Affecter des profils d’utilisateur et d’appareil dans Microsoft IntuneAssign user and device profiles in Microsoft Intune

Vous créez un profil, et il inclut tous les paramètres que vous avez entrés.You create a profile, and it includes all the settings you entered. L’étape suivante consiste à déployer sur ou à « attribuer » le profil à vos groupes d’utilisateurs ou d’appareils.The next step is to deploy or "assign" the profile to your user or device groups. Lorsqu’il est attribué, les utilisateurs et appareils reçoivent votre profil et les paramètres que vous avez entrés sont appliqués.When it's assigned, the users and devices receive your profile, and the settings you entered are applied.

Cet article vous montre comment attribuer un profil et inclut des informations sur l’utilisation de balises d’étendue sur vos profils.This article shows you how to assign a profile, and includes some information on using scope tags on your profiles.

Notes

Lorsqu'un profil est supprimé ou n'est plus attribué à un appareil, différents événements peuvent se produire, en fonction des paramètres du profil.When a profile is removed or no longer assigned to a device, different things can happen, depending on the settings in the profile. Les paramètres sont basés sur des fournisseurs de services de configuration (CSP), et chaque CSP peut gérer différemment la suppression du profil.The settings are based on CSPs, and each CSP can handle the profile removal differently. Par exemple, un paramètre peut conserver la valeur existante, et ne pas revenir à une valeur par défaut.For example, a setting might keep the existing value, and not revert back to a default value. Le comportement est contrôlé par chaque CSP dans le système d'exploitation.The behavior is controlled by each CSP in the operating system. Pour obtenir une liste des fournisseurs de services de configuration (CSP) Windows, consultez la référence Fournisseur de services de configuration (CSP) .For a list of Windows CSPs, see configuration service provider (CSP) reference.

Pour attribuer à un paramètre une valeur différente, créez un nouveau profil, définissez le paramètre sur Non configuré, puis attribuez le profil.To change a setting to a different value, create a new profile, configure the setting to Not configured, and assign the profile. Une fois ce paramètre appliqué à l'appareil, l'utilisateur pourra attribuer au paramètre la valeur de son choix.Once applied to the device, users should have control to change the setting to their preferred value.

Lors de la configuration de ces paramètres, nous suggérons de les déployer sur un groupe pilote.When configuring these settings, we suggest deploying to a pilot group. Pour plus de conseils sur le déploiement d'Intune, consultez Créer un plan de déploiement.For more Intune rollout advice, see create a rollout plan.

Avant de commencerBefore you begin

Veillez à disposer du rôle approprié pour attribuer des profils.Be sure you have the correct role to assign profiles. Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.For more information, see Role-based access control (RBAC) with Microsoft Intune.

Attribuer un profil d’appareilAssign a device profile

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Appareils > Profils de configuration.Select Devices > Configuration profiles. Tous les profils sont répertoriés.All the profiles are listed.

  3. Sélectionnez le profil que vous souhaitez attribuer > Propriétés > Affectations > Modifier :Select the profile you want to assign > Properties > Assignments > Edit:

    Sélectionner les affectations pour déployer le profil sur les utilisateurs et les groupes dans Microsoft Intune et Endpoint Manager

  4. Sélectionnez Groupes inclus ou Groupes exclus puis choisissez Sélectionner des groupes à inclure.Select Included groups or Excluded groups, and then choose Select groups to include. Quand vous sélectionnez vos groupes, vous choisissez un groupe Azure AD.When you select your groups, you're choosing an Azure AD group. Pour sélectionner plusieurs groupes, maintenez la touche Ctrl enfoncée et sélectionnez vos groupes.To select multiple groups, hold down the Ctrl key, and select your groups.

    Inclure ou exclure des utilisateurs et des groupes lors de l’attribution ou du déploiement d’un profil dans Microsoft Intune et Endpoint Manager.

  5. Sélectionnez Vérifier + enregistrer.Select Review + Save. Cette étape n’attribue pas votre profil.This step doesn't assign your profile.

  6. Sélectionnez Enregistrer.Select Save. Lorsque vous enregistrez, votre profil est attribué.When you save, your profile is assigned. Vos groupes recevront vos paramètres de profil lorsque les appareils seront enregistrés auprès du service Intune.Your groups will receive your profile settings when the devices check in with the Intune service.

Utiliser des balises d’étendue ou des règles d'applicabilitéUse scope tags or applicability rules

Lorsque vous créez ou mettez à jour un profil, vous pouvez également ajouter des balises d’étendue et des règles d’applicabilité au profil.When you create or update a profile, you can also add scope tags and applicability rules to the profile.

Les balises d’étendue sont un excellent moyen de filtrer des profils dans des groupes spécifiques, tels que US-NC IT Team et JohnGlenn_ITDepartment.Scope tags are a great way to filter profiles to specific groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Use RBAC and scope tags for distributed IT (Utiliser RBAC et des balises d’étendue pour l’informatique distribuée) fournit plus d’informations.Use RBAC and scope tags for distributed IT has more information.

