Configurer l’inscription d’appareils Windows

Cet article aide les administrateurs informatiques à simplifier l’inscription Windows pour leurs utilisateurs. Une fois que vous avez configuré Intune, les utilisateurs inscrivent des appareils Windows en se connectant avec leur compte professionnel ou scolaire.

En tant qu’administrateur Intune, vous pouvez simplifier l’inscription de plusieurs manières :

Deux facteurs déterminent la façon dont vous pouvez simplifier l’inscription des appareils Windows :

  • Utilisez-vous Azure Active Directory Premium ? Azure AD Premium est inclus avec Enterprise Mobility + Security et d’autres plans de licence.
  • Quelles versions des clients Windows les utilisateurs vont-ils inscrire ? Les appareils Windows 10 peuvent s’inscrire automatiquement quand vous ajoutez un compte professionnel ou scolaire. L’inscription des versions antérieures doit s’effectuer à l’aide de l’application Portail d’entreprise.
Azure AD Premium Autre AD
Windows 10 Inscription automatique Inscription des utilisateurs
Versions précédentes de Windows Inscription des utilisateurs Inscription des utilisateurs

Les organisations qui peuvent utiliser l’inscription automatique peuvent également configurer l’inscription en bloc des appareils à l’aide de l’application Concepteur de configuration Windows.

Prérequis pour l’inscription d’appareils

Avant qu'un administrateur puisse inscrire des appareils dans Intune pour la gestion, les licences doivent déjà avoir été attribuées au compte de l'administrateur. En savoir plus sur l'attribution de licences pour l'inscription d’appareils.

Vous pouvez également autoriser les administrateurs sans licence à se connecter à MEM. Pour plus d’informations, consultez Administrateurs sans licence.

Prise en charge multiutilisateur

Intune prend en charge plusieurs utilisateurs sur les appareils qui :

  • exécutent la mise à jour Windows 10 Creator
  • sont joints au domaine Azure Active Directory.

Quand des utilisateurs standard se connectent avec leurs informations d’identification Azure AD, ils reçoivent les applications et stratégies affectées à leur nom d’utilisateur. Seul l’utilisateur principal de l’appareil peut utiliser le portail d’entreprise pour des scénarios en libre-service, tels que l’installation d’applications et des actions sur l’appareil (par exemple Supprimer ou Réinitialiser). Pour les appareils Windows 10 partagés qui n'ont pas d'utilisateur principal assigné, le portail d'entreprise peut toujours être utilisé pour installer les applications disponibles.

Activer l’inscription automatique Windows 10

L’inscription automatique permet aux utilisateurs d’inscrire leurs appareils Windows 10 dans Intune. Pour s’inscrire, les utilisateurs ajoutent leur compte professionnel à leurs appareils personnels ou joignent des appareils d’entreprise à Azure Active Directory. En arrière-plan, l’appareil est inscrit et joint à Azure Active Directory. Une fois inscrit, l’appareil est géré avec Intune.

Conditions préalables

Configurer l’inscription automatique de MDM

  1. Connectez-vous au portail Azure et sélectionnez Azure Active Directory > Mobilité (MDM et MAM) > Microsoft Intune.

    Capture d’écran illustrant les sélections dans le portail Azure.

  2. Configurez Portée de l’utilisateur Gestion des données de référence. Spécifiez les appareils des utilisateurs qui doivent être gérés par Microsoft Intune. Ces appareils Windows 10 peuvent s’inscrire automatiquement pour la gestion avec Microsoft Intune.

    • Aucun - Inscription automatique MDM désactivée

    • Quelques-uns : sélectionnez les groupes qui peuvent inscrire automatiquement leurs appareils Windows 10

    • Tous : tous les utilisateurs peuvent inscrire automatiquement leurs appareils Windows 10

      Important

      Pour les appareils Windows BYOD, l’étendue des utilisateurs GAM est prioritaire si l’étendue utilisateur GAM et l’étendue utilisateur MDM (inscription MDM automatique) sont toutes deux activées pour tous les utilisateurs (ou pour les mêmes groupes d’utilisateurs). L’appareil ne sera pas inscrit à MDM et les stratégies Protection des informations Windows seront appliquées si vous les avez configurées.

