Configurer l’inscription d’appareils WindowsSet up enrollment for Windows devices

Cet article aide les administrateurs informatiques à simplifier l’inscription Windows pour leurs utilisateurs.This article helps IT administrators simplify Windows enrollment for their users. Une fois que vous avez configuré Intune, les utilisateurs inscrivent des appareils Windows en se connectant avec leur compte professionnel ou scolaire.Once you've set up Intune, users enroll Windows devices by signing in with their work or school account.

En tant qu’administrateur Intune, vous pouvez simplifier l’inscription de plusieurs manières :As an Intune admin, you can simplify enrollment in the following ways:

Deux facteurs déterminent la façon dont vous pouvez simplifier l’inscription des appareils Windows :Two factors determine how you can simplify Windows device enrollment:

  • Utilisez-vous Azure Active Directory Premium ?Do you use Azure Active Directory Premium?
    Azure AD Premium est inclus avec Enterprise Mobility + Security et d’autres plans de licence.Azure AD Premium is included with Enterprise Mobility + Security and other licensing plans.
  • Quelles versions des clients Windows les utilisateurs vont-ils inscrire ?What versions of Windows clients will users enroll?
    Les appareils Windows 10 peuvent s’inscrire automatiquement quand vous ajoutez un compte professionnel ou scolaire.Windows 10 devices can automatically enroll by adding a work or school account. L’inscription des versions antérieures doit s’effectuer à l’aide de l’application Portail d’entreprise.Earlier versions must enroll using the Company Portal app.
Azure AD PremiumAzure AD Premium Autre ADOther AD
Windows 10Windows 10 Inscription automatiqueAutomatic enrollment Inscription des utilisateursUser enrollment
Versions précédentes de WindowsEarlier Windows versions Inscription des utilisateursUser enrollment Inscription des utilisateursUser enrollment

Les organisations qui peuvent utiliser l’inscription automatique peuvent également configurer l’inscription en bloc des appareils à l’aide de l’application Concepteur de configuration Windows.Organizations that can use automatic enrollment can also configure bulk enroll devices by using the Windows Configuration Designer app.

Prérequis pour l’inscription d’appareilsDevice enrollment prerequisites

Avant qu'un administrateur puisse inscrire des appareils dans Intune pour la gestion, les licences doivent déjà avoir été attribuées au compte de l'administrateur.Before an administrator can enroll devices to Intune for management, licenses should have already been assigned to the administrator's account. En savoir plus sur l'attribution de licences pour l'inscription d’appareilsRead about assigning licenses for device enrollment

Prise en charge multiutilisateurMulti-user support

Intune prend en charge plusieurs utilisateurs sur les appareils qui :Intune supports multiple users on devices that both:

  • exécutent la mise à jour Windows 10 Creatorrun the Windows 10 Creator's update
  • sont joints au domaine Azure Active Directory.are Azure Active Directory domain-joined.

Quand des utilisateurs standard se connectent avec leurs informations d’identification Azure AD, ils reçoivent les applications et stratégies affectées à leur nom d’utilisateur.When standard users sign in with their Azure AD credentials, they receive apps and policies assigned to their user name. Seul l’utilisateur principal de l’appareil peut utiliser le portail d’entreprise pour des scénarios en libre-service, tels que l’installation d’applications et l’exécution d’actions sur l’appareil (Supprimer, Réinitialiser).Only the device's Primary user can use the Company Portal for self-service scenarios like installing apps and performing device actions (Remove, Reset). Pour les appareils Windows 10 partagés qui n'ont pas d'utilisateur principal assigné, le portail d'entreprise peut toujours être utilisé pour installer les applications disponibles.For shared Windows 10 devices that do not have a primary user assigned, the Company Portal can still be used to install Available apps.

Activer l’inscription automatique Windows 10Enable Windows 10 automatic enrollment

L’inscription automatique permet aux utilisateurs d’inscrire leurs appareils Windows 10 dans Intune.Automatic enrollment lets users enroll their Windows 10 devices in Intune. Pour s’inscrire, les utilisateurs ajoutent leur compte professionnel à leurs appareils personnels ou joignent des appareils d’entreprise à Azure Active Directory.To enroll, users add their work account to their personally owned devices or join corporate-owned devices to Azure Active Directory. En arrière-plan, l’appareil est inscrit et joint à Azure Active Directory.In the background, the device registers and joins Azure Active Directory. Une fois inscrit, l’appareil est géré avec Intune.Once registered, the device is managed with Intune.

Conditions préalablesPrerequisites

Configurer l’inscription automatique de MDMConfigure automatic MDM enrollment

  1. Connectez-vous au Portail Azure, puis sélectionnez Azure Active Directory.Sign in to the Azure portal, and select Azure Active Directory.

