Questions, réponses et scénarios courants avec des stratégies et des profils dans Microsoft Intune

Importante

Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

Si vous utilisez actuellement Windows 8.1, nous vous recommandons de passer aux appareils Windows 10/11. Microsoft Intune dispose de fonctionnalités intégrées de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

Obtenez des réponses aux questions courantes lors de l’utilisation de stratégies dans Intune. Cet article répertorie également les intervalles d’archivage, fournit plus de détails sur les conflits, et bien plus encore.

Cet article s’applique aux stratégies suivantes :

  • Stratégies de protection des applications
  • Stratégies de configuration des applications
  • Stratégies de conformité
  • Stratégies d’accès conditionnel
  • Profils de configuration d’appareil
  • Stratégies d’inscription

Intervalles d’actualisation de la stratégie

Intune indique à l’appareil de s’enregistrer auprès du service Intune. Les délais de notification varient, allant d’un délai immédiat à quelques heures. Ces délais de notification varient également d’une plateforme à l’autre. Sur les appareils Android, Googe Mobile Services (GMS) peut affecter les intervalles d’actualisation des stratégies.

Si un appareil ne se manifeste pas pour obtenir la stratégie ou le profil après la première notification, Intune effectue trois autres tentatives. Un appareil hors connexion, par exemple désactivé ou non connecté à un réseau, peut ne pas recevoir les notifications. Dans ce cas, l’appareil obtient la stratégie ou le profil lors de son prochain archivage planifié auprès du service Intune. Il en va de même pour les vérifications de non-conformité, y compris les appareils qui passent d’un état conforme à un état non conforme.

Fréquences estimées :

Plateforme Cycle d’actualisation
Android, AOSP Environ toutes les 8 heures
iOS/iPadOS Environ toutes les 8 heures
macOS Environ toutes les 8 heures
PC Windows 10/11 inscrits en tant qu’appareils Environ toutes les 8 heures
Windows 8.1 Environ toutes les 8 heures

Si des appareils s’inscrivent récemment, la conformité, la non-conformité et la configuration case activée-in s’exécutent plus fréquemment. Les vérifications sont estimées à :

Plateforme Fréquence
Android, AOSP Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures
iOS/iPadOS Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures
macOS Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures
PC Windows 10/11 inscrits en tant qu’appareils Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis toutes les 8 heures environ
Windows 8.1 Toutes les 5 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures

Pour connaître les intervalles d’actualisation de la stratégie de protection des applications, accédez à Délai de remise de la stratégie de protection des applications.

À tout moment, les utilisateurs peuvent ouvrir l’application Portail d'entreprise, les appareils>vérifient l’état oula synchronisationdes paramètres> pour case activée immédiatement les mises à jour de stratégie ou de profil. Pour plus d’informations sur l’agent d’extension de gestion Intune ou les applications Win32, consultez Gestion d’applications Win32 dans Microsoft Intune.

Actions Intune qui envoient immédiatement une notification à un appareil

Différentes actions peuvent déclencher une notification. Par exemple quand une stratégie, un profil ou une application est attribué (ou non attribué), mis à jour, supprimé, etc. La durée de ces actions varient d’une plateforme à l’autre.

Les appareils s’enregistrent auprès d’Intune lorsqu’ils reçoivent une notification d’enregistrement ou pendant leur enregistrement planifié. Quand vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l’appareil qu’il doit effectuer un check-in pour recevoir ces mises à jour. Par exemple, une notification se produit lorsqu’une action de verrouillage, de réinitialisation de code secret, d’application ou d’attribution de stratégie s’exécute.

D’autres modifications n’entraînent pas de notification immédiate aux appareils, y compris la révision des informations de contact dans l’application Portail d'entreprise ou les mises à jour d’un .ipa fichier.

Les paramètres de la stratégie ou du profil sont appliqués à chaque check-in. Un billet de blog client Windows 10 l’actualisation de la stratégie MDM peut être une bonne ressource.

Conflicts

Des conflits peuvent se produire lorsque différentes stratégies mettent à jour le même paramètre avec des valeurs différentes. Par exemple, vous avez deux stratégies qui mettent à jour le paramètre copier/coller avec des valeurs différentes. Le conflit est géré différemment selon le type de stratégie.

Protection d'applications stratégies en conflit

Les valeurs de conflit sont les paramètres les plus restrictifs disponibles dans une stratégie de protection des applications. L’exception concerne les champs d’entrée numériques, tels que les tentatives de code confidentiel avant la réinitialisation. Les champs de saisie numérique sont définis de la même manière que les valeurs, comme si vous aviez créé une politique MAM en utilisant l'option de paramètres recommandés.

Des conflits se produisent lorsque deux paramètres de profil sont identiques. Par exemple, vous avez configuré deux stratégies GAM identiques, à l’exception du paramètre de copier/coller. Dans ce scénario, le paramètre copier/coller est définie sur la valeur la plus restrictive. Le reste des paramètres s’appliquent comme configuré.

Une stratégie est déployée sur l’application et entre en vigueur. Une deuxième stratégie est déployée. Dans ce scénario, la première stratégie est prioritaire et reste appliquée. La deuxième stratégie est signalée comme conflictuelle. Si les deux sont appliquées en même temps, ce qui signifie qu’aucune d’elles n’est prioritaire, elles sont toutes les deux en conflit. Tous les paramètres en conflit sont définis sur les valeurs les plus restrictives.

