dans le dossier Utilisateurs. Les profils utilisateur sont créés en fonction du contenu du profil par défaut du dossier Utilisateurs. Il existe trois types de profils utilisateur différents:

  • Local: ce type n’est disponible que sur un seul ordinateur.
  • Itinérance: ce type peut se déplacer entre des ordinateurs membres du domaine.
  • Obligatoire: il s’agit d’un type spécial de profil utilisateur préconfiguré qui ne stocke pas les modifications utilisateur entre les connexions.
  • Profils utilisateur temporaires: un profil temporaire est généré chaque fois qu’une condition d’erreur empêche le chargement du profil utilisateur.

Conclusion

Comme nous pouvons le voir dans cet article, Intune est un outil Microsoft puissant et puissant. Cet article est destiné à servir d’introduction à ce monde. En tout cas, je vous recommande de continuer à travailler sur ce sujet.

Photo de Josh Withers sur Unsplash



[ad_2]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *