Utiliser des groupes pour gérer les utilisateurs et les appareils dans Microsoft IntuneUse groups to manage users and devices in Microsoft Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Cette rubrique explique comment créer des groupes dans Intune.This topic describes how to create groups in Intune. Elle fournit également des informations sur l’évolution de la gestion des groupes dans mois à venir.It also provides information about how the management of groups is going to change over the coming months.

Important

Si vous ouvrez l’espace de travail Groupes dans le portail Intune et que vous voyez un lien vers le portail Azure Active Directory (Azure AD), cela signifie que vous utilisez la nouvelle approche des groupes de sécurité Azure AD pour gérer les groupes dans Intune, comme cela est décrit dans la migration de groupes vers Azure Active Directory.If you open the Groups workspace in the Intune portal and see a link to the Azure active directory (Azure AD) portal, then you are using the new Azure AD security groups approach to group management in Intune, described in Migrating groups to Azure Active Directory. Cliquez sur le lien vers le portail Azure AD pour créer et gérer vos groupes.Click the link to the Azure AD portal to create and manage your groups.

Capture d’écran du lien vers la gestion de groupes Azure

Si vous ne voyez pas le lien vers le portail Azure AD, cela indique que vous utilisez encore l’approche actuelle pour gérer les groupes, décrite dans la section Créer des groupes de cette rubrique.If you do not see the link to the Azure AD portal, you are still using the current approach to group management, described in Create groups in this topic.

Cette rubrique décrit comment créer des groupes Intune dans la console d’administration Intune.This topic describes how to create Intune groups in the Intune administration console.

Vous pouvez créer et gérer des groupes dans l’espace de travail Groupes dans la console d’administration Microsoft Intune.You can create and manage groups in the Groups workspace in the Microsoft Intune admin console. La page Vue d’ensemble des groupes affiche des synthèses d’état qui peuvent vous aider à identifier et hiérarchiser les problèmes à examiner.The Groups Overview page shows status summaries that can help you identify and prioritize issues that require your attention. Les synthèses d’état couvrent ces domaines :Status summaries cover these areas:

  • AlertesAlerts
  • Mises à jour logiciellesSoftware updates
  • Endpoint ProtectionEndpoint Protection
  • StratégiePolicy
  • Gestion des logicielsSoftware management

Votre hiérarchie de groupes affiche également des synthèses d’état pour vous aider à identifier et résoudre les problèmes rencontrés avec des membres d’un groupe sélectionné.Your group hierarchy also shows status summaries to help you identify and resolve problems for members of a selected group.

Créer des groupesCreate groups

Conseil

Quand vous créez des groupes, tenez compte de la façon dont vous allez appliquer les stratégies.When you create groups, consider how you will apply policies. Par exemple, vous pouvez avoir des stratégies propres au système d’exploitation d’un appareil, ainsi que des stratégies spécifiques pour les différents rôles définis dans votre organisation ou pour les unités d’organisation que vous avez déjà définies dans Active Directory.For example, you might have policies that are specific to a device operating system, and policies that are specific to different roles in your organization, or to organizational units that you've already defined in Active Directory. Il peut être utile de créer des groupes d’appareils distincts pour iOS, Android et Windows, et un groupe d'utilisateurs pour chaque rôle organisationnel.It might be useful to have separate device groups for iOS, Android, and Windows, as well as a user group for each organizational role.

Vous souhaiterez sans doute aussi créer une stratégie par défaut applicable à tous les groupes et appareils pour établir les exigences de base de votre organisation en matière de conformité.You'll probably also want to create a default policy that applies to all groups and devices, to establish the basic compliance requirements of your organization. Ensuite, vous pouvez créer des stratégies particulières pour les catégories d’utilisateurs et d’appareils les plus générales,Then, you can create more specific policies for the broadest categories of users and devices. par exemple des stratégies de messagerie pour chaque système d’exploitation des appareils.For example, you might create email policies for each of the device operating systems.

Veillez à affecter des noms explicites à vos stratégies pour pouvoir facilement les identifier par la suite.Be careful when you name your policies so that you can easily identify them later. Voici un exemple de nom de stratégie descriptif : Stratégie de messagerie WP pour toute l’entreprise.For example, a good descriptive policy name is WP Email Policy for Entire Company.

Communiquez chaque nouvelle stratégie restrictive à vos utilisateurs.Each time you create a restrictive policy, you'll want to communicate it to your users. Après avoir créé les groupes et stratégies d’ordre général, créez des groupes de plus petite taille, avec l’objectif de réduire les communications inutiles.After you create the more general groups and policies, pay attention to how you create smaller groups, so that you can reduce unnecessary communication.

