Questions, réponses et scénarios courants avec des stratégies et des profils dans Microsoft Intune

Importante

Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

Obtenez des réponses aux questions courantes lors de l’utilisation de stratégies dans Intune. Cet article répertorie également les intervalles d’archivage, fournit plus de détails sur les conflits, et bien plus encore.

Cet article s’applique aux stratégies suivantes :

  • Stratégies de protection des applications
  • Stratégies de configuration des applications
  • Stratégies de conformité
  • Stratégies d’accès conditionnel
  • Profils de configuration d’appareil
  • Stratégies d’inscription

Intervalles d’actualisation de la stratégie

Intune indique à l’appareil de s’enregistrer auprès du service Intune. Les délais de notification varient, allant d’un délai immédiat à quelques heures. Ces délais de notification varient également d’une plateforme à l’autre. Sur les appareils Android, Google Mobile Services (GMS) peut affecter les intervalles d’actualisation des stratégies.

Si un appareil ne se manifeste pas pour obtenir la stratégie ou le profil après la première notification, Intune effectue trois autres tentatives. Un appareil hors connexion, tel que désactivé ou non connecté à un réseau, peut ne pas recevoir les notifications. Dans ce cas, l’appareil obtient la stratégie ou le profil lors de son prochain archivage planifié auprès du service Intune. Il en va de même pour les vérifications de non-conformité, y compris les appareils qui passent d’un état conforme à un état non conforme.

Fréquences estimées :

Plateforme Cycle d’actualisation
Android, AOSP Environ toutes les 8 heures
iOS/iPadOS Environ toutes les 8 heures
macOS Environ toutes les 8 heures
PC Windows 10/11 inscrits en tant qu’appareils Environ toutes les 8 heures
Windows 8.1 Environ toutes les 8 heures

Si les appareils s’inscrivent récemment, la conformité, la non-conformité et l’archivage de configuration s’exécutent plus fréquemment. Les vérifications sont estimées à :

Plateforme Fréquence
Android, AOSP Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures
iOS/iPadOS Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures
macOS Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures
PC Windows 10/11 inscrits en tant qu’appareils Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis toutes les 8 heures environ
Windows 8.1 Toutes les 5 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures

Pour connaître les intervalles d’actualisation de la stratégie de protection des applications, accédez à Calendrier de livraison de la stratégie de protection des applications.

À tout moment, les utilisateurs peuvent ouvrir l'application Portail d'entreprise>Vérifier l'état des appareils ou Synchroniser les>paramètres pour vérifier immédiatement les mises à jour de politique ou de profil. Pour plus d’informations sur l’agent d’extension de gestion Intune ou les applications Win32, consultez Gestion d’applications Win32 dans Microsoft Intune.

Actions Intune qui envoient immédiatement une notification à un appareil

Différentes actions peuvent déclencher une notification. Par exemple quand une stratégie, un profil ou une application est attribué (ou non attribué), mis à jour, supprimé, etc. La durée de ces actions varient d’une plateforme à l’autre.

Les appareils s’enregistrent auprès d’Intune lorsqu’ils reçoivent une notification d’enregistrement ou pendant leur enregistrement planifié. Quand vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l’appareil qu’il doit effectuer un check-in pour recevoir ces mises à jour. Par exemple, une notification se produit lorsqu’une action de verrouillage, de réinitialisation de code secret, d’application ou d’attribution de stratégie s’exécute.

D’autres modifications n’entraînent pas de notification immédiate pour les appareils, notamment la révision des informations de contact dans l’application Portail d'entreprise ou les mises à jour d’un fichier .ipa.

Les paramètres de la stratégie ou du profil sont appliqués à chaque check-in. Un article de blog client sur l’actualisation de la stratégie MDM Windows 10 peut être une bonne ressource.

Conflicts

Des conflits peuvent se produire lorsque différentes stratégies mettent à jour le même paramètre avec des valeurs différentes. Par exemple, vous avez deux stratégies qui mettent à jour le paramètre copier/coller sur des valeurs différentes. Le conflit est géré différemment selon le type de stratégie.

