Configurer la page d’état d’inscription

S’applique à

  • Windows 10
  • Windows 11

La page d’état d’inscription (ESP) affiche l’état d’approvisionnement pour les personnes qui inscrivent des appareils Windows et se connectent pour la première fois. Vous pouvez configurer ESP pour bloquer l’utilisation des appareils jusqu’à ce que toutes les stratégies et applications requises soient installées. Les utilisateurs de l’appareil peuvent examiner ESP pour suivre l’étendue de leur appareil dans le processus d’installation.

L’ESP peut être déployé pendant l’expérience OOBE (Out-of-Box Experience) par défaut pour la jonction Azure Active Directory (Azure AD) et tout scénario d’approvisionnement Windows Autopilot.

Pour déployer la ESP sur des appareils, vous devez créer un profil ESP dans Microsoft Intune. Dans le profil, vous pouvez configurer les paramètres ESP qui contrôlent :

  • Visibilité des indicateurs de progression de l’installation
  • Accès aux appareils pendant l’approvisionnement
  • Limites de temps
  • Opérations de résolution des problèmes autorisées

Cet article décrit les informations que la page d’état d’inscription suit et comment créer un profil ESP.

Fournisseur de solutions Cloud Windows

ESP utilise le Fournisseur de services de configuration EnrollmentStatusTrackingetFournisseur de services de configuration FirstSyncStatus pour suivre l’installation de l’application.

Créer un nouveau profil

  1. Sélectionnez Windows > Inscription Windows > Page d’état d’inscription.

  2. Sélectionnez Créer.

  3. Dans Informations de base, entrez les propriétés suivantes :

    • Nom: nommez votre profil pour pouvoir l’identifier facilement ultérieurement.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
  4. Sélectionnez Suivant.

  5. Dans Paramètres, configurez les paramètres suivants :

    • Afficher la progression de la configuration des applications et des profils : Vos options :

      • Non : la page d’état de l’inscription n’apparaît pas pendant la configuration de l’appareil. Sélectionnez cette option si vous ne souhaitez pas afficher l’ESP aux utilisateurs.
      • Oui : la page état de l’inscription s’affiche pendant la configuration de l’appareil.
    • Afficher une erreur lorsque l’installation prend plus de minutes que le nombre spécifié : le délai d’attente par défaut est de 60 minutes. Entrez une valeur plus élevée si vous pensez que plus de temps est nécessaire pour installer des applications sur vos appareils.

    • Afficher un message personnalisé en cas de dépassement de délai ou d'erreur : Incluez un message qui indique aux gens ce qui s'est passé et qui doit être contacté pour obtenir de l'aide. Vos options :

      • Non : le message par défaut s’affiche pour les utilisateurs lorsqu’une erreur se produit. Ce message est le suivant : « Impossible d’effectuer le programme d’installation. Veuillez réessayer ou contacter la personne chargée du support technique pour obtenir de l’aide. »
      • Oui : votre message personnalisé s’affiche aux utilisateurs lorsqu’une erreur se produit. Entrez votre message dans la zone de texte fournie.
    • Activer la collecte des journaux et la page de diagnostic pour les utilisateurs finaux : Les journaux et les diagnostics de l'utilisateur peuvent faciliter le dépannage, nous vous recommandons donc d'activer cette option. Vos options :

      • Non : le bouton collecter les journaux n’est pas affiché aux utilisateurs lorsqu’une erreur d’installation se produit. La page de diagnostics Windows Autopilot n’est pas affichée sur les appareils exécutant Windows 11.
      • Oui : le bouton collecter les journaux s’affiche pour les utilisateurs lorsqu’une erreur d’installation se produit. La page de diagnostics Windows Autopilot s’affiche sur les appareils exécutant Windows 11.
    • Afficher uniquement la page sur les appareils approvisionnés par out-of-box experience (OOBE): Vos options :

      • Non : La page d'état de l'inscription s'affiche sur tous les appareils gérés et cogérés par Intune qui passent par l'expérience de sortie de boîte (OOBE), et au premier utilisateur qui se connecte à chaque appareil. Ainsi, les utilisateurs suivants qui se connectent ne voient pas l'ESP.
      • Oui : la page d’état de l’inscription s’affiche uniquement sur les appareils qui passent par l’out-of-box experience (OOBE).