Pour créer un groupe d'appareilsTo create a device group

  1. Dans la console d’administration Intune, choisissez Groupes > Vue d’ensemble > Créer un groupe.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Entrez un nom et une description (facultative) pour le groupe, puis sélectionnez un groupe d’appareils en tant que groupe parent.Enter a name and a description (optional) for the group, and then select a device group as the parent group. Choisissez Suivant.Choose Next.

  3. Dans la page Définir les critères d’appartenance, sélectionnez le type des appareils à inclure dans le groupe.On the Define Membership Criteria page, select the type of devices to include in the group. Selon le type d’appareil que vous choisissez d’inclure, d’autres options de configuration de groupe vous sont proposées :You have additional group configuration options based on the types of devices you choose to include:

    • Ordinateur.Computer. Choisissez si vous souhaitez inclure tous les membres du groupe parent, et sélectionnez les unités d’organisation et les domaines à inclure ou exclure.Select whether to include all members of the parent group; the organizational units you want to include or exclude; and domains you want to include or exclude. Vous pouvez obtenir les informations sur les unités d’organisation et les domaines d’un ordinateur à partir de l’inventaire.You can get organizational unit and domain information for a computer from inventory.

    • Mobile.Mobile. Choisissez si vous souhaitez inclure les appareils mobiles gérés par Intune ou ceux gérés par Exchange ActiveSync, ou l’ensemble de ces appareils.Select whether to include mobile devices that are managed by Intune, mobile devices that are managed by Exchange ActiveSync, or both.

    • Tous les appareils.All devices. Choisissez cette option pour inclure tous les appareils, sans exclusions basées sur des critères.This option includes all devices, with no exclusions based on any criteria.

  4. Dans la page Définir l’appartenance directe, choisissez Parcourir pour sélectionner individuellement les appareils à inclure ou exclure.On the Define Direct Membership page, choose Browse to select individual devices to include or exclude. Si vous sélectionnez des appareils qui ne sont pas dans le groupe parent que vous avez spécifié, Intune ajoute automatiquement ces appareils au groupe parent.If you select devices that are not in the parent group that you specified, Intune automatically adds those devices to the parent group.

  5. Dans la page Résumé, vérifiez vos sélections, puis choisissez Terminer.On the Summary page, review your selections, and then choose Finish.

Le nouveau groupe s’affiche dans la liste Groupes, dans l’espace de travail Groupes, sous le groupe parent.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. C’est aussi à cet emplacement que vous pouvez modifier ou supprimer le groupe.That's also where you can edit or delete the group.

Pour créer un groupe d'utilisateursTo create a user group

  1. Dans la console d’administration Intune, choisissez Groupes > Vue d’ensemble > Créer un groupe.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Entrez un nom et une description (facultative) pour le groupe, puis sélectionnez un groupe d’utilisateurs en tant que groupe parent.Enter a name and a description (optional) for the group, and then select a user group as the parent group. Choisissez Suivant.Choose Next.

  3. Dans la page Définir les critères d’appartenance, choisissez si vous voulez inclure tous les membres du groupe parent ou démarrer avec un groupe vide.On the Define Membership Criteria page, choose whether to include all members of the parent group or to start with an empty group. Ensuite, choisissez d’inclure ou d’exclure des membres en fonction des groupes de sécurité d’utilisateurs que vous configurez manuellement dans le Centre d’administration Office 365 ou que vous synchronisez à partir d’Active Directory.Then, include or exclude members based on the security groups of users that you either manually configure in the Office 365 admin center, or sync from Active Directory. Si l’appartenance à un groupe de sécurité change, l’appartenance des groupes d’utilisateurs dépendants de ce groupe de sécurité change également.If the membership of a security group changes, the membership of user groups based on that security group also might change.

    Important

    Actuellement, si votre groupe inclut des membres de groupes de sécurité ou de groupes de responsables spécifiques et que vous excluez des membres de certains groupes, les membres que vous avez inclus au départ sont supprimés.Currently, if your group includes members from specific security groups or manager groups and you exclude members from some groups, the members you initially included will be removed. Pour créer un groupe contenant des membres inclus et des membres exclus, nous vous recommandons de créer d’abord un groupe parent avec les membres inclus,To create a group that has both included members and excluded members, we recommend that first you create a parent group that has the included members. puis de créer un groupe enfantThen, create a child group for that parent group. dans lequel vous ajoutez les membres exclus.In the new child group, list the excluded members. Utilisez ensuite ce groupe enfant pour gérer les stratégies, les profils et la distribution d’applications Intune.Then, use that child group to manage Intune policies, profiles, and app distribution.

