Planifier vos groupes d’utilisateurs et d’appareilsPlan your user and device groups

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Les groupes créés dans Intune vous permettent de gérer vos utilisateurs et appareils avec une grande souplesse.Groups in Intune give you great flexibility when you're managing your devices and users. Vous pouvez configurer des groupes en fonction des besoins de votre organisation en fonction :You can set up groups to suit your organizational needs according to:

  • de l’emplacement géographiquegeographic location
  • du servicedepartment
  • des caractéristiques matérielleshardware characteristics
  • du système d'exploitationoperating system
  • du propriétaire de l’appareil (l’utilisateur ou la société)whether the device is user-owned or company-owned

Fonctionnement des groupes IntuneHow Intune groups work

Voici la vue par défaut du nœud Groupes dans la console d’administration Intune :This is the default view of the Groups node in the Intune admin console:

Capture d’écran de la vue par défaut du nœud Groupes dans la console Intune

Les stratégies étant déployées sur des groupes, la hiérarchie des groupes est l’un des principaux points en matière de conception.Policies are deployed to groups, so group hierarchy is one of your key design considerations. Il est important de savoir que vous ne pouvez pas modifier le groupe parent d’un groupe une fois que vous avez créé le groupe.It's important to know that you cannot change a group’s parent group after you've created the group. La façon dont vous créez vos groupes est extrêmement importante dès le moment où vous commencez à utiliser le service Intune.How you design your groups is critically important from the moment you start using the Intune service. Vous trouverez ci-dessous des pratiques recommandées pour la conception d’une hiérarchie de groupes basée sur les besoins de votre organisation.Some recommended practices for designing a group hierarchy based on your organizational needs are described here.

Règles d’appartenance au groupeGroup membership rules

  • Un groupe peut contenir des utilisateurs ou des appareils, mais pas les deux.A group can contain either users or devices, but not both.

    • Groupes d’appareils.Device groups. Ces groupes comprennent des ordinateurs et des appareils mobiles.This includes computers and mobile devices. Pour pouvoir ajouter un ordinateur à un groupe, vous devez d'abord l'inscrire.Before you can add a computer to a group, it must be enrolled. Pour pouvoir ajouter un appareil mobile à un groupe, vous devez configurer votre environnement pour qu’il prenne en charge les appareils mobiles et l’appareil doit être inscrit ou découvert dans Exchange ActiveSync.Before you can add a mobile device to a group, your environment must be configured to support mobile devices, and the device must be enrolled or discovered in Exchange ActiveSync.

    • Groupes d’utilisateurs.User groups. Un groupe peut avoir des utilisateurs de groupes de sécurité.A group can have users from security groups. Les groupes de sécurité sont synchronisés avec votre instance d’Active Directory.Security groups sync with your instance of Active Directory. Si vous ne synchronisez pas avec Active Directory, vous pouvez créer ces groupes manuellement.If you do not sync with Active Directory, you can manually create these groups.

  • Un appareil ou un utilisateur peut appartenir à plusieurs groupes.A device or a user can belong to more than one group.

  • Un groupe peut inclure et exclure des membres selon les règles d'appartenance suivantes :A group can include and exclude members based on the following membership rules:

    • Critères d’appartenance.Criteria Membership. Il s’agit de règles dynamiques qu’Intune exécute pour inclure ou exclure des membres.These are dynamic rules that Intune runs to include or exclude members. Ces critères utilisent des groupes de sécurité et d’autres informations synchronisées avec votre instance locale d’Active Directory.These criteria use security groups and other information synced with your local instance of Active Directory. Quand le groupe de sécurité ou les données sont modifiés, l’appartenance au groupe change quand vous effectuez une synchronisation avec Active Directory.When the security group or data changes, the group membership changes when you sync with Active Directory.

    • Appartenance directe.Direct Membership. Il s'agit de règles statiques qui permettent d'ajouter ou d'exclure explicitement des membres.These are static rules that explicitly add or exclude members. La liste des membres est statique.The membership list is static.

