Créer une stratégie de conformité dans Microsoft Intune

Les stratégies de conformité des appareils sont une fonctionnalité clé quand vous utilisez Intune pour protéger les ressources de votre organisation. Dans Intune, vous pouvez créer des règles et des paramètres que les appareils doivent respecter pour être considérés comme conformes, par exemple une version de système d’exploitation minimale. Si l’appareil n’est pas conforme, vous pouvez bloquer l’accès aux données et aux ressources à l’aide de l’accès conditionnel.

Vous pouvez également effectuer des actions en cas de non-conformité, telles que l’envoi d’un e-mail de notification à l’utilisateur. Pour obtenir une vue d’ensemble de ce que les stratégies de conformité font, et comment elles sont utilisées, consultez Bien démarrer avec la conformité des appareils.

Cet article :

• Répertorie les conditions préalables et les étapes pour créer une stratégie de conformité.
• Vous montre comment attribuer la stratégie à vos groupes d’utilisateurs ou d’appareils.
• Décrit d’autres fonctionnalités, notamment les balises d’étendue pour « filtrer » vos stratégies, et les étapes que vous pouvez suivre sur les appareils qui ne sont pas conformes.
• Répertorie les durées de cycle d’actualisation d’archivage lorsque des appareils reçoivent des mises à jour de stratégie.

Avant de commencer

Pour utiliser des stratégies de conformité des appareils, veillez à respecter ceci :

• Utiliser les abonnements suivants :

  • Intune
  • Si vous utilisez l’accès conditionnel, vous devez Microsoft Entra ID édition P1 ou P2. Microsoft Entra tarification répertorie ce que vous obtenez avec les différentes éditions. Intune conformité ne nécessite pas de Microsoft Entra ID.

• Utiliser une plateforme prise en charge :

  • Administrateur d’appareils Android
  • Android AOSP
  • Android Entreprise
  • iOS
  • Linux - Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
  • macOS
  • Windows 10/11

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

• Inscrire des appareils dans Intune (nécessaire pour connaître l’état de conformité)

• Inscrivez les appareils auprès d’un seul utilisateur ou sans utilisateur principal. Les appareils uniques ne peuvent pas être inscrits auprès de plusieurs utilisateurs.

En plus des paramètres de conformité intégrés à Intune, les plateformes suivantes prennent en charge l’ajout de paramètres de conformité personnalisés aux stratégies de conformité :

• Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
• Windows 10/11

Avant de pouvoir ajouter des paramètres personnalisés, vous devez préparer un fichier JSON personnalisé qui définit les paramètres sur lesquels vous souhaitez baser votre conformité personnalisée et un script qui s’exécute sur les appareils pour détecter les paramètres définis dans le JSON.

Pour plus d’informations sur l’utilisation des paramètres de conformité personnalisés, notamment les plateformes prises en charge, les prérequis et la configuration de la catégorie Conformité personnalisée lors de la création d’une stratégie, consultez Utiliser des paramètres de conformité personnalisés.

Créer la stratégie

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Accédez à Conformité des appareils> et choisissez Créer une stratégie.

3. Sélectionnez une plateforme pour cette stratégie dans les options suivantes :

   • Administrateur d’appareils Android
   • Android (AOSP)
   • Android Entreprise
   • iOS/iPadOS
   • Linux - (Ubuntu Desktop, version 20.04 LTS et 22.04 LTS)
   • MacOS
   • Windows 8.1 et versions ultérieures
   • Windows 10 et versions ultérieures

   Pour Android Entreprise, sélectionnez également un type de stratégie :

   • Profil professionnel entièrement managé, dédié et appartenant à l’entreprise
   • Profil professionnel appartenant à l’utilisateur

   Sélectionnez ensuite Créer pour ouvrir la page de configuration.

4. Sous l’onglet De base, spécifiez un nom qui vous aidera à les identifier ultérieurement. Par exemple, un nom de stratégie approprié est Marquer les appareils jailbreakés iOS/iPadOS comme non conformes.