    Note

    Dans le portail Azure, vous pouvez créer des groupes en fonction des responsables des utilisateurs.In the Azure portal, you can create groups based on the managers who users report to. Il s’agit de groupes dynamiques, dont le contenu change à mesure que des employés sont ajoutés ou supprimés dans l’équipe d’un responsable dans Azure Active Directory.This type of group is dynamic, and it will change as employees are added to or removed from a manager's team in Azure Active Directory. Pour savoir comment créer un groupe Azure basé sur un nom de responsable, consultez Utilisation d’attributs pour créer des règles avancées, à la section Pour configurer un groupe en tant que groupe « Responsable ».How to create an Azure group based on manager name is described in Using attributes to create advanced rules, in the section To configure a group as a “Manager” group.

  4. Dans la page Définir l’appartenance directe, choisissez Parcourir pour sélectionner individuellement les utilisateurs à inclure ou exclure.On the Define Direct Membership page, choose Browse to select individual users to include or exclude. Si vous sélectionnez des utilisateurs qui ne sont pas dans le groupe parent que vous avez spécifié, Intune ajoute automatiquement ces utilisateurs au groupe parent.If you select users that are not in the parent group that you specified, those devices are automatically added to the parent group. L’option permettant d’ajouter manuellement un utilisateur se trouve en bas de la boîte de dialogue Sélectionner les membres.The option to manually add a user is at the bottom of the Select Members dialog box. Cela est utile si vous souhaitez ajouter un utilisateur qui ne dispose pas encore d’un appareil inscrit.This is helpful if you want to add a user who does not yet have an enrolled device.

  5. Dans la page Résumé, vérifiez vos sélections, puis choisissez Terminer.On the Summary page, review your selections, and then choose Finish.

Le nouveau groupe s’affiche dans la liste Groupes, dans l’espace de travail Groupes, sous le groupe parent.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. C’est aussi à cet emplacement que vous pouvez modifier ou supprimer le groupe.That's also where you can edit or delete the group.

Conseil

Les groupes de sécurité constituent un bon point de départ pour remplir les groupes d’utilisateurs.Security groups are a good resource to use when you populate user groups. Étant donné que les groupes de sécurité définissent qui a accès aux différentes ressources, leur conversion en groupes d’utilisateurs Intune ne pose aucun problème.Because security groups define who can access which resources, security groups can translate well to Intune user groups. Quand vous créez des groupes d’utilisateurs dans Intune, vous pouvez utiliser les groupes de sécurité qui sont synchronisés entre Active Directory et Azure Active Directory, ou ceux que vous créez directement dans Azure Active Directory par le biais du Centre d’administration Office 365 ou du portail Azure.Security groups that are synced from Active Directory to Azure Active Directory, or which you create directly in Azure Active Directory through the Office 365 admin center or the Azure portal are available to you to use when you create user groups in Intune.

Filtrer les vues de l’administrateur par rôleFilter admin views by role

Avec les vues de groupes filtrées, vous pouvez personnaliser le contenu qui s’affiche aux administrateurs informatiques en fonction de leur rôle,In filtered group views, you can tailor what an IT admin can see based on the admin's role. et restreindre les groupes que chaque administrateur informatique peut gérer.You also can restrict which groups each IT admin can manage. Ces vues peuvent être utiles dans les cas suivants :This can be useful when:

  • Vous souhaitez que vos administrateurs informatiques puissent déployer des éléments uniquement pour des utilisateurs et appareils spécifiques.You want your IT admins to be able to deploy items only to specific users and devices
  • Vous souhaitez afficher aux administrateurs informatiques uniquement les groupes qui les intéressent.You want your IT admins to see only the groups that are relevant to that admin

Vous pouvez configurer des vues de groupes filtrées pour les administrateurs de service dans la console d’administration Intune.You can configure filtered group views for service admins in the Intune admin console. Pour plus d’informations, consultez Informations à connaître avant de commencer à utiliser Microsoft Intune.For details, see What to know before you start Microsoft Intune.