  • Les services de domaine Active Directory (AD DS) ne sont pas nécessaires quand vous créez des groupes d’utilisateurs ou des groupes d’appareils comprenant des utilisateurs ou des ordinateurs.Active Directory Domain Services (AD DS) is not required when you create user groups or device groups that include users or computers. En revanche, pour que les groupes d’appareils puissent comprendre des appareils mobiles, votre environnement doit être configuré pour prendre en charge les appareils mobiles.But, for device groups to include mobile devices, your environment must be configured to support mobile devices.

    En outre, les appareils doivent être découverts et ajoutés à Intune.Additionally, the devices must be discovered and added to Intune.

Règles de relation de groupeGroup relationship rules

  • Chaque groupe que vous créez doit avoir un groupe parent.Each group you create must have a parent group. Vous ne pouvez pas modifier le groupe parent d’un groupe une fois que vous avez créé le groupe.You cannot change a group’s parent group after you've created the group.

  • Lorsque vous ajoutez des utilisateurs ou des appareils à un groupe enfant :When you add users or devices to a child group:

    • Le groupe enfant est toujours un sous-ensemble du groupe parent.The child group is always a subset of the parent group.

    • Les nouveaux membres que vous ajoutez à un groupe enfant sont automatiquement ajoutés au groupe parent de ce groupe.New members you add to a child group are automatically added to that group’s parent group.

    • Vous ne pouvez pas ajouter un membre à un groupe enfant lorsque ce membre est exclu du groupe parent.You cannot add a member to a child group when that member is excluded from the parent group.

  • L'appartenance à un groupe parent définit l'appartenance possible du groupe enfant.The membership of a parent group defines the available membership for the child group.

  • Lorsque vous supprimez un groupe parent, tous les groupes enfants sont supprimés.When you delete a parent group, all child groups are deleted.

  • Vous pouvez déployer du contenu et des stratégies sur un groupe parent tout en excluant leur déploiement sur des groupes enfants.You can deploy content and policies to a parent group but exclude the deployment to child groups.

  • Vous pouvez ajouter un appareil ou un utilisateur spécifique à un groupe enfant si l’appareil ou l’utilisateur n’est pas membre du groupe parent.You can add a specific user or device to a child group if the user or device is not already a member of the parent group. Dans ce cas, le nouveau membre du groupe enfant est ajouté au groupe parent.If you do this, the new member of the child group will be added to the parent group.

    Toutefois, vous ne pouvez pas ajouter un membre à un groupe enfant si le membre est exclu du groupe parent.However, you cannot add a member to a child group if the member is excluded from the parent group.

  • L'appartenance au groupe est récursive.Group membership is recursive. Exemple :For example:

    • Patrice est membre d'un seul groupe, le groupe de sécurité Utilisateurs d'ordinateurs portables .Pat is a member of only one group, the Laptop Users security group.

    • Le groupe Utilisateurs d'ordinateurs portables est membre du groupe de sécurité Utilisateurs approuvés .The Laptop Users group is a member of the Approved Users security group.

    • Vous créez un groupe dans Intune qui utilise une requête d'appartenance dynamique qui permet d'inclure les membres du groupe Utilisateurs approuvés.You create a group in Intune that uses a dynamic membership query that includes the members of the Approved Users group. Le résultat est que votre groupe d'utilisateurs Intune inclut Patrice.The result is that your Intune user group includes Pat.

Conseil

Quand vous créez des groupes, réfléchissez à la manière dont vous allez appliquer la stratégie.When you create groups, think about how you will apply policy. Par exemple, vous pouvez définir des stratégies propres aux systèmes d’exploitation de vos appareils, ou des stratégies propres aux différents rôles ou unités d’organisation que vous avez déjà définis dans votre service Active Directory.For example, you might have policies that are specific to device operating systems, or policies that are specific to different roles or organizational units you've already defined in your Active Directory service. Certains administrateurs trouvent utiles de créer des groupes d’appareils propres à iOS, Android et Windows,Some admins find it useful to create device groups that are specific to iOS, Android, and Windows. outre la création de groupes d’utilisateurs pour chaque rôle dans l’organisation.This is in addition to creating user groups for each organizational role.

