Planifier le déploiement dans des entreprises gérées à l'aide de stratégies de groupe
Puisque quelques configurations gérées par Windows Intune™ sont gérées également par la Stratégie de groupe, des conflits d'application de la stratégie peuvent se produire sur les ordinateurs ciblés par les deux systèmes. Cette rubrique décrit les méthodes recommandées pour éviter les conflits de stratégie.
Planification du déploiement dans les entreprises gérées à l'aide d'une stratégie de groupe
Windows Intune offre la fonction de gestion des stratégies dans l'espace de travail Stratégie. La gestion des stratégies, comme implémentée dans cette version de Windows Intune, n'est pas liée à la Stratégie de groupe. Bien que les deux systèmes de gestion de stratégie visent au même objectif, leurs étendues de gestion varient et elles fonctionnent indépendamment dans cette version de Windows Intune. Pour plus d'informations sur l' espace de travail de stratégie, consultez la Stratégie dans l'Aide Windows Intune.
La stratégie de groupe au niveau du domaine a typiquement la priorité sur la stratégie Windows Intune, à moins qu'un ordinateur client lié au domaine ne puisse pas se connecter au contrôleur de domaine. Si la connexion au contrôleur de domaine n'est pas disponible, la stratégie Windows Intune est appliquée à l'ordinateur client.
Pour éviter les conflits de stratégie qui peuvent se produire à cause de systèmes de gestion de stratégies en compétition, nous recommandons aux administrateurs qui déploient le logiciel client Windows Intune de s'assurer que les ordinateurs client gérés par la stratégie Windows Intune ne soient pas également commandés par la Stratégie de groupe pour les mêmes paramètres de configuration.
Les trois options de déploiement suivantes peuvent vous aider à éviter les problèmes de gestion des stratégies sur les ordinateurs client que vous souhaitez gérer à l'aide de Windows Intune.
Option 1 : Isolez les ordinateurs inscrits au service de la stratégie de groupe en les déplaçant à une nouvelle unité d'organisation
Option 2 : Filtrez les objets de stratégie de groupe existant pour éviter les conflits avec les ordinateurs inscrits au service
Option 3 : Modification des objets de la stratégie de groupe existants pour supprimer les paramètres en conflit
Option 1 : Isolez les ordinateurs inscrits au service de la stratégie de groupe en les déplaçant à une nouvelle unité d'organisation
Si possible, restructurez la hiérarchie de l'unité d'organisation (OU) pour isoler les ordinateurs inscrits au Windows Intune dans une ou plusieurs OU séparées qui ne sont pas modifiables par les paramètres de stratégie de groupe en compétition. L'organisation de la hiérarchie d'OU simplifie donc la gestion des stratégies pour permettre aux OU Windows Intune d'être ciblées uniquement par les paramètres de stratégie spécifiques.
Avant d'installer le logiciel client Windows Intune dans votre entreprise, créez ou déplacez les ordinateurs clients que vous voulez gérer à l'aide de Windows Intune dans une unité d'organisation répondant aux conditions décrites dans cette section.
Pour plus d'informations sur la création d'une unité d'organisation sur les contrôleurs de domaine exécutant Windows Server 2003, voir Créer une unité d'organisation (https://go.microsoft.com/fwlink/?LinkId=154139) sur le site Web Microsoft. Pour plus d'informations sur la création d'une unité d'organisation sur les contrôleurs de domaine exécutant Windows Server 2008, voir Créer une nouvelle unité d'organisation (https://go.microsoft.com/fwlink/?LinkId=154141) sur le site Web Microsoft.
Si votre organisation utilise Windows Server Update Services (WSUS), System Center Essentials ou System Center Configuration Manager pour maintenir les ordinateurs client protégés et à jour, créez une OU — ou déplacez l'ordinateur dans une OU existante — qui ne spécifie pas un serveur exploitant WSUS, System Center Essentials ou System Center Configuration Manager comme son nœud géré. Ensuite, procédez comme suit pour empêcher les conflits dans la gestion des clients.
Bloquez l'héritage de la stratégie de groupe sur les OU contenant les ordinateurs inscrits dans Windows Intune auxquels vous ne voulez pas appliquer les paramètres de la stratégie de groupe. Ensuite, assurez-vous que le paramètre Appliquer est désactivé pour les objets de stratégie de groupe (GPO) de l'unité d'organisation parente ou du domaine.
Blocage de l'héritage de la stratégie de groupe sur une OU
Ouvrez la console de gestion des stratégies de groupe.
Dans l'arborescence de la console, développez la forêt qui contient l'unité d'organisation des ordinateurs clients que vous souhaitez gérer à l'aide de Windows Intune.
Développez le domaine et tous les nœuds subordonnés supplémentaires pour localiser l'unité d'organisation.
Cliquez avec le bouton droit sur l'unité d'organisation, puis cliquez sur Bloquer l'héritage.
Option 2 : Filtrez les objets de stratégie de groupe existant pour éviter les conflits avec les ordinateurs inscrits au service
Identifiez les objets de stratégie de groupe (GPO) avec les paramètres susceptibles de créer un conflit avec Windows Intune, puis utilisez l'une des méthodes de filtrage suivantes pour limiter ces GPO aux ordinateurs qui ne sont pas gérés à l'aide de Windows Intune.
Utilisez les filtres WMI. Les filtres WMI appliquent sélectivement les GPO aux ordinateurs répondant aux conditions d'une recherche. Pour appliquer un filtre WMI, déployez une instance de classe WMI sur tous les ordinateurs de l'entreprise avant d'inscrire des ordinateurs dans le service Windows Intune. La procédure d'inscription remet automatiquement à zéro l'instance WMI pour indiquer qu'un ordinateur est inscrit au service Windows Intune et il est sujet à la stratégie Windows Intune.