    Capture d’écran montrant le portail Azure

  2. Sélectionnez Mobilité (gestion des données de référence et gestion des applications mobiles) .Select Mobility (MDM and MAM).

    Capture d’écran montrant le portail Azure

  3. Sélectionnez Microsoft Intune.Select Microsoft Intune.

    Capture d’écran montrant le portail Azure

  4. Configurez Portée de l’utilisateur Gestion des données de référence.Configure MDM User scope. Spécifiez les appareils des utilisateurs qui doivent être gérés par Microsoft Intune.Specify which users' devices should be managed by Microsoft Intune. Ces appareils Windows 10 peuvent s’inscrire automatiquement pour la gestion avec Microsoft Intune.These Windows 10 devices can automatically enroll for management with Microsoft Intune.

    • Aucun - Inscription automatique MDM désactivéeNone - MDM automatic enrollment disabled

    • Quelques-uns : sélectionnez les groupes qui peuvent inscrire automatiquement leurs appareils Windows 10Some - Select the Groups that can automatically enroll their Windows 10 devices

    • Tous : tous les utilisateurs peuvent inscrire automatiquement leurs appareils Windows 10All - All users can automatically enroll their Windows 10 devices

      Important

      Pour les appareils Windows BYOD, l’étendue des utilisateurs GAM est prioritaire si l’étendue utilisateur GAM et l’étendue utilisateur MDM (inscription MDM automatique) sont toutes deux activées pour tous les utilisateurs (ou pour les mêmes groupes d’utilisateurs).For Windows BYOD devices, the MAM user scope takes precedence if both the MAM user scope and the MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). L’appareil ne sera pas inscrit à MDM et les stratégies Protection des informations Windows seront appliquées si vous les avez configurées.The device will not be MDM enrolled, and Windows Information Protection (WIP) Policies will be applied if you have configured them.

      Si vous avez l’intention d’activer l’inscription automatique pour les appareils Windows BYOD à MDM : configurez l’étendue utilisateur MDM sur Tous (ou Certains, et spécifiez un groupe) et configurez l’étendue utilisateur GAM sur Aucun (ou Certains, et spécifiez un groupe, en veillant à ce que les utilisateurs ne soient pas membres d’un groupe ciblé à la fois par les étendues utilisateur MDM et GAM).If your intent is to enable automatic enrollment for Windows BYOD devices to an MDM: configure the MDM user scope to All (or Some, and specify a group) and configure the MAM user scope to None (or Some, and specify a group – ensuring that users are not members of a group targeted by both MDM and MAM user scopes).

      Pour les appareils d’entreprise, l’étendue utilisateur MDM est prioritaire si les étendues utilisateur MDM et GAM sont toutes deux activées.For corporate devices, the MDM user scope takes precedence if both MDM and MAM user scopes are enabled. L’appareil est automatiquement inscrit dans le MDM configuré.The device will get automatically enrolled in the configured MDM.

    Notes

    La portée des utilisateurs MDM doit être définie sur un groupe Azure AD contenant des objets utilisateur.MDM user scope must be set to an Azure AD group that contains user objects.

    Capture d’écran montrant le portail Azure

  5. Utilisez les valeurs par défaut pour les URL suivantes :Use the default values for the following URLs:

    • URL des conditions d’utilisation de la gestion des données de référenceMDM Terms of use URL
    • URL de détection MDMMDM Discovery URL
    • URL de conformité GAMMDM Compliance URL
  6. Sélectionnez Enregistrer.Select Save.

Par défaut, l’authentification à deux facteurs n’est pas activée pour le service.By default, two-factor authentication is not enabled for the service. Toutefois, l’authentification à deux facteurs est recommandée au moment de l’inscription d’un appareil.However, two-factor authentication is recommended when registering a device. Pour activer l’authentification à deux facteurs, configurez un fournisseur d’authentification à deux facteurs dans Azure AD et configurez vos comptes d’utilisateur pour l’authentification multifacteur.To enable two-factor authentication, configure a two-factor authentication provider in Azure AD and configure your user accounts for multi-factor authentication. Consultez Bien démarrer avec le serveur Multi-Factor Authentication.See Getting started with the Azure Multi-Factor Authentication Server.

Simplifier l’inscription Windows sans Azure AD PremiumSimplify Windows enrollment without Azure AD Premium

Pour simplifier l’inscription, créez un alias DNS (serveur de noms de domaine), avec type d’enregistrement CNAME, qui redirige les demandes d’inscription vers les serveurs Intune.To simplify enrollment, create a domain name server (DNS) alias (CNAME record type) that redirects enrollment requests to Intune servers. Sinon, les utilisateurs qui tentent de se connecter à Intune doivent entrer le nom du serveur Intune durant l’inscription.Otherwise, users trying to connect to Intune must enter the Intune server name during enrollment.