Groupes intégrésBuilt-in groups

Intune fournit neuf groupes prédéfinis que vous ne pouvez ni modifier ni supprimer : Intune has nine built-in groups that you cannot edit or delete:

  • Tous les utilisateursAll Users
    • Utilisateurs non groupésUngrouped Users
  • Tous les appareilsAll Devices
    • Tous les ordinateursAll Computers
    • Tous les appareils mobilesAll Mobile Devices
      • Tous les appareils gérés par gestion directeAll Direct Managed Devices
      • Tous les appareils gérés par Exchange ActiveSyncAll Exchange ActiveSync Managed Devices
    • Tous les appareils d'entrepriseAll Corporate-owned Devices
    • Appareils non groupésUngrouped Devices

Note

Votre devise : garder les choses simples.Let your motto be: keep it simple. Si votre organisation n’a pas de besoins spécifiques, tels que ceux décrits dans les sections suivantes, faites au plus simple et adoptez la structure de groupes et les stratégies par défaut.If your organization does not have specific needs like those described in the following sections, keep it simple and go with the default group structure and policies. Le service sera ainsi plus facile à gérer à long terme.This will make the service more manageable in the long term. La maintenance sera plus simple si vous pouvez traiter vos utilisateurs de manière uniforme.Maintenance will be easier if you can treat your users uniformly. Avec peu de différenciation par groupe, vous aurez moins de stratégies à tenir à jour.With little differentiation by group, you'll have fewer policies to maintain.

Tous les utilisateurs et appareils de votre organisationAll users and devices in your organization

Définissez un groupe parent pour tous les utilisateurs et appareils de votre organisation.Define a parent group for all users and devices in your organization. Vous aurez sans doute des stratégies qui s’appliqueront à tous.You are likely to have policies that will apply to all. Vous pouvez utiliser pour cela les groupes par défaut Intune Tous les utilisateurs et Tous les appareils.You can use the Intune default All Users and All devices groups for this purpose. Les sous-groupes qui organisent les appareils par caractéristiques, comme par exemple un groupe pour les appareils BYOD et un autre pour les appareils d’entreprise, peuvent être les enfants des groupes parents Tous les utilisateurs et Tous les appareils.Sub-groups that organize devices by specifics, like a group for bring your own device (BYOD) and one for corporate-owned (CO) devices, can be child groups of the All Users and All devices parent groups.

Personnaliser les groupes de votre organisationCustomize groups for your organization

Appareils appartenant à l’entreprise et BYODBYOD and corporate-owned devices

Si votre organisation permet aux employés d’utiliser leurs propres appareils, fournit des appareils d’entreprise ou combine les deux, nous vous recommandons d’appliquer des stratégies distinctes pour ces catégories d’appareils.If your organization allows employees to use their own devices, provides company-owned devices, or has a combination of both, we recommend that you apply separate policies for these categories of devices.

Dans le cas du BYOD ou d’une combinaison, veillez à planifier les stratégies de manière à ce qu’elles ne transgressent pas des règles de confidentialité locales.In the case of BYOD or a mix, be careful to plan policies that do not infringe on local privacy regulations. Créez un groupe parent pour tous les utilisateurs qui utiliseront leurs propres appareils.Create a parent group for all users who will be bringing their own devices. Vous pouvez utiliser ce groupe pour appliquer des stratégies applicables à tous les utilisateurs de cette catégorie.You can use this group to apply policies that are applicable to all users in this category.

Création d’un groupe parent BYOD

De même, vous pouvez créer un groupe pour les utilisateurs d’appareils d’entreprise dans votre organisation :Similarly, you can create a group for the CO device users in your organization:

Groupes d’utilisateurs frères pour les appareils BYOD et d’entreprise

Groupes pour des régions géographiquesGroups for geographic regions

Si votre organisation a besoin de stratégies pour des régions spécifiques, vous pouvez créer des groupes basés sur la région géographique.If your organization needs policies for specific regions, you can create groups based on geographic region. Vous pouvez les baser sur des groupes régionaux déjà créés dans votre instance d’Active Directory et les synchroniser avec votre service Azure Active Directory.You can base them on regional groups that you might have already created in your instance of Active Directory, and sync them with your Azure Active Directory service. Vous pouvez également créer des groupes régionaux directement dans Azure Active Directory.You also can create regional groups directly in Azure Active Directory.

