Créer des restrictions de plateforme d’appareil

S’applique à : Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Créez une stratégie de restriction d’inscription de plateforme d’appareils pour empêcher les appareils de s’inscrire dans Intune. Les restrictions disponibles sont les suivantes :

• Plateforme d’appareils
• Version du système d'exploitation
• Fabricant
• Propriété (propriété personnelle)

Vous pouvez créer une stratégie de restriction de plateforme d’appareil dans le centre d’administration Microsoft Intune ou utiliser la stratégie par défaut déjà disponible. Vous pouvez avoir jusqu’à 25 stratégies de restriction de plateforme d’appareil.

Cet article décrit les restrictions de plateforme d’appareil prises en charge dans Microsoft Intune et comment les configurer dans le centre d’administration.

Stratégie par défaut

Microsoft Intune fournit une stratégie par défaut pour les restrictions de plateforme d’appareils que vous pouvez modifier et personnaliser en fonction des besoins. Intune applique la stratégie par défaut à toutes les inscriptions utilisateur et sans utilisateur jusqu’à ce que vous affectiez une stratégie de priorité plus élevée.

Bonne pratique - Restrictions de plateforme Android

Étant donné qu’Intune prend en charge deux plateformes Android, il est important de comprendre comment fonctionnent les restrictions de version du système d’exploitation lorsque vous les utilisez avec des restrictions de plateforme d’appareil :

• Si vous autorisez les deux plates-formes pour le même groupe, et que vous l'affinez ensuite pour des versions spécifiques et qui ne se chevauchent pas, les appareils sont envoyés par le flux d'inscription Android qui a été choisi pour leur version.
• Si vous autorisez les deux plateformes, mais que vous bloquez les mêmes versions, les appareils exécutant des versions bloquées ne peuvent pas s’inscrire. Les utilisateurs sur ces appareils sont envoyés via le flux d’inscription de l’administrateur d’appareil Android avant d’être bloqués et invités à se déconnecter.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Créer une restriction de plateforme d’appareil

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Accédez à Inscription des appareils>.

3. Sélectionnez Restriction de la plateforme de l’appareil.

4. Sélectionnez l’onglet en haut de la page qui correspond à la plateforme que vous configurez. Les options disponibles sont les suivantes :

   • Restrictions Android
   • Restrictions Windows
   • Restrictions macOS
   • Restrictions iOS

5. Sélectionnez Créer une restriction.

6. Dans la page de base, donnez un nom et une description facultative à la restriction.

7. Sélectionnez Suivant.

8. Dans la page Paramètres de la plateforme, configurez les restrictions pour votre plateforme sélectionnée. Les options disponibles sont les suivantes :

   • Plateforme (Android) : sélectionnez Autoriser pour autoriser l’inscription d’une plateforme et Bloquer pour la restreindre.
   • GPM (Windows, macOS et iOS/iPadOS) : sélectionnez Autoriser pour autoriser l’inscription d’une plateforme et Bloquer pour la restreindre.
   • Propriété personnelle: sélectionnez Autoriser pour permettre aux appareils de s’inscrire et fonctionner en tant qu’appareils personnels.
   • Fabricant de l’appareil (Android) : entrez une liste séparée par des virgules des fabricants que vous souhaitez bloquer.
   • Autoriser la plage minimale/maximale (Android, Windows, iOS/iPadOS) : entrez les versions minimale et maximale du système d’exploitation autorisées à s’inscrire. Les formats de version pris en charge sont notamment :

     • Windows prend en charge major.minor.build.rev pour Windows 10 et Windows 11. Intune ne reçoit pas le numéro de révision lors de l’inscription. Entrez donc 0 comme numéro de révision.

     • L’administrateur d’appareil Android et le profil professionnel Android Entreprise prennent en charge major.minor.rev.build.

     • iOS/iPad OS prend en charge major.minor.rev.

       Conseil

       La plage min/max ne s’applique pas aux appareils Apple qui s’inscrivent auprès du Programme d’inscription de l'appareil, d’Apple School Manager ou de l’application Apple Configurator. Bien qu’Intune ne bloque pas les inscriptions ADE qui utilisent Portail d'entreprise pour s’authentifier, le non-respect des exigences du système d’exploitation a un impact sur l’inscription, car les appareils ne peuvent pas créer l’enregistrement d’appareil Microsoft Entra utilisé pour évaluer les stratégies d’accès conditionnel. Vous pouvez indiquer que c’est le cas si un utilisateur de périphérique reçoit un message d’erreur indiquant « Impossible de mapper l’enregistrement de périphérique avec un utilisateur » après s’être connecté à Portail d'entreprise.