Étape 1 : Créer des enregistrements CNAME (facultatif)Step 1: Create CNAME (optional)
Créez des enregistrements de ressources CNAME DNS pour le domaine de votre entreprise.Create CNAME DNS resource records for your company's domain. Par exemple, si le site web de votre entreprise est contoso.com, vous devez créer un enregistrement CNAME DNS qui redirige EnterpriseEnrollment.contoso.com vers EnterpriseEnrollment-s.manage.microsoft.com.For example, if your company's website is contoso.com, you would create a CNAME in DNS that redirects EnterpriseEnrollment.contoso.com to enterpriseenrollment-s.manage.microsoft.com.

La création d’entrées CNAME dans DNS est facultative, mais les enregistrements CNAME facilitent l’inscription pour les utilisateurs.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Si aucun enregistrement CNAME d’inscription n’est trouvé, les utilisateurs sont invités à taper le nom du serveur de gestion des appareils mobiles (enrollment.manage.microsoft.com).If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.com.

TypeType Nom de l'hôteHost name Pointe versPoints to TTLTTL
CNAMECNAME enterpriseenrollment.domaine_entreprise.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 heure1 hour
CNAMECNAME EnterpriseRegistration.domaine_entreprise.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 heure1 hour

Si l’entreprise utilise plusieurs suffixes UPN, vous devez créer un enregistrement CNAME pour chaque nom de domaine et le faire pointer vers EnterpriseEnrollment-s.manage.microsoft.com.If the company uses more than one UPN suffix, you need to create one CNAME for each domain name and point each one to EnterpriseEnrollment-s.manage.microsoft.com. Par exemple, les utilisateurs de Contoso emploient les formats suivants pour l’e-mail/UPN :For example, users at Contoso use the following formats as their email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

L’administrateur DNS Contoso doit créer les enregistrements CNAME suivants :The Contoso DNS admin should create the following CNAMEs:

TypeType Nom de l'hôteHost name Pointe versPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.contoso.comEnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 heure1 hour
CNAMECNAME EnterpriseEnrollment.us.contoso.comEnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 heure1 hour
CNAMECNAME EnterpriseEnrollment.eu.contoso.comEnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 heure1 hour

EnterpriseEnrollment-s.manage.microsoft.com : prend en charge une redirection vers le service Intune avec reconnaissance du domaine à partir du nom de domaine de l’e-mail.EnterpriseEnrollment-s.manage.microsoft.com – Supports a redirect to the Intune service with domain recognition from the email's domain name

La propagation des modifications DNS peut prendre jusqu’à 72 heures.Changes to DNS records might take up to 72 hours to propagate. Vous ne pouvez pas vérifier le changement au niveau du DNS dans Intune tant que l’enregistrement DNS ne s’est pas propagé.You can't verify the DNS change in Intune until the DNS record propagates.

Les points de terminaison supplémentaires sont utilisés mais plus pris en chargeAdditional endpoints are used but no longer supported

EnterpriseEnrollment-s.manage.microsoft.com est le nom de domaine complet préféré pour l’inscription.EnterpriseEnrollment-s.manage.microsoft.com is the preferred FQDN for enrollment. Il existe deux autres points de terminaison qui ont été utilisés par les clients par le passé et qui continuent de fonctionner, mais ils ne sont plus pris en charge.There are two other endpoints that have been used by customers in the past and still work, but they are no longer supported. EnterpriseEnrollment.manage.microsoft.com (sans le « -s ») et manage.microsoft.com fonctionnent tous deux comme cible pour le serveur de découverte automatique, mais l’utilisateur doit appuyer sur OK sur un message de confirmation.EnterpriseEnrollment.manage.microsoft.com (without the -s) and manage.microsoft.com both work as the target for the auto-discovery server, but the user will have to touch OK on a confirmation message. Si vous pointez sur EnterpriseEnrollment-s.manage.microsoft.com, l’utilisateur ne doit pas effectuer l’étape de confirmation supplémentaire : il s’agit donc de la configuration recommandée.If you point to EnterpriseEnrollment-s.manage.microsoft.com, the user won't have to do the additional confirmation step, so this is the recommended configuration

Les autres méthodes de redirection ne sont pas prises en chargeAlternate Methods of Redirection Are Not Supported

L’utilisation d’une méthode autre que la configuration CNAME n’est pas prise en charge.Using a method other than the CNAME configuration is not supported. Par exemple, l’utilisation d’un serveur proxy pour rediriger enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc vers enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc ou manage.microsoft.com/EnrollmentServer/Discovery.svc n’est pas prise en charge.For example, using a proxy server to redirect enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc to either enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc or manage.microsoft.com/EnrollmentServer/Discovery.svc is not supported.