Les captures d’écran suivantes montrent comment créer des groupes Intune basés sur des groupes synchronisés avec votre instance locale d’Active Directory.The next screenshots show you how to create Intune groups based on groups synced with your on-premises Active Directory instance. Ces exemples partent du principe que vous avez un groupe de sécurité Active Directory nommé US Users Group.These examples assume that you have an Active Directory security group called US Users Group.

Tout d’abord, fournissez les informations générales.First, provide general information.

Capture d’écran de la zone Modifier le groupe

Sous Critères d’appartenance, sélectionnez US Users Group, synchronisé avec Active Directory, comme groupe de sécurité à utiliser sous Règles d’adhésion.Under Membership criteria, select US Users Group, synced with Active Directory, as the security group to use under membership rules.

Capture d’écran de la boîte de dialogue Modifier le groupe

Passez en revue vos entrées, puis choisissez Terminer pour créer le groupe.Review your entries, and then choose Finish to create the group.

Capture d’écran de la boîte de dialogue Modifier le groupe

Dans notre exemple, nous avons également créé un groupe nommé MEA pour le Moyen-Orient et l’Asie.In our example, we’ve also created a group called MEA, for the Middle East and Asia.

Note

Si l’appartenance au groupe n’est pas remplie d’après l’appartenance au groupe de sécurité, vérifiez que vous avez affecté des licences Intune aux membres du groupe.If group membership is not populated based on security group membership, make sure that you have assigned Intune licenses to group members.

Groupes pour du matériel spécifiqueGroups for specific hardware

Si votre organisation impose d’avoir des stratégies applicables à des types de matériel spécifiques, vous pouvez créer des groupes sur la base de cette exigence.If your organization requires policies that apply to specific hardware types, you can create groups based on this requirement. Vous pouvez baser les stratégies sur des groupes spécifiques déjà créés dans votre instance locale d’Active Directory, puis les synchroniser avec Azure Active Directory.You can base the policies on specific groups that you have already created in your on-premises instance of Active Directory, and then sync them with Azure Active Directory. Vous pouvez également créer des groupes directement dans Azure Active Directory.You also can create groups directly in Azure Active Directory. Dans cet exemple, nous utilisons US Users Group comme parent du groupe Laptop Users.In this example, we use US Users Group as the parent group for the Laptop Users group.

Boîte de dialogue Sélectionner un groupe de sécurité

À ce stade, la hiérarchie de votre groupe doit ressembler à la capture d’écran suivante.At this point, your group's hierarchy should look similar to the next screenshot. Comme vous le voyez, le groupe Intune Laptop Users contient maintenant des membres.You can see that there are now members in the Intune group Laptop Users. Les stratégies appliquées à ce groupe seront appliquées aux utilisateurs d’ordinateurs portables BYOD de la région U.S.Any policies applied to this group will be applied to BYOD laptop users from the U.S. region.

Affichage du groupe d’utilisateurs d’ordinateurs portables

Groupes pour des systèmes d’exploitation spécifiquesGroups for specific operating systems

Si votre organisation impose d’avoir des stratégies applicables à des systèmes d’exploitation spécifiques comme Android, iOS ou Windows, vous pouvez créer des groupes en conséquence.If your organization requires policies that apply to specific operating systems like Android, iOS, or Windows, you can create groups based on this requirement. Comme dans les exemples précédents, vous pouvez les baser sur des groupes propres aux systèmes d’exploitation déjà créés dans votre instance locale d’Active Directory et les synchroniser avec Azure Active Directory.As in earlier examples, you can base them on OS-specific groups that you have already created in your on-premises instance of Active Directory, and sync them with Azure Active Directory. Vous pouvez également les créer directement dans votre instance d’Azure Active Directory.You also can create them directly in your instance of Azure Active Directory.

En utilisant la même méthode que pour les exemples précédents, vous pouvez créer des groupes basés sur les utilisateurs qui utilisent des plateformes de système d’exploitation spécifiques.By using the same method from earlier examples, you can create groups based on users who use specific operating system platforms.

