Configurer des actions pour les appareils non conformes dans Intune

Pour les appareils qui ne respectent pas vos règles ou stratégies de conformité, vous pouvez ajouter des actions en cas de non-conformité. Cette fonctionnalité configure une séquence chronologique d’actions, comme l’envoi d’un e-mail à l’utilisateur final, etc.

Vue d’ensemble

Par défaut, chaque stratégie de conformité comprend l’action en cas de non-conformité Marquer l’appareil comme non conforme avec une planification de zéro jour (0). Le résultat de ce paramétrage par défaut est que, quand Intune détecte un appareil qui n’est pas conforme, il le marque immédiatement comme non conforme. Une fois qu’un appareil est marqué comme non conforme, l’Accès conditionnel Azure Active Directory (AD) peut bloquer l’appareil.

En configurant des actions en cas de non-conformité, vous gagnez en flexibilité pour décider de ce qu’il faut faire avec les appareils non conformes et à quel moment. Par exemple, vous pouvez décider de ne pas bloquer immédiatement l’appareil et offrir à l’utilisateur une période de grâce pendant laquelle il peut configurer la conformité de l’appareil.

Pour chaque action que vous définissez, vous pouvez configurer une planification qui détermine le moment où cette action prend effet. La planification correspond au nombre de jours après celui où l’appareil a été marqué comme non conforme. Vous pouvez également configurer plusieurs instances d’une action. Lorsque vous définissez plusieurs instances d’une action dans une stratégie, l’action s’exécute de nouveau à une heure planifiée ultérieure si l’appareil reste non conforme.

Toutes les actions ne sont pas disponibles pour toutes les plateformes.

Actions disponibles en cas de non-conformité

Voici les actions disponibles en cas de non-conformité :

  • Marquer l’appareil comme non conforme : Par défaut, cette action est définie pour chaque stratégie de conformité avec une planification de zéro (0) jour, et marquant les appareils comme non conformes immédiatement.

    Lorsque vous modifiez la planification par défaut, vous spécifiez une période de grâce pendant laquelle un utilisateur peut corriger les problèmes ou devenir conforme sans être marqué comme non conforme.

    Cette action est prise en charge sur toutes les plateformes prises en charge par Intune.

  • Envoyer un e-mail à l’utilisateur final : Cette action envoie une notification par e-mail à l’utilisateur. Quand vous activez cette action :

    • Sélectionnez un modèle de message de notification que cette action envoie. Vous créez un modèle de message de notification pour pouvoir en affecter un à cette action. Lorsque vous créez la notification personnalisée, vous personnalisez les paramètres régionaux, l’objet et le corps du message, et pouvez inclure le logo, le nom et des informations de contact supplémentaires de l’organisation.
    • Choisissez d’envoyer le message à des destinataires supplémentaires en sélectionnant un ou plusieurs de vos groupes Azure AD.

    Lors de l’envoi de l’e-mail, Intune ajoute des informations sur l’appareil non conforme dans l’e-mail de notification.

    Cette action est prise en charge sur toutes les plateformes prises en charge par Intune.

  • Verrouiller à distance l’appareil non conforme : Utilisez cette action pour déclencher le verrouillage à distance d’un appareil. L’utilisateur est ensuite invité à entrer un code PIN ou un mot de passe pour déverrouiller l’appareil. Découvrez plus en détail la fonctionnalité Verrouillage à distance.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareil Android
    • Android Enterprise :
      • Entièrement managée
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
      • Appareils kiosque Android Entreprise
    • iOS/iPadOS
    • macOS
  • Mettre hors service l’appareil non conforme : Cette action supprime toutes les données d’entreprise de l’appareil et retire l’appareil de la gestion Intune.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareil Android
    • Android Enterprise :
      • Entièrement managée
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
    • iOS/iPadOS
    • macOS
    • Windows 10

    Lorsque cette action s’applique à un appareil, celui-ci est ajouté à une liste d’appareils dans la console d’administration : Appareils > Stratégies de conformité > Mettre hors service les appareils non conformes. L’appareil n’est pas mis hors service tant qu’un administrateur n’a pas exécuté d’action explicite pour mettre l’appareil hors service.