      Si vous avez l’intention d’activer l’inscription automatique pour les appareils Windows BYOD à MDM : configurez l’étendue utilisateur MDM sur Tous (ou Certains, et spécifiez un groupe) et configurez l’étendue utilisateur GAM sur Aucun (ou Certains, et spécifiez un groupe, en veillant à ce que les utilisateurs ne soient pas membres d’un groupe ciblé à la fois par les étendues utilisateur MDM et GAM).

      Pour les appareils d’entreprise, l’étendue utilisateur MDM est prioritaire si les étendues utilisateur MDM et GAM sont toutes deux activées. L’appareil est automatiquement inscrit dans le MDM configuré.

    Notes

    La portée des utilisateurs MDM doit être définie sur un groupe Azure AD contenant des objets utilisateur.

    La capture d’écran montre le Portail Azure dans lequel vous pouvez configurer l’étendue de l’utilisateur MDM.

  3. Utilisez les valeurs par défaut pour les URL suivantes :

    • URL des conditions d’utilisation de la gestion des données de référence
    • URL de détection MDM
    • URL de conformité GAM
  4. Sélectionnez Enregistrer.

Par défaut, l’authentification à deux facteurs n’est pas activée pour le service. Toutefois, l’authentification à deux facteurs est recommandée au moment de l’inscription d’un appareil. Pour activer l’authentification à deux facteurs, configurez un fournisseur d’authentification à deux facteurs dans Azure AD et configurez vos comptes d’utilisateur pour l’authentification multifacteur. Consultez Bien démarrer avec le serveur Azure Active Directory Multi-Factor Authentication.

Simplifier l’inscription Windows sans Azure AD Premium

Pour simplifier l’inscription, créez un alias DNS (serveur de noms de domaine), avec type d’enregistrement CNAME, qui redirige les demandes d’inscription vers les serveurs Intune. Sinon, les utilisateurs qui tentent de se connecter à Intune doivent entrer le nom du serveur Intune durant l’inscription.

Étape 1 : Créer des enregistrements CNAME (facultatif)

Créez des enregistrements de ressources CNAME DNS pour le domaine de votre entreprise. Par exemple, si le site web de votre entreprise est contoso.com, vous devez créer un enregistrement CNAME DNS qui redirige EnterpriseEnrollment.contoso.com vers EnterpriseEnrollment-s.manage.microsoft.com.

La création d’entrées CNAME dans DNS est facultative, mais les enregistrements CNAME facilitent l’inscription pour les utilisateurs. Si aucun enregistrement CNAME d’inscription n’est trouvé, les utilisateurs sont invités à taper le nom du serveur de gestion des appareils mobiles (enrollment.manage.microsoft.com).

Type Nom de l'hôte Pointe vers TTL
CNAME enterpriseenrollment.domaine_entreprise.com EnterpriseEnrollment-s.manage.microsoft.com 1 heure
CNAME EnterpriseRegistration.domaine_entreprise.com EnterpriseRegistration.windows.net 1 heure

Si l’entreprise utilise plusieurs suffixes UPN, vous devez créer un enregistrement CNAME pour chaque nom de domaine et le faire pointer vers EnterpriseEnrollment-s.manage.microsoft.com. Par exemple, les utilisateurs de Contoso emploient les formats suivants pour l’e-mail/UPN :

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

L’administrateur DNS Contoso doit créer les enregistrements CNAME suivants :

Type Nom de l'hôte Pointe vers TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 heure
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 heure
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 heure

EnterpriseEnrollment-s.manage.microsoft.com : prend en charge une redirection vers le service Intune avec reconnaissance du domaine à partir du nom de domaine de l’e-mail.

La propagation des modifications DNS peut prendre jusqu’à 72 heures. Vous ne pouvez pas vérifier le changement au niveau du DNS dans Intune tant que l’enregistrement DNS ne s’est pas propagé.