9. Sélectionnez Suivant.

10. Si vous le souhaitez, ajoutez des balises d’étendue à la restriction. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

    Remarque

    Si vous appliquez des balises d’étendue à une restriction, seuls Intune utilisateurs dans l’étendue peuvent afficher et gérer la stratégie. Seules les personnes dans l’étendue peuvent afficher et réorganiser une restriction, ou modifier son niveau de priorité. Ils peuvent également voir la priorité relative de la restriction, même s’ils ne peuvent pas voir toutes les restrictions.

11. Sélectionnez Suivant.

12. Dans la page Affectations, sélectionnez Ajouter des groupes, puis utilisez la zone de recherche pour rechercher et sélectionner des groupes. Pour affecter la restriction à tous les utilisateurs de l’appareil, sélectionnez Ajouter tous les utilisateurs. Si vous n’affectez pas de restriction à au moins un groupe, la restriction ne s’appliquera pas.

13. Si vous le souhaitez, après avoir attribué des groupes, sélectionnez Modifier le filtre pour restreindre davantage l’attribution de stratégie avec des filtres. Des filtres sont disponibles pour les stratégies macOS, iOS et Windows. Pour plus d’informations, consultez Appliquer des filtres d’affectation (dans cet article).

14. Sélectionnez Suivant.

15. Passez en revue votre stratégie, puis sélectionnez Créer pour la créer.

Vous pouvez afficher la nouvelle stratégie de restriction et accéder à ses propriétés dans le tableau Restrictions de la plateforme d’appareil d’inscription Restrictions> detype d’appareil. Sélectionnez et faites glisser la restriction pour la repositionner dans le tableau et modifier sa priorité.

Appliquer des filtres d’affectation

Vous pouvez utiliser des filtres d’attribution pour inclure et exclure des appareils supplémentaires de certaines stratégies ciblées par un groupe. Les restrictions d’inscription et les stratégies ESP prennent toutes les deux en charge l’utilisation de filtres de devoir.

Par exemple, vous pouvez utiliser un filtre pour autoriser les appareils personnels Windows à s’inscrire tout en bloquant les appareils qui exécutent une référence SKU de système d’exploitation spécifique. Pour obtenir ce résultat, appliquez un filtre préconfiguré à vos affectations de restriction d’inscription. Le filtre doit avoir la operatingSystemSKU propriété dans ses règles. Exemples d’étapes :

1. Créez une stratégie de restriction d'inscription à la plate-forme pour Windows.
2. Dans les paramètres de la plateforme, sélectionnez l’option qui permet aux appareils personnels de s’inscrire.
3. Dans les paramètres des affectations, sélectionnez les groupes que vous souhaitez attribuer.
4. Sélectionnez Modifier le filtre , puis appliquez votre filtre préconfiguré qui contient la operatingSystemSKU propriété. La propriété appliquée bloque les appareils exécutant Windows 10 Famille édition.

Pour plus d’informations sur la création de filtres, consultez Créer un filtre.

Propriétés de filtres prise en charge

Les restrictions d’inscription prennent en charge moins de propriétés de filtre que les autres stratégies ciblées par groupe. Cela est dû au fait que les appareils ne sont pas encore inscrits. Intune ne dispose donc pas des informations de l’appareil pour prendre en charge toutes les propriétés. Vous verrez la sélection limitée des propriétés lorsque vous :

• Configurez une stratégie de restriction de plateforme d’appareils pour des appareils Apple et Windows.
• Configurez une stratégie de page d’état d’inscription (ESP) pour Windows.
• Modifiez un filtre en cours d’utilisation dans une restriction d’inscription ou un profil ESP.

Les propriétés de filtre suivantes sont toujours disponibles pour une utilisation avec les stratégies d’inscription :

Fenêtres

• Version du système d'exploitation
• Référence (SKU) du système d'exploitation
• Propriété
• Nom du profil d’inscription

iOS/iPadOS et macOS

• Fabricant
• Modèle
• Version du système d'exploitation
• Propriété
• Nom du profil d’inscription

Pour plus d’informations sur ces propriétés, consultez Propriétés de l’appareil. Les filtres ne peuvent pas être utilisés avec les restrictions d’inscription Android.

Modifier les restrictions d’inscription

Les modifications sont appliquées aux nouvelles inscriptions et n’affectent pas les appareils déjà inscrits.

1. Revenez à Inscription des appareils>.
2. Sélectionnez Restrictions de plateforme de l’appareil.
3. Dans le tableau Restrictions de type d’appareil, sélectionnez le nom de la stratégie que vous souhaitez modifier.
4. Sélectionnez Propriétés.
5. Sélectionnez Modifier.
6. Apportez vos modifications et sélectionnez Vérifier + enregistrer.
7. Passez en revue vos modifications, puis sélectionnez Enregistrer.