   Vous pouvez aussi spécifier une description.

5. Sous l’onglet Paramètres de conformité, développez les catégories disponibles, puis configurez les paramètres de votre stratégie. Les articles suivants décrivent les paramètres de conformité disponibles pour chaque plateforme :

   • Administrateur d’appareils Android
   • Android (AOSP)
   • Android Entreprise
   • iOS/iPadOS
   • Linux
   • MacOS
   • Windows 8.1 et versions ultérieures
   • Windows 10/11

6. Ajouter des paramètres personnalisés aux stratégies pour les plateformes prises en charge.

   Conseil

   Il s’agit d’une étape facultative prise en charge uniquement pour les plateformes suivantes :

   • Linux - Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
   • Windows 10/11 Avant de pouvoir ajouter des paramètres personnalisés à une stratégie, vous devez avoir chargé un script de détection sur Intune et disposer d’un fichier JSON qui définit les paramètres que vous souhaitez utiliser pour la conformité. Consultez Paramètres de conformité personnalisés.

   Dans la page Paramètres de conformité , développez la catégorie Conformité personnalisée :

   Pour Windows :

   1. Dans la page Paramètres de conformité, développez Conformité personnalisée et définissezConformité personnalisée sur Exiger.
   2. Pour Sélectionner votre script de découverte, sélectionnez Cliquer pour sélectionner, puis spécifiez un script qui a été ajouté précédemment au centre d’administration Microsoft Intune. Ce script doit être chargé avant de commencer à créer la stratégie.
   3. Pour Charger et valider le fichier JSON avec vos paramètres de conformité personnalisés, sélectionnez l’icône de dossier, puis recherchez et ajoutez le fichier JSON pour Windows que vous souhaitez utiliser avec cette stratégie. Pour obtenir de l’aide sur json, consultez Créer un json pour les paramètres de conformité personnalisés.

   Pour Linux :

   1. Dans la page Paramètres de conformité , sélectionnez Ajouter des paramètres pour ouvrir le volet Du sélecteur de paramètres .
   2. Sélectionnez Conformité personnalisée, puis 8.
   3. De retour dans la page Paramètres de conformité , sélectionnez le bouton bascule Pour Exiger une conformité personnalisée , définissez-le sur True.
   4. Pour Sélectionner votre script de découverte, sélectionnez Définir des paramètres réutilisables, puis spécifiez un script qui a été ajouté précédemment au centre d’administration Microsoft Intune. Ce script doit avoir été chargé avant de commencer à créer la stratégie.
   5. Pour Sélectionner votre fichier de règles, sélectionnez l’icône de dossier, puis recherchez et ajoutez le fichier JSON pour Linux que vous souhaitez utiliser avec cette stratégie. Pour obtenir de l’aide sur json, consultez Créer un json pour les paramètres de conformité personnalisés.

   Le code JSON que vous entrez est validé et tous les problèmes sont affichés. Après validation du contenu JSON, les règles du json sont affichées au format tableau.

7. Sous l’onglet Actions en cas de non-conformité, spécifiez une séquence d’actions à appliquer automatiquement aux appareils qui ne respectent pas cette stratégie de conformité.

   Vous pouvez ajouter plusieurs actions et configurer des planifications et des détails pour certaines actions. Par exemple, vous pouvez modifier la planification de l’action par défaut Marquer l'appareil comme non conforme afin qu’elle se déclenche après un jour. Vous pouvez ensuite ajouter une action pour envoyer un e-mail à l’utilisateur et l’avertir qu’il n’est pas en conformité. Vous pouvez également ajouter des actions qui verrouillent ou mettez hors service des appareils qui restent non conformes.

   Pour plus d’informations sur les actions que vous pouvez configurer, consultez Ajouter des actions pour les appareils non conformes, notamment comment créer des e-mails de notification à envoyer à vos utilisateurs.