      Conseil

      Si vous souhaitez que l’ESP s’affiche uniquement sur les appareils Autopilot lors de la configuration initiale de l’appareil, sélectionnez l’option Non . Créez ensuite un profil ESP, choisissez l’option Oui et ciblez le profil sur un groupe d’appareils Autopilot.

    • Bloquer l’utilisation de l’appareil jusqu’à ce que toutes les applications et profils soient installés : Vos options :

      • Non : les utilisateurs peuvent quitter l’ESP avant la fin de la configuration de l’appareil par Intune.
      • Oui : les utilisateurs ne peuvent pas quitter l’ESP tant qu’Intune n’a pas terminé la configuration de l’appareil. Cette option déverrouille des paramètres supplémentaires pour ce scénario.
    • Autoriser les utilisateurs à réinitialiser l’appareil si une erreur d’installation se produit : Vos options :

      • Non : l’ESP ne donne pas aux utilisateurs la possibilité de réinitialiser leurs appareils en cas d’échec de l’installation.
      • Oui : l’ESP permet aux utilisateurs de réinitialiser leurs appareils en cas d’échec d’une installation.
    • Autoriser les utilisateurs à utiliser l’appareil si une erreur d’installation se produit : Vos options :

      • Non : l’ESP ne donne pas aux utilisateurs la possibilité de contourner l’ESP en cas d’échec de l’installation.
      • Oui : l’ESP donne aux utilisateurs la possibilité de contourner l’ESP et d’utiliser leurs appareils en cas d’échec de l’installation.
    • Bloquer l’utilisation de l’appareil jusqu’à ce que ces applications requises soient installées si elles sont affectées à l’utilisateur/l’appareil : Vos options :

      • Tous : toutes les applications affectées doivent être installées avant que les utilisateurs puissent utiliser leurs appareils.
      • Sélectionné : Les applications Select doivent être installées avant que les utilisateurs puissent utiliser leurs appareils. Choisissez cette option à sélectionner parmi vos applications gérées.
  6. Sélectionnez Suivant.

  7. Dans Affectations, sélectionnez les groupes qui recevront votre profil. Si vous le souhaitez, sélectionnez Modifier le filtre pour restreindre davantage l’attribution.

    Notes

    En raison de restrictions de système d’exploitation, une sélection limitée de filtres est disponible pour les affectations ESP. Le sélecteur affiche uniquement les filtres dont les règles sont définies pour les propriétés osVersion, operatingSystemSKU, et enrollmentProfileName. Les filtres qui contiennent d’autres propriétés ne sont pas disponibles.

  8. Sélectionnez Suivant.

  9. Si vous le souhaitez, dans Balises d'étendue , attribuez une balise pour limiter la gestion du profil à des groupes informatiques spécifiques, tels que US-NC IT TeamouJohnGlenn_ITDepartment . Sélectionnez ensuite Suivan t .

    Notes

    Limite des balises d’étendue qui peuvent voir et améliorer les profils ESP dans le centre d’administration. Un utilisateur délimité peut indiquer la priorité relative de son profil, même s’il ne peut pas voir tous les autres profils dans Intune. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

  10. Dans Vérifier + créer, passez en revue vos paramètres. Après avoir sélectionné Créer, vos modifications sont enregistrées et le profil est attribué. Une fois déployé, le profil est appliqué la prochaine fois que les appareils s’archivent. Vous pouvez accéder au profil à partir de votre liste de profils.

Modifier le profil par défaut

Intune applique le profil par défaut à tous les utilisateurs et à tous les appareils lorsqu’aucun autre profil ESP n’est disponible pour l’attribution. Vous pouvez configurer le profil par défaut pour afficher ou masquer l’ESP.

  1. Connectez-vous au centre d’administration Microsoft Endpoint Manager et sélectionnez Appareils.

  2. Sélectionnez Windows > Inscription Windows > Page d’état d’inscription.

  3. Sélectionnez le profil Par défaut dans le tableau.

  4. Sélectionnez Propriétés.

  5. Accédez à la section Paramètres et sélectionnez Modifier.

  6. Configurez l'option Afficher la progression de l'installation de l'application et du profil pour définir le comportement du profil par défaut. Vos options :

    • Non : l’ESP n’est pas visible pour les utilisateurs lors de la configuration et de la sign-in initiales de l’appareil.
    • Oui : l’ESP est visible par les utilisateurs lors de la configuration initiale de l’appareil et de la connexion.