Application des filtres WMI à un GPO
Créez un fichier objet de gestion en copiant et collant ce qui suit dans un fichier texte, puis enregistrez le fichier à un emplacement de votre choix comme WIT.mof. Ce fichier contient l'instance de classe WMI que vous déployez aux ordinateurs à inscrire au service Windows Intune.
//Beginning of MOF file. #pragma classflags("forceupdate") #pragma namespace ("\\\\.\\Root") instance of __Namespace { Name = "WindowsIntune"; }; #pragma namespace ("\\\\.\\Root\\WindowsIntune") [ Description("Cette classe définit les propriétés communes de Windows Intune") ] class WindowsIntune_ManagedNode { [ read, Description("Définit si la stratégie Windows Intune est activée ou non"): DisableOverride ToSubClass ] boolean WindowsIntunePolicyEnabled; [ read, key, Description("Cette propriété définit la version." "Exemple : 1.0"): ToSubClass ] string Version; }; instance de WindowsIntune_ManagedNode { Version = "1.0"; WindowsIntunePolicyEnabled = 1; };Utilisez un script de démarrage ou une stratégie de groupe pour déployer le fichier. Ce qui suit est la commande de déploiement pour le script de démarrage. La commande MOFCOMP se trouve typiquement dans C:/Windows/System32/Wbem. L'instance de classe WMI doit être déployée avant d'inscrire les ordinateurs client au service Windows Intune.
MOFCOMP <chemin du fichier MOF>\wit.mof
Exécutez l'une des deux commandes suivantes pour créer les filtres WMI suivants selon que les GPO que vous voulez filtrer s'apliquent aux ordinateurs qui sont gérés à l'aide de Windows Intune ou à ceux qui ne sont pas gérés à l'aide de Windows Intune.
Pour les GPO s'appliquant aux ordinateurs qui ne sont pas gérés à l'aide de Windows Intune, utilisez les éléments suivants :
Namespace:root\WindowsIntune Query: SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0Pour GPO s'appliquant aux ordinateurs qui sont gérés à l'aide de Windows Intune, utilisez les éléments suivants :
Namespace:root\WindowsIntune Query: SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1
Modifiez le GPO dans la console de gestion des stratégies de groupe pour appliquer le filtre WMI que vous avez créé à l'étape précédente.
Pour les GPO ne devant s'appliquer qu'aux ordinateurs que vous souhaitez gérer à l'aide de Windows Intune, appliquez le filtre WindowsIntunePolicyEnabled=1.
Pour les GPO ne devant s'appliquer qu'aux ordinateurs que vous ne souhaitez pas gérer à l'aide de Windows Intune, appliquez le filtre WindowsIntunePolicyEnabled=0.
Pour plus d'informations sur l'application des filtres WMI dans la stratégie de groupe, consultez Filtrage de sécurité, Filtrage WMI et Ciblage au niveau de l'élément dans les Préférences de la stratégie de groupe (https://go.microsoft.com/fwlink/?LinkId=177883).
Utilisez les filtres de groupe de sécurité. La stratégie de groupe vous permet d'appliquer les GPO aux seuls groupes de sécurité spécifiés dans la zone Filtrage de sécurité de la console de gestion des stratégies de groupe pour un GPO sélectionné. Par défaut, les GPO s'appliquent aux Utilisateurs authentifiés. Dans le composant logiciel enfichable Utilisateurs et ordinateurs de répertoire actif, créez un nouveau groupe de sécurité contenant les ordinateurs et les comptes utilisateurs que vous ne souhaitez pas gérer à l'aide de Windows Intune. Par exemple, le groupe peut être appelé Non dans Windows Intune. Dans la console de gestion des stratégies de groupe, dans l'onglet Délégation pour le GPO sélectionné, cliquez avec la touche droite de la souris sur le nouveau groupe de sécurité pour déléguer les autorisations appropriées Lire et Appliquer stratégie de groupe aux utilisateurs et aux ordinateurs dans le groupe de sécurité. (Les autorisations Appliquer stratégie de groupe sont disponibles dans la boîte de dialogue Paramètres avancés). Ensuite, appliquez le nouveau filtre de groupe de sécurité à un GPO sélectionné et supprimez le filtre par défaut Utilisateurs authentifiés. Le nouveau groupe de sécurité doit être maintenu comme inscription dans les modifications de service Windows Intune.
Option 3 : Modification des objets de la stratégie de groupe existants pour supprimer les paramètres en conflit
Au lieu d'isoler les ordinateurs inscrits à Windows Intune, de créer des objets de stratégie de groupe (GPO) ou de les filtrer, vous pouvez désactiver manuellement les GPO spécifiques, ou les paramètres des GPO, qui sont en conflit avec les paramètres de la stratégie Windows Intune. Définissez les GPO qui seront en conflit avec les paramètres appliqués aux ordinateurs gérés par Windows Intune comme Non configurés. Ensuite, définissez et déployez la stratégie Windows Intune pour les GPO définis comme Non configurés.
Notes
Si vous gérez les conflits de stratégie à l'aide de cette option, les GPO doivent être analysés et modifiés fréquemment afin d'éviter des conflits de stratégie.
Étapes suivantes
Après avoir planifié la prévention des conflits de la stratégie de groupe, passez à la rubrique suivante, Déploiement du logiciel client, pour en savoir plus sur l'installation du logiciel client.