Une fois que vous avez configuré des vues de groupes filtrées pour un administrateur de service, cet administrateur peut uniquement afficher et sélectionner les groupes que vous avez spécifiés quand il déploie des logiciels ou des stratégies, ou génère des rapports.After you set up filtered group views for a service admin, when the admin deploys software or policies, or runs reports, the admin can view and select only the groups that you specified. De plus, l’administrateur ne voit pas les informations d’état dans les pages suivantes de la console d’administration :The admin also doesn't see status information on these pages of the admin console:

  • Présentation du systèmeSystem Overview
  • Vue d’ensemble des groupesGroups Overview
  • Vue d’ensemble de Endpoint ProtectionEndpoint Protection Overview
  • Vue d’ensemble des alertesAlerts Overview
  • Vue d’ensemble du logicielSoftware Overview
  • Vue d’ensemble de la stratégiePolicy Overview

Pour créer une vue de groupes filtréeTo create a filtered group view

  1. Dans la console d’administration Intune, choisissez Administration > Gestion des administrateurs > Administrateurs de service.In the Intune admin console, choose Admin > Administrator Management > Service Administrators.

  2. Sélectionnez l’administrateur de service pour lequel vous souhaitez créer une vue de groupes filtrée, puis choisissez Gérer les groupes.Select the service admin who you want to create a filtered group view for, and then choose Manage Groups.

  3. Dans la boîte de dialogue Sélectionner les groupes qui seront visibles pour cet administrateur de service, ajoutez les groupes que l’administrateur de service pourra voir, puis choisissez OK.In the Select the groups that will be visible to this service administrator dialog box, add the groups that the service admin will be able to access, and then choose OK.

Une fois que les vues de groupes filtrées ont été configurées, l’administrateur informatique peut uniquement afficher et sélectionner les groupes que vous avez sélectionnés.After you've set up the filtered group views, the IT admin will be able to view and select only the groups you've indicated.

Gérer vos groupesManage your groups

Une fois vos groupes créés, vous pouvez les gérer en fonction des besoins de votre organisation.After you create your groups, you can continue to manage them according to the needs of your organization.

Vous pouvez modifier un groupe, notamment son nom, sa description et ses membres.You can edit your group to change its name or description, or who belongs to the group.

Vous pouvez supprimer un groupe qui ne répond plus aux besoins de votre organisation.You can delete a group that no longer serves the needs of your organization. Le fait de supprimer un groupe ne supprime pas les utilisateurs appartenant à ce groupe.Deleting a group does not delete the users that belong to that group.

Étapes suivantesNext steps

Après avoir configuré vos groupes et stratégies, vérifiez les paramètres Valeur prévue et État pour voir les implications pratiques de votre conception.After you set up your groups and policies, review Intended Value and Status to check the practical implications of your design.

Pour vérifier votre conceptionTo check your design

  1. Sélectionnez un appareil dans un groupe d’appareils et examinez les catégories d’informations en haut de la page.Select any device from a device group and browse through the categories of information at the top of the page.
  2. Choisissez Stratégie.Choose Policy. Voici une capture d'écran des paramètres de stratégie d'un appareil Android qui illustre les informations affichées à l'écran.You'll see something like this screenshot of an Android device's policy settings.

Exemple de paramètres de stratégie Android

Chaque stratégie contient une Valeur prévue et un État.Each policy has an Intended Value and a Status. La valeur prévue est la valeur que vous prévoyez d’obtenir quand vous affectez la stratégie.The intended value is what you intended to achieve when you assigned the policy. L’état est le résultat obtenu final, quand toutes les stratégies qui s’appliquent à l’appareil ainsi que les restrictions et les exigences du matériel et du système d’exploitation sont prises en compte.The status is what you achieve when all of the policies that apply to the device, as well as the restrictions and requirements of the hardware and operating system are considered together. Cette capture d’écran illustre clairement ce point à travers deux exemples :In this screenshot you can see two clear examples:

  • Autoriser les mots de passe simples est défini avec la valeur Oui, comme indiqué dans la colonne Valeur prévue, mais son État a la valeur Non applicable.Allow simple passwords is set to Yes, as shown in the Intended Value column, but its Status is Not applicable. Cela est dû au fait que les mots de passe simples ne sont pas pris en charge par les appareils Android.This is because simple passwords are not supported for Android devices.
  • De même, l’élément de stratégie développé Paramètres de messagerie pour les appareils iOS n’est pas appliqué à cet appareil, car il s’agit d’un appareil Android.Similarly, the expanded policy item Email settings for iOS devices is not applied to this device because it is an Android device.

Note

N’oubliez pas que quand deux stratégies avec différents niveaux de restriction s’appliquent au même appareil ou utilisateur, la stratégie la plus restrictive prévaut dans la pratique.Remember that when two policies that have different levels of restriction apply to the same device or user, the more restrictive policy applies in practice.