Étape 2 : Vérifier les enregistrements CNAME (facultatif)

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Appareils > Windows > Inscription Windows > Validation CNAME.
  2. Dans la zone Domaine, entrez le site web de l’entreprise, puis choisissez Tester.

Points de terminaison supplémentaires non pris en charge

EnterpriseEnrollment-s.manage.microsoft.com est le nom de domaine complet préféré pour l’inscription. Il existe deux autres points terminaux utilisés précédemment et qui fonctionnent toujours. Mais ils ne sont plus pris en charge. EnterpriseEnrollment.manage.microsoft.com (sans le « -s ») et manage.microsoft.com fonctionnent tous deux comme cible pour le serveur de découverte automatique, mais l’utilisateur doit appuyer sur OK sur un message de confirmation. Si vous pointez sur EnterpriseEnrollment-s.manage.microsoft.com, l’utilisateur ne doit pas effectuer d’autre étape de confirmation : il s’agit donc de la configuration recommandée

Les autres méthodes de redirection ne sont pas prises en charge

L’utilisation d’une méthode autre que la configuration CNAME n’est pas prise en charge. Par exemple, l’utilisation d’un serveur proxy pour rediriger enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc vers enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc ou manage.microsoft.com/EnrollmentServer/Discovery.svc n’est pas prise en charge.

Indiquer aux utilisateurs comment inscrire des appareils Windows

Informez vos utilisateurs sur la manière d’inscrire leurs appareils Windows et sur les principes de gestion des appareils.

Notes

Les utilisateurs finaux doivent accéder au site web du Portail d’entreprise par le biais de Microsoft Edge pour afficher les applications Windows que vous avez affectées pour des versions spécifiques de Windows. D’autres navigateurs, notamment Google Chrome, Mozilla Firefox et Internet Explorer, ne prennent pas en charge ce type de filtrage.

Pour obtenir des instructions d’inscription de l’utilisateur final, consultez Inscrire un appareil Windows 10 et Inscrire un appareil Windows 8.1 ou Windows RT 8.1. Vous pouvez également diriger les utilisateurs vers la rubrique Que voit mon administrateur informatique quand j’inscris mon appareil ?.

Important

Si vous n’avez pas activé l’inscription MDM automatique, alors que des appareils Windows 10 sont joints à Azure AD, deux enregistrements sont visibles dans la console Intune après l’inscription. Vous pouvez mettre fin à ce double affichage en vérifiant que les utilisateurs dotés d’appareils joints à Azure AD accèdent à Comptes > Accès Professionnel ou Scolaire et Connect en utilisant le même compte.

Pour plus d’informations sur les tâches de l’utilisateur final, consultez Ressources concernant l’expérience utilisateur final avec Microsoft Intune.

Enregistrements CNAME d’enregistrement et d’inscription

Azure Active Directory possède un autre enregistrement CNAME servant à l’inscription des appareils iOS/iPadOS, Android et Windows. L’accès conditionnel Intune nécessite l’inscription d’appareils, également appelée « rattachement à l’espace de travail ». Si vous prévoyez d’utiliser l’accès conditionnel, vous devez également configurer le CNAME EnterpriseRegistration pour chaque nom de société.

Type Nom de l'hôte Pointe vers TTL
CNAME EnterpriseRegistration. company_domain. com EnterpriseRegistration.windows.net 1 heure

Pour plus d’informations sur l’inscription des appareils, consultez Gérer les identités des appareils à l’aide du portail Azure

Inscription d’appareil et inscription automatique Windows 10

Cette section s’applique aux clients du cloud US Government.

La création d’entrées CNAME dans DNS est facultative, mais les enregistrements CNAME facilitent l’inscription pour les utilisateurs. Si aucun enregistrement CNAME d’inscription n’est trouvé, les utilisateurs sont invités à taper le nom du serveur MDM (enrollment.manage.microsoft.us).

Type Nom de l'hôte Pointe vers TTL
CNAME enterpriseenrollment.domaine_entreprise.com EnterpriseEnrollment-s.manage.microsoft.us 1 heure
CNAME EnterpriseRegistration.domaine_entreprise.com EnterpriseRegistration.windows.net 1 heure

Étapes suivantes