Si vous utilisez Microsoft Copilot dans Intune, Copilot peut vous aider à résoudre les conflits. Pour plus d’informations, consultez Stratégie et définition de la gestion dans Copilot dans Intune.

Vous pouvez également utiliser Microsoft Copilot dans Intune pour obtenir plus d’informations sur vos stratégies et les paramètres configurés dans vos stratégies.

Protection d'applications les stratégies en conflit

Les valeurs de conflit sont les paramètres les plus restrictifs disponibles dans une stratégie de protection des applications. L’exception concerne les champs d’entrée numériques, tels que les tentatives de code confidentiel avant la réinitialisation. Les champs de saisie numérique sont définis de la même manière que les valeurs, comme si vous aviez créé une politique MAM en utilisant l'option de paramètres recommandés.

Des conflits se produisent lorsque deux paramètres de profil sont identiques. Par exemple, vous avez configuré deux stratégies GAM identiques, à l’exception du paramètre de copier/coller. Dans ce scénario, le paramètre copier/coller est définie sur la valeur la plus restrictive. Le reste des paramètres s’appliquent comme configuré.

Une stratégie est déployée sur l’application et entre en vigueur. Une deuxième stratégie est déployée. Dans ce scénario, la première stratégie est prioritaire et reste appliquée. La deuxième stratégie est signalée comme conflictuelle. Si les deux sont appliquées en même temps, ce qui signifie qu’aucune d’elles n’est prioritaire, elles sont toutes les deux en conflit. Tous les paramètres en conflit sont définis sur les valeurs les plus restrictives.

Stratégies de conformité et de configuration des appareils en conflit

Lorsque plusieurs stratégies sont affectées au même utilisateur ou appareil, le paramètre qui s’applique se produit au niveau du paramètre individuel :

  • Si vous utilisez des stratégies de conformité pour évaluer les paramètres de l’appareil, les paramètres de la stratégie de conformité sont prioritaires sur le même paramètre dans les stratégies de configuration d’appareil. Les paramètres de stratégie de conformité ont toujours la priorité sur les paramètres de profil de configuration.

  • Si une stratégie de conformité s’applique au même paramètre d’une autre stratégie de conformité, le paramètre de la stratégie de conformité la plus restrictive s’applique.

  • Si un paramètre de stratégie de configuration est en conflit avec un paramètre d’une autre stratégie de configuration, ce conflit est signalé dans Intune. Corrigez ces conflits manuellement.

Dans le Centre d’administration Intune, vous pouvez créer des stratégies de configuration, notamment des analyses stratégie de groupe, la sécurité des points de terminaison, des bases de référence de sécurité, etc. En cas de conflit et que vous avez plusieurs stratégies, vérifiez tous les emplacements que vous avez configurés. En outre, les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.

Stratégies iOS/iPadOS ou macOS personnalisées en conflit

Intune n’évalue pas la charge utile des fichiers de configuration Apple ou une stratégie OMA-URI (Open Mobile Alliance Uniform Resource Identifier) personnalisée. Son rôle se limite simplement au mécanisme de livraison.

Lorsque vous attribuez une stratégie personnalisée, vérifiez que les paramètres configurés ne sont pas en conflit avec les stratégies de conformité, de configuration ou d’autres stratégies personnalisées. Si une stratégie personnalisée et ses paramètres sont en conflit, Apple applique les paramètres de manière aléatoire.

Les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.

Un profil est supprimé ou n’est plus applicable

Lorsque vous supprimez un profil ou que vous retirez un appareil d'un groupe auquel le profil est attribué, le profil et les paramètres sont retirés de l’appareil. Plus précisément, ceux-ci sont supprimés comme décrit dans la liste suivante :

  • Profils Wi-Fi, VPN, de certificat et de messagerie : ces profils sont supprimés de tous les appareils inscrits et pris en charge.

  • Tous les autres types de profils :

    • appareils Android: les paramètres ne sont pas supprimés de l’appareil.