Sur les appareils Windows 10, vous pouvez ajouter des règles d'applicabilité afin que le profil ne s'applique qu'à une version spécifique du système d'exploitation ou à une édition Windows spécifique.On Windows 10 devices, you can add applicability rules so the profile only applies to a specific OS version or a specific Windows edition. Consultez Règles de mise en application pour plus d’informations.Applicability rules has more information.

Groupes d’utilisateurs et groupes d’appareilsUser groups vs. device groups

De nombreux utilisateurs demandent quand utiliser des groupes d’utilisateurs et quand utiliser des groupes d’appareils.Many users ask when to use user groups and when to use device groups. La réponse dépend de votre objectif.The answer depends on your goal. Voici quelques conseils pour vous aider à démarrer.Here's some guidance to get you started.

Groupes d'appareilsDevice groups

Si vous souhaitez appliquer des paramètres sur un appareil, quelle que soit la personne qui est connectée, affectez vos profils à un groupe d’appareils.If you want to apply settings on a device, regardless of who's signed in, then assign your profiles to a devices group. Les paramètres appliqués aux groupes d’appareils sont toujours associés à l’appareil, et non à l’utilisateur.Settings applied to device groups always go with the device, not the user.

Par exemple :For example:

  • Les groupes d’appareils sont utiles pour gérer les appareils qui n’ont pas d’utilisateur dédié.Device groups are useful for managing devices that don't have a dedicated user. Par exemple, vous avez des appareils qui impriment des tickets, analysent l’inventaire, sont partagés par des employés lors de différents postes, sont attribués à un entrepôt spécifique, et ainsi de suite.For example, you have devices that print tickets, scan inventory, are shared by shift workers, are assigned to a specific warehouse, and so on. Placez ces appareils dans un groupe d’appareils et affectez vos profils à ce groupe d’appareils.Put these devices in a devices group, and assign your profiles to this devices group.

  • Vous créez un profil d’interface de configuration du microprogramme d’appareil (DFCI) Intune qui met à jour les paramètres dans le BIOS.You create a Device Firmware Configuration Interface (DFCI) Intune profile that updates settings in the BIOS. Par exemple, vous configurez ce profil pour désactiver l’appareil photo ou verrouiller les options de démarrage pour empêcher les utilisateurs de démarrer un autre système d’exploitation.For example, you configure this profile to disable the device camera, or lock down the boot options to prevent users from booting up another OS. Ce profil est un bon scénario à attribuer à un groupe d’appareils.This profile is a good scenario to assign to a devices group.

  • Sur certains appareils Windows spécifiques, vous devez toujours contrôler certains paramètres de Microsoft Edge, quel que soit l’utilisateur qui utilise l’appareil.On some specific Windows devices, you always want to control some Microsoft Edge settings, regardless of who's using the device. Par exemple, vous souhaitez bloquer tous les téléchargements, limiter tous les cookies à la session de navigation active et supprimer l’historique de navigation.For example, you want to block all downloads, limit all cookies to the current browsing session, and delete the browsing history. Pour ce scénario, placez ces appareils Windows spécifiques dans un groupe d’appareils.For this scenario, put these specific Windows devices in a devices group. Ensuite, créez un modèle d’administration dans Intune, ajoutez ces paramètres d’appareil, puis attribuez ce profil au groupe d’appareils.Then, create an Administrative Template in Intune, add these device settings, and then assign this profile to the devices group.

Pour résumer, utilisez des groupes d’appareils lorsque vous ne vous souciez pas de la personne qui est connectée à l’appareil ou de si quelqu’un se connecte.To summarize, use device groups when you don't care who's signed in on the device, or if anyone signs in. Vous souhaitez que vos paramètres se trouvent toujours sur l’appareil.You want your settings to always be on the device.

Groupes d’utilisateursUser groups

Les paramètres de profil appliqués aux groupes d’utilisateurs sont toujours associés à l’utilisateur et s’appliquent lorsqu’il se connecte à ses nombreux appareils.Profile settings applied to user groups always go with the user, and go with the user when signed in to their many devices. Il est normal que les utilisateurs disposent de nombreux appareils, par exemple un Surface Pro pour le travail et un appareil iOS/iPadOS personnel.It's normal for users to have many devices, such as a Surface Pro for work, and a personal iOS/iPadOS device. Et il est normal qu’une personne accède à la messagerie et aux autres ressources de l’organisation à partir de ces appareils.And, it's normal for a person to access email and other organization resources from these devices.

Respectez cette règle générale : Si une fonctionnalité appartient à un utilisateur, par exemple des certificats de messagerie ou d’utilisateur, affectez-la à des groupes d’utilisateurs.Follow this general rule: If a feature belongs to a user, such as email or user certificates, then assign to user groups.

Par exemple :For example:

  • Vous souhaitez placer une icône de support technique pour tous les utilisateurs sur tous leurs appareils.You want to put a Help Desk icon for all users on all their devices. Dans ce scénario, placez ces utilisateurs dans un groupe d’utilisateurs et affectez votre profil d’icône de support technique à ce groupe d’utilisateurs.In this scenario, put these users in a users group, and assign your Help Desk icon profile to this users group.