    Si vous sélectionnez Oui, vous pouvez configurer d’autres paramètres.

  7. Sélectionnez Vérifier + enregistrer.

  8. Passez en revue le résumé des modifications, puis sélectionnez Enregistrer.

Hiérarchiser les profils

Si vous attribuez un utilisateur ou un appareil à plusieurs profils ESP, le profil ayant la priorité la plus élevée est prioritaire sur les autres profils. Le profil défini sur 1 a la plus haute priorité.

Intune applique les profils dans l’ordre suivant :

  1. Intune applique le profil de priorité la plus élevée attribué à l’appareil.
  2. Si aucun profil n’est ciblé sur l’appareil, Intune applique le profil de priorité la plus élevée attribué à l’utilisateur. Cela fonctionne uniquement dans les scénarios où il existe un utilisateur. Dans les scénarios de gant blanc et de déploiement automatique, seuls les profils ciblés sur les appareils peuvent être appliqués.
  3. Si aucun profil n’est affecté à l’appareil ou à l’utilisateur, Intune applique le profil ESP par défaut.

Pour hiérarchiser vos profils :

  1. Pointez sur le profil dans la liste avec votre curseur jusqu’à ce que vous voyiez trois points verticaux.
  2. Faites glisser le profil vers la position souhaitée dans la liste.

Bloquer l’accès à un appareil tant qu’une certaine application n’est pas installée

Spécifiez les applications qui doivent être installées avant que l’utilisateur puisse quitter la ESP. Vous pouvez choisir jusqu’à 100 applications.

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Appareils > Windows > Inscription Windows > Page de statut d’inscription.
  2. Choisissez un profil > Paramètres.
  3. Choisissez Oui pour Afficher la progression de l’installation des profils et des applications.
  4. Choisissez Oui pour Bloquer l’utilisation de l’appareil jusqu’à ce que toutes les applications et tous les profils soient installés.
  5. Choisissez Sélectionnées pour Bloquer l’utilisation de l’appareil jusqu’à ce que ces applications requises soient installées si elles sont affectées à l’utilisateur/l’appareil.
  6. Choisissez Sélectionner des applications > choisissez les applications > Sélectionner > Enregistrer.

Intune utilise les applications incluses dans cette liste pour filtrer la liste à considérer comme bloquante. Il ne spécifie pas quelles applications doivent être installées. Par exemple, si vous configurez cette liste pour inclure « SPA 1 », « SPA 2 » et « SPA 3 », et que « SPA 3 » et « SPA 4 » sont ciblés sur l’appareil ou l’utilisateur, la ESP ne suit que « SPA 3 ». « SPA 4 » sera toujours installé, mais la Page d’état d’inscription n’attend pas l’achèvement de l’installation.

Suivi ESP

La page d’état de l’inscription suit ces phases de provisionnement :

  • Préparation de l’appareil
  • Configuration des appareils
  • Configuration de compte

Cette section décrit les types d’informations, d’applications et de stratégies suivis au cours de chaque phase.

Préparation de l’appareil

Pendant la préparation de l’appareil, la page d’état d’inscription effectue le suivi des tâches suivantes pour l’utilisateur de l’appareil :

  • Sécuriser votre matériel
  • Rejoindre le réseau de votre organisation
  • Inscrire votre appareil pour la gestion des appareils mobiles

Sécuriser votre matériel

Cette tâche garantit que l’appareil termine l’attestation de clé du module de plateforme sécurisée (TPM) et valide son identité avec Azure AD. Azure AD envoie un jeton à l’appareil, qui est utilisé lors de la jonction Azure AD.

Cette étape est requise pour le mode de déploiement automatique et le déploiement de gants blancs. Il n’est pas nécessaire pour les scénarios Windows Autopilot en mode piloté par l’utilisateur.