   Autre exemple : utiliser des emplacements auxquels vous ajoutez au moins un emplacement à une stratégie de conformité. Dans ce cas, l’action par défaut en cas de non-conformité s’applique quand vous sélectionnez au moins un emplacement. Si l’appareil n’est connecté à aucun des emplacements sélectionnés, il est considéré comme non conforme. Vous pouvez configurer la planification pour accorder aux utilisateurs une période de grâce, par exemple un jour.

8. Sous l’onglet Balises d’étendue, sélectionnez des balises pour filtrer les stratégies selon des groupes spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Après avoir ajouté les paramètres, vous pouvez également ajouter une balise d’étendue à vos stratégies de conformité.

   Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser des balises d’étendue pour filtrer les stratégies.

9. Sous l’onglet Affectations, affectez la stratégie à vos groupes.

Choisissez + Sélectionner les groupes à inclure, puis affectez la stratégie à un ou plusieurs groupes. La stratégie s’appliquera à ces groupes lorsque vous enregistrerez la stratégie après la prochaine étape.

Les stratégies pour Linux ne prennent pas en charge les affectations basées sur l’utilisateur et ne peuvent être affectées qu’à des groupes d’appareils.

11. Sous l’onglet Vérifier + créer, vérifiez les paramètres et sélectionnez Créer quand vous êtes prêt à enregistrer votre stratégie de conformité.

    La conformité des utilisateurs ou des appareils ciblés par votre stratégie est évaluée lors de l’archivage avec Intune.

Durées de cycle d’actualisation

Intune utilise différents cycles d’actualisation pour rechercher les mises à jour des stratégies de conformité. Si l’appareil vient d’être inscrit, la fréquence d’archivage est plus élevée. Cycles d’actualisation de la stratégie et du profil répertorie les temps d’actualisation estimés.

Les utilisateurs peuvent ouvrir l’application Portail d’entreprise et synchroniser l’appareil à tout moment pour rechercher immédiatement les mises à jour de stratégie.

Attribuer un état InGracePeriod

L’état InGracePeriod pour une stratégie de conformité est une valeur. Cette valeur est déterminée par la combinaison de la période de grâce d’un appareil et de l’état réel de l’appareil pour cette stratégie de conformité.

Plus précisément, si un appareil a un état NonCompliant pour une stratégie de conformité affectée et si :

• L’appareil n’a pas de période de grâce affectée, la valeur affectée pour la stratégie de conformité est NonCompliant
• L’appareil a une période de grâce qui a expiré, la valeur affectée pour la stratégie de conformité est NonCompliant
• L’appareil a une période de grâce qui se situe dans le futur, la valeur affectée pour la stratégie de conformité est InGracePeriod

Le tableau suivant récapitule ces points :

État de conformité réel	Valeur de la période de grâce affectée	État de conformité effectif
NonCompliant	Aucune période de grâce affectée	NonCompliant
NonCompliant	Date d’hier	NonCompliant
NonCompliant	Date de demain	InGracePeriod

Pour plus d’informations sur la surveillance des stratégies de conformité des appareils, consultez Surveiller les stratégies de conformité d’appareils Intune.

Attribuer un état de stratégie de conformité résultant

Si un appareil a plusieurs stratégies de conformité et qu’il a des états de conformité différents pour au moins deux stratégies de conformité attribuées, un seul état de conformité résultant est attribué. Cette affectation est basée sur un niveau de gravité conceptuel affecté à chaque état de conformité. Chaque état de conformité a le niveau de gravité suivant :

État	Severity
Inconnu	1
NotApplicable	2
Conforme	3
InGracePeriod	4
NonCompliant	5
Error	6

Quand un appareil a plusieurs stratégies de conformité, le niveau de gravité le plus élevé de toutes les stratégies lui est attribué.

Par exemple, trois stratégies de conformité sont attribuées à un appareil : un état Inconnu (gravité = 1), un état Conforme (gravité = 3) et un état InGracePeriod (gravité = 4). L’état InGracePeriod a le niveau de gravité le plus élevé. Par conséquent, les trois stratégies ont l’état de conformité InGracePeriod.

Prochaines étapes

Supervisez vos stratégies.