  • Un utilisateur reçoit un nouvel appareil appartenant à l’organisation.A user receives a new organization-owned device. L’utilisateur se connecte à l’appareil avec son compte de domaine.The user signs in to the device with their domain account. L’appareil est automatiquement inscrit dans Azure AD et géré automatiquement par Intune.The device is automatically registered in Azure AD, and automatically managed by Intune. Ce profil est un bon scénario à attribuer à un groupe d’utilisateurs.This profile is a good scenario to assign to a users group.

  • Chaque fois qu’un utilisateur se connecte à un appareil, vous souhaitez contrôler les fonctionnalités dans des applications, comme OneDrive ou Office.Whenever a user signs in to a device, you want to control features in apps, such as OneDrive or Office. Dans ce scénario, affectez vos paramètres de profil OneDrive ou Office à un groupe d’utilisateurs.In this scenario, assign your OneDrive or Office profile settings to a users group.

    Par exemple, vous souhaitez bloquer les contrôles ActiveX non fiables dans vos applications Office.For example, you want to block untrusted ActiveX controls in your Office apps. Vous pouvez créer un modèle d’administration dans Intune, configurer ce paramètre, puis affecter ce profil à un groupe d’utilisateurs.You can create an Administrative Template in Intune, configure this setting, and then assign this profile to a users group.

Pour résumer, utilisez des groupes d’utilisateurs lorsque vous souhaitez que vos paramètres et règles soient toujours utilisés par l’utilisateur, quel que soit l’appareil qu’il utilise.To summarize, use user groups when you want your settings and rules to always go with the user, whatever device they use.

Exclure des groupes d’une affectation de profilExclude groups from a profile assignment

Les profils de configuration d’appareils Intune permettent d’inclure des groupes dans l’affectation de profils et d’en exclure.Intune device configuration profiles let you include and exclude groups from profile assignment.

Il est recommandé de créer et d’affecter de profils propres aux groupes d’utilisateurs.As a best practice, create and assign profiles specifically for your user groups. Et créez et affectez différents profils propres à vos groupes d’appareils.And, create and assign different profiles specifically for your device groups. Pour plus d’informations sur les groupes, voir Ajouter des groupes pour organiser les utilisateurs et les appareils.For more information on groups, see Add groups to organize users and devices.

Lorsque vous affectez vos profils, appuyez-vous sur le tableau suivant pour inclure et exclure des groupes.When you assign your profiles, use the following table when including and excluding groups. Les affectations prises en charge sont celles qui sont cochées :A checkmark means that assignment is supported:

Options prises en charge : inclure des groupes dans une affectation de profil ou les en exclure

Bon à savoirWhat you should know

  • L’exclusion est prioritaire sur l’inclusion dans les scénarios « même type de groupe » suivants :Exclusion takes precedence over inclusion in the following same group type scenarios:

    • Inclure des groupes d’utilisateurs et exclure des groupes d’utilisateursIncluding user groups and excluding user groups
    • Inclure des groupes d’appareils et exclure des groupes d’appareilsIncluding device groups and excluding device group

    Par exemple, vous pouvez attribuer un profil d’appareil au groupe d’utilisateurs de tous les utilisateurs de l’entreprise, mais exclure des membres du groupe d’utilisateurs des cadres supérieurs.For example, you assign a device profile to the All corporate users user group, but exclude members in the Senior Management Staff user group. Comme les deux groupes sont des groupes d’utilisateurs, Tous les utilisateurs de l’entreprise à l’exception de la Direction reçoivent le profil.Since both groups are user groups, All corporate users except the Senior Management staff get the profile.

  • Intune n’évalue pas les relations entre groupes d’utilisateurs et groupes d’appareils.Intune doesn't evaluate user-to-device group relationships. Si vous affectez des profils à des groupes mixtes, les résultats risquent de ne pas correspondre à votre intention ou à vos attentes.If you assign profiles to mixed groups, the results may not be what you want or expect.

    Supposons par exemple que vous affectiez un profil d’appareil au groupe d’utilisateurs Tous les utilisateurs, mais que vous excluiez un groupe d’appareils Tous les appareils personnels.For example, you assign a device profile to the All Users user group, but exclude an All personal devices device group. Dans cette affectation de profil de groupe mixte, Tous les utilisateurs reçoivent le profil.In this mixed group profile assignment, All users get the profile. L’exclusion ne s’applique pas.The exclusion does not apply.

    Par conséquent, il n’est pas recommandé d’affecter des profils à des groupes mixtes.As a result, it's not recommended to assign profiles to mixed groups.

Étapes suivantesNext steps

Consultez Surveiller les profils d’appareil pour obtenir des conseils sur la surveillance de vos profils et sur les appareils exécutant vos profils.See monitor device profiles for guidance on monitoring your profiles, and the devices running your profiles.