Rejoindre le réseau de votre organisation

L’appareil utilise le jeton reçu à l’étape précédente pour rejoindre Azure AD. Cette étape est requise en mode de déploiement automatique et en déploiement de gants blancs. Les appareils en mode piloté par l’utilisateur ont déjà terminé cette tâche au moment où ils ouvrent la ESP.

Inscrire votre appareil pour la gestion des appareils mobiles

L’appareil s’inscrit dans Microsoft Intune pour la gestion des appareils mobiles (GPM).

Cette étape est requise en mode de déploiement automatique et en déploiement de gants blancs. Les appareils en mode piloté par l’utilisateur ont déjà effectué cette tâche au moment où ils ouvrent la ESP.

Après l’inscription, l’appareil calcule les stratégies et applications requises pour effectuer le suivi dans la phase suivante. Pour Windows 10, version 1903 et versions ultérieures, l’appareil crée également la stratégie de suivi pour l’agent SideCar et installe l’extension de gestion Intune utilisée pour installer les applications Win32.

Configuration des appareils

La page d’état de l’inscription effectue le suivi de ces éléments pendant la phase de configuration de l’appareil :

  • Stratégies de sécurité
  • Profils de certificat
  • Connexion réseau
  • Applications

Stratégies de sécurité

ESP ne suit pas les stratégies de sécurité, telles que les restrictions d’appareil, mais ces stratégies sont installées en arrière-plan. La ESP effectue le suivi des stratégies Microsoft Edge, Accès affecté et Navigateur kiosque.

Conseil

Une fois l’opération terminée, l’état des stratégies de sécurité s’affiche sur la ESP comme étant terminé (1 sur 1).

Certificats

La ESP effectue le suivi de l’installation des profils de certificat SCEP destinés aux appareils.

Connexions réseau

La ESP effectue le suivi des profils VPN et Wi-Fi ciblant les appareils.

Applications

La ESP suit l’installation d’applications déployées dans un contexte d’appareil et inclut :

  • Applications MSI métier par machine.
  • Applications du Store métier avec contexte d’installation = Appareil.
  • Applications du magasin hors connexion où contexte d’installation = appareil
  • Applications Win32 pour Windows 10, version 1903 et ultérieures et Windows 11.

Configuration de compte

Pendant la phase de configuration du compte, la ESP effectue le suivi des applications et des stratégies destinées aux utilisateurs, notamment :

  • Stratégies de sécurité

  • Certificats

  • Connexions réseau

  • Applications

    Conseil

    Avant le début de l’installation, l’appareil crée une stratégie de suivi et calcule toutes les applications et stratégies qui doivent être suivies. Pendant ce temps, la ESP affiche les tâches subordonnées dans un état d’identification .

Stratégies de sécurité

ESP ne suit pas les stratégies de sécurité, telles que les restrictions d’appareil, mais ces stratégies sont installées en arrière-plan. La ESP effectue le suivi des stratégies Microsoft Edge, Accès affecté et Navigateur kiosque.

Certificats

La ESP suit l’installation des profils de certificat SCEP attribués aux utilisateurs.

Connexions réseau

La ESP effectue le suivi Wi-Fi profils affectés aux utilisateurs.

Applications

Au cours de cette phase, la ESP effectue le suivi de l’installation des applications affectées à l’utilisateur. La ESP suit les applications Win32 pour Windows 10, version 1903 et ultérieures.

Elle effectue également le suivi des types d’applications suivants lorsqu’ils sont affectés à tous les appareils, à tous les utilisateurs ou à un groupe d’utilisateurs qui inclut l’utilisateur de l’appareil inscrit :

  • Applications MSI métier par utilisateur
  • Applications MSI métier par machine.
  • Les applications de Store métier, les applications de Store en ligne et les applications de Store hors connexion sont affectées à l’un des objets suivants :

Problèmes détectés

Cette section répertorie les problèmes connus pour la page d’état de l’inscription.