Stratégies de conformité et de configuration d’appareil en conflit

Lorsque plusieurs stratégies sont affectées au même utilisateur ou appareil, le paramètre qui s’applique se produit au niveau du paramètre individuel :

  • Si vous utilisez des stratégies de conformité personnalisées pour définir les paramètres de l’appareil, les paramètres de la stratégie de conformité personnalisée sont prioritaires sur le même paramètre dans les stratégies de configuration d’appareil. Les paramètres de stratégie de conformité ont toujours la priorité sur les paramètres de profil de configuration.

  • Si une stratégie de conformité s’applique au même paramètre d’une autre stratégie de conformité, le paramètre de la stratégie de conformité la plus restrictive s’applique.

  • Si un paramètre de stratégie de configuration est en conflit avec un paramètre d’une autre stratégie de configuration, ce conflit est signalé dans Intune. Corrigez ces conflits manuellement.

Dans le Centre d’administration Intune, vous pouvez créer des stratégies de configuration, notamment l’analytique stratégie de groupe, la sécurité des points de terminaison, les bases de référence de sécurité, etc. S’il existe un conflit et que vous avez plusieurs stratégies, case activée tous les emplacements que vous avez configurés. En outre, les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.

Stratégies iOS/iPadOS ou macOS personnalisées en conflit

Intune n’évalue pas la charge utile des fichiers de configuration Apple ou une stratégie OMA-URI (Open Mobile Alliance Uniform Resource Identifier) personnalisée. Son rôle se limite simplement au mécanisme de livraison.

Lorsque vous attribuez une stratégie personnalisée, vérifiez que les paramètres configurés ne sont pas en conflit avec les stratégies de conformité, de configuration ou d’autres stratégies personnalisées. Si une stratégie personnalisée et ses paramètres sont en conflit, Apple applique les paramètres de manière aléatoire.

Les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.

Un profil est supprimé ou n’est plus applicable

Lorsque vous supprimez un profil ou que vous retirez un appareil d'un groupe auquel le profil est attribué, le profil et les paramètres sont retirés de l’appareil. Plus précisément, ceux-ci sont supprimés comme décrit dans la liste suivante :

  • Profils Wi-Fi, VPN, de certificat et de messagerie : ces profils sont supprimés de tous les appareils inscrits et pris en charge.

  • Tous les autres types de profils :

    • Appareils Android : les paramètres ne sont pas supprimés de l’appareil.

    • iOS/iPadOS : tous les paramètres sont supprimés, sauf :

      • Autoriser l'itinérance vocale
      • Autoriser l'itinérance des données
      • Autoriser la synchronisation automatique lors de l'itinérance
    • Appareils Windows : après avoir supprimé ou désaffecté le profil, faites en Microsoft Entra’utilisateur la connexion à l’appareil et la synchronisation avec le service Intune.

      les paramètres Intune s’appuient sur le fournisseur de services de configuration Windows. Le comportement dépend du fournisseur. Certains fournisseurs suppriment ce paramètre, d’autres le conservent.

  • Un profil s’applique à un groupe d’utilisateurs. Par la suite, un utilisateur est supprimé de ce groupe. Pour que les paramètres soient retirés à cet utilisateur, il faut compter jusqu'à 7 heures ou plus :

J’ai modifié un profil de restriction d’appareil, mais les modifications n’ont pas pris effet

Pour appliquer un profil moins restrictif, certains appareils peuvent avoir besoin d’être mis hors service et réinscrits dans Intune. Par exemple, vous devrez peut-être mettre hors service et réinscrire des appareils clients Android, iOS/iPadOS et Windows.

Certains paramètres d’un profil Windows 10/11 retournent le message « Non applicable »

Certains paramètres sur les appareils clients Windows peuvent s’afficher comme Non applicable. Dans cette situation, ce paramètre spécifique n’est pas pris en charge sur la version ou l’édition de Windows en cours d’exécution sur l’appareil. Ce message peut apparaître pour les raisons suivantes :

  • Le paramètre est disponible uniquement pour les versions les plus récentes de Windows, et pas pour la version actuelle du système d’exploitation sur l’appareil.
  • Le paramètre est disponible uniquement pour des éditions de Windows ou des références SKU spécifiques, par exemple les éditions Familiale, Professionnel, Entreprise et Éducation.

Pour en savoir plus sur les exigences de version et d’édition pour les différents paramètres, consultez la référence fournisseur de services de configuration (CSP).

Lorsque les appareils s’inscrivent, l’application des applications et des stratégies affectées à des groupes d’appareils dynamiques est retardée

Lors de l’inscription, vous pouvez utiliser Microsoft Entra groupes d’appareils dynamiques. Par exemple, vous pouvez créer un groupe d’appareils dynamique basé sur le nom ou le profil d’inscription d’un appareil.

Le profil d’inscription est appliqué à l’enregistrement de l’appareil lors de la configuration initiale de l’appareil. Microsoft Entra regroupement dynamique n’est pas instantané. L’appareil peut ne pas se trouver dans le groupe dynamique pendant un certain temps, peut-être quelques minutes ou plusieurs heures, en fonction des autres modifications apportées dans votre locataire.

Si l’appareil n’est pas ajouté au groupe, vos applications et stratégies ne sont pas affectées à l’appareil pendant la case activée Intune initiale. Les stratégies peuvent ne pas s’appliquer avant la prochaine case activée planifiée.

Si la livraison rapide d’applications et de stratégies est importante pour votre scénario d’installation/inscription, affectez vos applications et stratégies à des groupes d’utilisateurs, et non à des groupes d’appareils dynamiques. Les groupes d’utilisateurs sont préremplies avec des membres avant la configuration de l’appareil et n’ont pas ce délai.

Pour plus d’informations sur les groupes dynamiques, accédez à :

Prochaines étapes