    Pour mettre hors service un ou plusieurs appareils de la liste, sélectionnez ces appareils dans la liste, puis sélectionnez Mettre hors service les appareils sélectionnés. Vous pouvez également sélectionner des options pour Mettre tous les appareils hors service, Effacer l’état de mise hors service de tous les appareils et Effacer l’état de mise hors service des appareils sélectionnés. Le fait d’effacer l’état de mise hors service d’un appareil supprime celui-ci de la liste des appareils pouvant être mis hors service jusqu’à ce que l’action Mettre hors service l’appareil non conforme soit de nouveau appliquée à cet appareil.

    En savoir plus sur la mise hors service d’appareils.

  • Envoyer des notifications Push à l’utilisateur final : Configurez cette action pour envoyer une notification Push concernant la non-conformité d’un appareil par le biais de l’application Portail d’entreprise ou de d’Intune App sur l’appareil.

    Les plateformes suivantes prennent cette action en charge :

    • Administrateur d’appareil Android
    • Android Enterprise :
      • Entièrement managée
      • Dédié
      • Profil professionnel appartenant à l’entreprise
      • Profil professionnel appartenant à l’utilisateur
    • iOS/iPadOS

    La notification Push est envoyée la première fois qu’un appareil effectue une vérification auprès d’Intune et est jugé non conforme à la stratégie de conformité. Quand un utilisateur sélectionne la notification, l’application Portail d’entreprise ou Intune App s’ouvre et affiche des informations sur la raison de la non-conformité. L’utilisateur peut ensuite prendre des mesures pour résoudre le problème. Les détails du message sur la non-conformité sont générés par Intune et ne peuvent pas être personnalisés.

    Important

    Intune, l’application Portail d’entreprise et l’application Microsoft Intune ne peuvent pas garantir la remise d’une notification Push. Les notifications peuvent s’afficher après plusieurs heures, voire jamais. Cela inclut le moment où les utilisateurs ont désactivé les notifications Push.

    Ne vous fiez pas à cette méthode de notification pour les messages urgents.

    Chaque instance de l’action envoie une notification une seule fois. Pour renvoyer la même notification à partir d’une stratégie, configurez des instances supplémentaires de l’action dans cette stratégie, chacune avec une planification différente.

    Par exemple, vous pouvez planifier la première action à zéro jour, puis ajouter une deuxième instance de l’action définie sur trois jours. Ce délai avant la deuxième notification offre à l’utilisateur quelques jours pour résoudre le problème et éviter la deuxième notification.

    Pour éviter d’encombrer la boîte aux lettres des utilisateurs avec un trop grand nombre de messages en double, examinez et rationalisez les stratégies de conformité qui incluent une notification Push en cas de non-conformité, puis passez en revue les planifications afin d’éviter les notifications à répétition pour le même problème.

    Considérez les aspects suivants :

    • Pour une stratégie unique qui comprend plusieurs instances d’un ensemble de notifications Push pour un même jour, une seule notification est envoyée ce jour-là.

    • Quand plusieurs stratégies de conformité incluent les mêmes conditions de conformité et incluent l’action de notification Push avec la même planification, Intune envoie plusieurs notifications au même appareil le même jour.

Avant de commencer

Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie. Vous pouvez ajouter des actions supplémentaires à chaque stratégie pour répondre à vos besoins. Gardez à l’esprit que chaque stratégie de conformité comprend automatiquement l’action par défaut pour non-conformité, qui consiste à marquer les appareils comme non conformes, avec une planification définie à zéro jour.