  • Lors de la création d'applications qui seront déployées au cours de l'ESP, tout redémarrage intégré à l'application peut entraîner le blocage de l'ESP et l'échec du déploiement. Nous recommandons de spécifier le comportement de redémarrage dans Intune au lieu de déclencher le redémarrage dans le paquet.
  • La désactivation du profil ESP ne supprime pas la stratégie ESP des appareils et les utilisateurs reçoivent toujours l’ESP lorsqu’ils se connectent à l’appareil pour la première fois. La stratégie n’est pas supprimée lorsque le profil ESP est désactivé.
  • Un redémarrage lors de la configuration de l’appareil force l’utilisateur à entrer ses informations d’identification avant la phase de configuration du compte. Les informations d’identification de l’utilisateur ne sont pas conservées lors du redémarrage. Demandez aux utilisateurs de l’appareil d’entrer leurs informations d’identification pour passer à la phase de configuration du compte.
  • La ESP expire toujours sur les appareils exécutant Windows 10, version 1903 et versions antérieures, et inscrit via l’option Ajouter un compte professionnel et scolaire. La page d’état d’inscription attend la fin de l’inscription d’Azure AD. Le problème est résolu dans Windows 10 version 1903 et les versions ultérieures.
  • Le déploiement Autopilot Azure AD Hybride avec ESP prend plus de temps que le délai d’expiration entré dans le profil ESP. Sur les déploiements Autopilot Azure AD Hybride, le protocole ESP prend 40 minutes de plus que la valeur définie dans le profil ESP. Par exemple, vous définissez la durée du délai d’expiration sur 30 minutes dans le profil. L’ESP peut prendre 30 minutes + 40 minutes. Ce délai permet au connecteur AD local de créer le nouvel enregistrement d’appareil pour Azure AD.
  • La page d’ouverture de session Windows n’est pas préremplie avec le nom d’utilisateur en mode piloté par l’utilisateur AutoPilot. En cas de redémarrage au cours de la phase de configuration de l’appareil d’ESP :
    • les informations d’identification de l’utilisateur ne sont pas conservées
    • l’utilisateur doit à nouveau entrer les informations d’identification avant de passer de la phase de configuration de l’appareil à la phase de configuration du compte
  • ESP est bloqué pendant une longue période ou ne termine jamais la phase d’identification. Intune calcule les stratégies ESP au cours de la phase d’identification. Un appareil peut ne jamais terminer le calcul des stratégies ESP si l’utilisateur actuel n’a pas de licence Intune affectée.
  • La configuration du contrôle d’application Microsoft Defender provoque une invite de redémarrage lors de l’Autopilot. La configuration de l’application Microsoft Defender (Fournisseur de services de configuration AppLocker) requiert un redémarrage. Lorsque cette stratégie est configurée, elle peut entraîner le redémarrage d’un appareil pendant l’Autopilot. Actuellement, il n’existe aucun moyen de supprimer ou de différer le redémarrage.
  • Quand la stratégie DeviceLock est activée dans le cadre d’un profil ESP, l’OOBE ou l’ouverture automatique de session du bureau de l’utilisateur peut échouer de façon inattendue pour deux raisons.
    • Si l’appareil n’a pas redémarré avant de quitter la phase de configuration de l’appareil ESP, l’utilisateur peut être invité à entrer ses informations d’identification Azure AD. Cette invite s’affiche au lieu d’une ouverture de session automatique réussie où l’utilisateur voit l’animation de la première connexion à Windows.
    • L’ouverture automatique de session échoue si l’appareil a redémarré une fois que l’utilisateur a entré ses informations d’identification Azure AD, mais avant de quitter la phase de configuration de l’appareil ESP. Cet échec se produit car la phase de configuration de l’appareil ESP ne s’est jamais terminée. La solution de contournement consiste à réinitialiser l’appareil.
  • ESP ne s’applique pas à un appareil Windows qui a été inscrit avec une stratégie de groupe (GPO).
  • Les scripts qui s’exécutent dans le contexte de l’utilisateur (« Exécuter ce script à l’aide des informations d’identification de connexion » dans les propriétés du script défini sur « oui ») peuvent ne pas s’exécuter pendant l’ESP. Pour contourner ce problème, exécutez les scripts dans le contexte du Système en remplaçant ce paramètre par « non ».

Résolution des problèmes

Pour obtenir de l’aide sur les erreurs ou les messages liés à la ESP, notamment sur la désactivation d’une esp déjà activée, consultez Résolution des problèmes de la page État de l’inscription Windows.