Note

Si certains de vos utilisateurs emploient plusieurs systèmes d’exploitation/plateformes mobiles et que vous n’avez pas de moyen automatisé pour classer les utilisateurs comme utilisateurs Android, iOS ou Windows, vous pouvez appliquer des stratégies au niveau de l’appareil.If you have users who use multiple mobile platforms or operating systems and you do not have an automated way to categorize users as Android users, iOS users, or Windows users, consider applying policies at the device level. Vous disposerez ainsi d’une meilleure flexibilité dans l’application de stratégies propres au système d’exploitation.This will give you more flexibility to apply policies that are specific to an operating system.

Vous ne pouvez pas approvisionner des groupes de manière dynamique en fonction du système d’exploitation de l’appareil.You cannot provision groups dynamically based on the operating system of the device. Vous devez pour cela utiliser des groupes de sécurité Active Directory ou Azure Active Directory.Instead, do this by using Active Directory or Azure Active Directory security groups.

Groupe d’utilisateurs d’ordinateurs portables

Une fois que tous les groupes d’utilisateurs sont remplis en fonction des exigences de votre organisation, la hiérarchie de vos groupes doit ressembler à ceci :After all of your user groups are populated based on your organizational requirements, your group hierarchy should look something like this:

Vue de la hiérarchie de groupes

Vous pouvez utiliser cette hiérarchie pour appliquer les stratégies de l’organisation.You can use this hierarchy to apply the organization's policies.

Groupes d'appareilsDevice groups

Vous pouvez également créer des groupes similaires pour les appareils, comme indiqué ici, en commençant par un groupe qui comprend tous les appareils appartenant aux employés (pour le scénario BYOD).You also can create similar groups for devices as shown here, starting with a broad group that includes all employee-owned devices, for the BYOD scenario.

Boîte de dialogue Créer un groupe

Veillez à sélectionner Tous les appareils (ordinateurs et appareils mobiles) pour que le groupe comprenne tous les appareils BYOD :Make sure that you select All devices (computers and mobile) so that the group will include all BYO devices:

Définir les critères d'appartenance

Passez en revue vos entrées, puis choisissez Terminer pour créer le groupe BYOD.Review your entries, and then choose Finish to create the BYOD group.

Boîte de dialogue Créer un groupe

Continuez à créer des groupes d’appareils jusqu’à ce que la hiérarchie de groupes d’appareils ressemble à la hiérarchie de groupes d’utilisateurs.Continue to create device groups until you have a device group hierarchy that is similar to the user group hierarchy. Votre nœud de groupes dans la console Intune doit maintenant ressembler à ceci :Your group node in the Intune console will look similar to this:

Vue de la hiérarchie de groupes Intune

Hiérarchies de groupes et conventions d’affectation des nomsGroup hierarchies and naming conventions

Pour simplifier la gestion des stratégies, nous vous recommandons de nommer chaque stratégie d’après la fonction, la plateforme et l’étendue auxquels elle s’applique.To make policy management easier, we recommend that you name each policy according to the purpose, platform, and scope to which you apply it. Utilisez un standard de nommage qui suit la structure de groupe que vous avez créée quand vous avez préparé l’application de vos stratégies.Use a naming standard that follows the group structure that you created when you prepared to apply your policies.

Par exemple, pour une stratégie Android qui s’applique à tous les appareils mobiles Android de l’entreprise au niveau régional des États-Unis, vous pouvez nommer la stratégie CO_US_Mob_Android_General.For instance, for an Android policy that applies to all corporate, Android, mobile devices at the U.S. regional level, you might name the policy CO_US_Mob_Android_General.

Créer des stratégies pour Android

Le fait de nommer les stratégies de cette façon vous permet d’identifier rapidement les stratégies, leur utilisation et leur étendue dans le nœud Stratégies, comme indiqué ci-dessous :When you name your policies this way, you can quickly identify policies and their intended use and scope in the Policies node, like this:

Liste de stratégies Intune

Étapes suivantesNext steps

Créer des groupesCreate groups