    • iOS/iPadOS : tous les paramètres sont supprimés, sauf :

      • Autoriser l'itinérance vocale
      • Autoriser l'itinérance des données
      • Autoriser la synchronisation automatique lors de l'itinérance
    • Appareils Windows: Après avoir supprimé ou annulé l'attribution du profil, demandez à l'utilisateur Microsoft Entra de se connecter à l'appareil et de synchroniser avec le service Intune.

      les paramètres Intune s’appuient sur le fournisseur de services de configuration Windows. Le comportement dépend du fournisseur. Certains fournisseurs suppriment ce paramètre, d’autres le conservent.

  • Un profil s’applique à un groupe d’utilisateurs. Par la suite, un utilisateur est supprimé de ce groupe. Pour que les paramètres soient retirés à cet utilisateur, il faut compter jusqu'à 7 heures ou plus :

J’ai modifié un profil de restriction d’appareil, mais les modifications n’ont pas pris effet

Pour appliquer un profil moins restrictif, certains appareils devront peut-être retirés et réinscrits dans Intune. Par exemple, vous devrez peut-être mettre hors service et réinscrivez les appareils clients Android, iOS/iPadOS et Windows.

Certains paramètres d’un profil Windows 10/11 retournent le message « Non applicable »

Certains paramètres sur les appareils clients Windows peuvent s’afficher comme Non applicable. Dans cette situation, ce paramètre spécifique n’est pas pris en charge sur la version ou l’édition de Windows en cours d’exécution sur l’appareil. Ce message peut apparaître pour les raisons suivantes :

  • Le paramètre est disponible uniquement pour les versions les plus récentes de Windows, et pas pour la version actuelle du système d’exploitation sur l’appareil.
  • Le paramètre est disponible uniquement pour des éditions de Windows ou des références SKU spécifiques, par exemple les éditions Familiale, Professionnel, Entreprise et Éducation.

Pour en savoir plus sur les exigences de version et d'édition pour les différents paramètres, consultez la référence du fournisseur de services de configuration (CSP).

Lorsque les appareils s’inscrivent, l’application d’applications et de stratégies affectées à des groupes d’appareils dynamiques est retardée.

Lors de l'inscription, vous pouvez utiliser les groupes d'appareils dynamiques Microsoft Entra. Par exemple, vous pouvez créer un groupe d’appareils dynamiques basé sur le nom ou le profil d’inscription d’un appareil.

Le profil d’inscription est appliqué à l’enregistrement de l’appareil lors de la configuration initiale de l’appareil. Le regroupement dynamique Microsoft Entra n’est pas instantané. L’appareil n’est peut-être pas dans le groupe dynamique pendant un certain temps, voire plusieurs minutes en heures, en fonction d’autres modifications apportées à votre locataire.

Si l’appareil n’est pas ajouté au groupe, vos applications et stratégies ne sont pas affectées à l’appareil lors de l’archivage Intune initial. Les stratégies peuvent ne pas s’appliquer avant l’archivage planifié suivant.

Si la livraison rapide d’applications et de stratégies est importante pour votre scénario d’installation/inscription, affectez vos applications et stratégies à des groupes d’utilisateurs, et non à des groupes d’appareils dynamiques. Les groupes d’utilisateurs sont préremplis avec des membres avant la configuration de l’appareil et n’ont pas ce délai.

Pour plus d’informations sur les groupes dynamiques, accédez à :

Erreur « Impossible de lancer la synchronisation (0x80072f9a) »

Sur les appareils Windows, lorsque vous essayez de synchroniser dans l’application >ParamètresComptes>Accès professionnel ou scolaire, vous pouvez voir une The sync could not be initiated (0x80072f9a) erreur.

Si le module de plateforme sécurisée (TPM) a été réinitialisé aux paramètres d’usine, l’appareil doit être réinscrit pour reprendre la synchronisation. L’identité Microsoft Entra de l’appareil est stockée dans le TPM. Par conséquent, si l’ID est supprimé, la réinstitution est la seule façon de rétablir l’identité Microsoft Entra.