Étape 2 : Vérifier les enregistrements CNAME (facultatif)Step 2: Verify CNAME (optional)

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Appareils > Windows > Inscription Windows > Validation CNAME.In the Microsoft Endpoint Manager admin center, choose Devices > Windows > Windows enrollment > CNAME Validation.
  2. Dans la zone Domaine, entrez le site web de l’entreprise, puis choisissez Tester.In the Domain box, enter the company website and then choose Test.

Indiquer aux utilisateurs comment inscrire des appareils WindowsTell users how to enroll Windows devices

Informez vos utilisateurs sur la manière d’inscrire leurs appareils Windows et sur les principes de gestion des appareils.Tell your users how to enroll their Windows devices and what to expect after they're brought into management.

Notes

Les utilisateurs finaux doivent accéder au site web du Portail d’entreprise par le biais de Microsoft Edge pour afficher les applications Windows que vous avez affectées pour des versions spécifiques de Windows.End users must access the Company Portal website through Microsoft Edge to view Windows apps that you've assigned for specific versions of Windows. D’autres navigateurs, notamment Google Chrome, Mozilla Firefox et Internet Explorer, ne prennent pas en charge ce type de filtrage.Other browsers, including Google Chrome, Mozilla Firefox, and Internet Explorer do not support this type of filtering.

Pour obtenir des instructions d’inscription pour l’utilisateur final, consultez Inscrire un appareil Windows dans Intune.For end-user enrollment instructions, see Enroll your Windows device in Intune. Vous pouvez également diriger les utilisateurs vers la rubrique Que voit mon administrateur informatique quand j’inscris mon appareil ?.You can also tell users to review What can my IT admin see on my device.

Important

Si vous n’avez pas activé l’inscription MDM automatique, alors que des appareils Windows 10 sont joints à Azure AD, deux enregistrements sont visibles dans la console Intune après l’inscription.If you do not have Auto-MDM enrollment enabled, but you have Windows 10 devices that have been joined to Azure AD, two records will be visible in the Intune console after enrollment. Vous pouvez mettre fin à ce double affichage en vérifiant que les utilisateurs dotés d’appareils joints à Azure AD accèdent à Comptes > Accès Professionnel ou Scolaire et Connect en utilisant le même compte.You can stop this by making sure that users with Azure AD joined devices go to Accounts > Access work or school and Connect using the same account.

Pour plus d’informations sur les tâches de l’utilisateur final, consultez Ressources concernant l’expérience utilisateur final avec Microsoft Intune.For more information about end-user tasks, see Resources about the end-user experience with Microsoft Intune.

Enregistrements CNAME d’enregistrement et d’inscriptionRegistration and Enrollment CNAMEs

Azure Active Directory possède un autre enregistrement CNAME servant à l’inscription des appareils iOS/iPadOS, Android et Windows.Azure Active Directory has a different CNAME that it uses for device registration for iOS/iPadOS, Android, and Windows devices. L’accès conditionnel Intune nécessite l’inscription d’appareils, également appelée « rattachement à l’espace de travail ».Intune conditional access requires devices to be registered, also called "workplace joined". Si vous prévoyez d’utiliser l’accès conditionnel, vous devez également configurer le CNAME EnterpriseRegistration pour chaque nom de société.If you plan to use conditional access, you should also configure the EnterpriseRegistration CNAME for each company name you have.

TypeType Nom de l'hôteHost name Pointe versPoints to TTLTTL
CNAMECNAME EnterpriseRegistration.EnterpriseRegistration. company_domain. comcompany_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 heure1 hour

Pour plus d’informations sur l’inscription des appareils, consultez Gérer les identités des appareils à l’aide du portail AzureFor more information about device registration, see Manage device identities using the Azure portal

Inscription d’appareil et inscription automatique Windows 10Windows 10 auto enrollment and device registration

Cette section s’applique aux clients du cloud US Government.This section applies to US government cloud customers.

La création d’entrées CNAME dans DNS est facultative, mais les enregistrements CNAME facilitent l’inscription pour les utilisateurs.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Si aucun enregistrement CNAME d’inscription n’est trouvé, les utilisateurs sont invités à taper le nom du serveur MDM (enrollment.manage.microsoft.us).If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.us.

TypeType Nom de l'hôteHost name Pointe versPoints to TTLTTL
CNAMECNAME enterpriseenrollment.domaine_entreprise.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.usEnterpriseEnrollment-s.manage.microsoft.us 1 heure1 hour
CNAMECNAME EnterpriseRegistration.domaine_entreprise.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 heure1 hour

Étapes suivantesNext steps