Quand vous utilisez des stratégies de conformité des appareils pour bloquer l’accès des appareils aux ressources de l’entreprise, un accès conditionnel Azure AD doit être configuré. Consultez Accès conditionnel dans Azure Active Directory ou Utilisations courantes de l’accès conditionnel avec Intune pour obtenir des conseils.

Pour créer une stratégie de conformité des appareils, consultez les conseils suivants spécifiques de la plateforme :

Créer un modèle de message de notification

Pour envoyer un e-mail à vos utilisateurs, créez un modèle de message de notification et associez-le à votre stratégie de conformité en tant qu’action en cas de non-conformité. Quand un appareil n’est pas conforme, les détails que vous entrez dans le modèle sont indiqués dans l’e-mail envoyé à vos utilisateurs.

Un modèle de message de notification peut inclure plusieurs messages spécifiés pour différents paramètres régionaux. Un paramètre régional doit être spécifié comme paramètre par défaut.

Lorsque vous spécifiez plusieurs messages et paramètres régionaux, les utilisateurs finaux non conformes reçoivent le message approprié localisé en fonction de leur langue par défaut dans O365. Intune envoie le message par défaut aux utilisateurs qui n’ont pas défini de langue par défaut ou lorsque le modèle n’inclut pas de message spécifique pour leur langue.

Pour créer le modèle

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.

  2. Sélectionnez Sécurité du point de terminaison > Conformité de l’appareil > Notifications > Créer une notification.

  3. Sur la page Bases, configurez les paramètres suivants :

    • Nom : donnez au modèle un nom convivial pour l’identifier rapidement.
    • En-tête de l’e-mail : inclure le logo de l’entreprise (valeur par défaut = Activer) : le logo que vous chargez dans le cadre de la personnalisation du Portail d’entreprise est utilisé pour les modèles d’e-mail. Pour plus d’informations sur la personnalisation du Portail d’entreprise, consultez Personnalisation de l’identité de la société.
    • Pied de page de l’e-mail - Inclure le nom de l’entreprise : (valeur par défaut = Activer)
    • Pied de page de l’e-mail - Inclure les informations de contact : (valeur par défaut = Activer)
    • Lien vers le site web du Portail d’entreprise (valeur par défaut = Désactiver) : quand ce paramètre a la valeur Activer, l’e-mail contient un lien vers le site web du Portail d’entreprise.

    Exemple de page de base pour un message de notification dans Intune

    Sélectionnez Suivant pour continuer.

  4. Sur la page Modèles de messages de notification, configurez un ou plusieurs messages. Pour chaque message, spécifiez les informations suivantes :

    • Paramètres régionaux
    • Subject
    • Texte du corps du message

    Avant de continuer, vous devez cocher la case Est par défaut pour l’un des messages. Un seul message peut être défini par défaut. Pour supprimer un message, sélectionnez les points de suspension (...), puis Supprimer.

    Exemple de page de modèle de message de notification dans Intune

    Sélectionnez Suivant pour continuer.

  5. Sous Vérifier + créer, vérifiez que le modèle de message de notification est prêt à être utilisé dans vos configurations. Sélectionnez Créer pour terminer la création de la notification.

Affichage et modification des notifications

Les notifications créées sont disponibles sur la page Stratégies de conformité > Notifications. Vous pouvez en sélectionner une pour afficher sa configuration et effectuer les actions suivantes :

  • Sélectionnez Envoyer un aperçu d’e-mail pour envoyer un aperçu de l’e-mail de notification au compte que vous avez utilisé pour vous connecter à Intune.

    Pour envoyer correctement l’e-mail de préversion, votre compte doit avoir des autorisations égales à celles des groupes Azure AD ou des rôles Intune suivants : Administrateur général Azure AD, Administrateur Intune, (administrateur de service Intune Azure AD Intune) ou Gestionnaire de stratégies et de profils Intune.

  • Sélectionnez Modifier pour Informations de base ou Balises d’étendue afin d’apporter une modification.

Ajouter des actions en cas de non-conformité

Quand vous créez une stratégie de conformité des appareils, Intune crée automatiquement une action en cas de non-conformité. Si un appareil ne répond pas à votre stratégie de conformité, cette action marque l’appareil comme non conforme. Vous pouvez personnaliser la durée pendant laquelle l’appareil est marqué comme non conforme. Cette action ne peut pas être supprimée.

Vous pouvez ajouter des actions facultatives quand vous créez une stratégie de conformité ou mettez à jour une stratégie existante.

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.

  2. Sélectionnez Appareils > Stratégies de conformité > Stratégies, sélectionnez l’une de vos stratégies, puis sélectionnez Propriétés.

    Vous n’avez pas encore de stratégie ? Créez une stratégie Android, iOS, Windows ou une stratégie pour une autre plateforme.

    Notes

    Les appareils gérés par des partenaires de conformité tiers et ciblés avec des groupes d’appareils ne peuvent pas recevoir d’actions de conformité pour l’instant.

  3. Sélectionnez Actions en cas de non-conformité > Ajouter.

  4. Sélectionnez votre Action :

    • Envoyer un e-mail à l’utilisateur final : Quand l’appareil n’est pas conforme, choisissez d’envoyer un e-mail à l’utilisateur. En outre :

      • Choisissez le Modèle de message que vous avez créé
      • Entrez d’Autres destinataires en sélectionnant des groupes
    • Verrouiller à distance l’appareil non conforme : Quand l’appareil n’est pas conforme, verrouillez-le. L’utilisateur est ainsi obligé d’entrer un code PIN ou un mot de passe pour déverrouiller l’appareil.

    • Mettre hors service l’appareil non conforme : Quand l’appareil n’est pas conforme, supprimez toutes les données d’entreprise de l’appareil et retirez l’appareil de la gestion Intune.

    • Envoyer une notification Push à l’utilisateur final : Configurez cette action pour envoyer une notification Push de non-conformité à un appareil via l’application Portail d’entreprise ou Intune App sur l’appareil.

  5. Configurer une planification : Entrez le nombre de jours de non-conformité (0 à 365) au terme desquels l’action doit être déclenchée sur les appareils des utilisateurs. Après cette période de grâce, vous pouvez appliquer une stratégie d’accès conditionnel. Si vous entrez 0 (zéro) comme nombre de jours, l’accès conditionnel prend effet immédiatement. Par exemple, si un appareil n’est pas conforme, utilisez l’accès conditionnel pour bloquer immédiatement l’accès à la messagerie, à SharePoint et à d’autres ressources de l’organisation.

    Lorsque vous créez une stratégie de conformité, l’action Marquer l’appareil comme non conforme est automatiquement créée et définie automatiquement sur 0 jour (immédiatement). Avec cette action, lorsque l’appareil fait l’objet d’un check-in, il est évalué comme non conforme immédiatement. Si vous utilisez également l’accès conditionnel, ce dernier démarre immédiatement. Si vous souhaitez autoriser une période de grâce, modifiez la Planification en la définissant sur l’action Marquer l’appareil comme non conforme.

    Dans votre stratégie de conformité, par exemple, vous pouvez également notifier l’utilisateur. Vous pouvez ajouter l’action Envoyer un e-mail à l’utilisateur final. Dans cette action Envoyer un e-mail, définissez la planification sur deux jours. Si l’appareil ou l’utilisateur final est toujours évalué comme non conforme le deuxième jour, votre e-mail est envoyé le deuxième jour. Si vous souhaitez envoyer un nouveau message à l’utilisateur le cinquième jour de la non-conformité, ajoutez une autre action et définissez la planification sur cinq jours.

    Pour plus d’informations sur la conformité et les actions intégrées, consultez la présentation de la conformité.

  6. Quand vous avez terminé, sélectionnez Ajouter > OK pour enregistrer les modifications.

Étapes suivantes

Supervisez vos stratégies.