Questions, réponses et scénarios courants avec des stratégies et des profils dans Microsoft Intune
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Obtenez des réponses aux questions courantes lors de l’utilisation de stratégies dans Intune. Cet article répertorie également les intervalles d’archivage, fournit plus de détails sur les conflits, et bien plus encore.
Cet article s’applique aux stratégies suivantes :
- Stratégies de protection des applications
- Stratégies de configuration des applications
- Stratégies de conformité
- Stratégies d’accès conditionnel
- Profils de configuration d’appareil
- Stratégies d’inscription
Intervalles d’actualisation de la stratégie
Intune indique à l’appareil de s’enregistrer auprès du service Intune. Les délais de notification varient, allant d’un délai immédiat à quelques heures. Ces délais de notification varient également d’une plateforme à l’autre. Sur les appareils Android, Google Mobile Services (GMS) peut affecter les intervalles d’actualisation des stratégies.
Si un appareil ne se manifeste pas pour obtenir la stratégie ou le profil après la première notification, Intune effectue trois autres tentatives. Un appareil hors connexion, tel que désactivé ou non connecté à un réseau, peut ne pas recevoir les notifications. Dans ce cas, l’appareil obtient la stratégie ou le profil lors de son prochain archivage planifié auprès du service Intune. Il en va de même pour les vérifications de non-conformité, y compris les appareils qui passent d’un état conforme à un état non conforme.
Fréquences estimées :
Plateforme | Cycle d’actualisation |
---|---|
Android, AOSP | Environ toutes les 8 heures |
iOS/iPadOS | Environ toutes les 8 heures |
macOS | Environ toutes les 8 heures |
PC Windows 10/11 inscrits en tant qu’appareils | Environ toutes les 8 heures |
Windows 8.1 | Environ toutes les 8 heures |
Si les appareils s’inscrivent récemment, la conformité, la non-conformité et l’archivage de configuration s’exécutent plus fréquemment. Les vérifications sont estimées à :
Plateforme | Fréquence |
---|---|
Android, AOSP | Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures |
iOS/iPadOS | Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures |
macOS | Toutes les 15 minutes pendant 1 heures, puis environ toutes les 8 heures |
PC Windows 10/11 inscrits en tant qu’appareils | Toutes les 3 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis toutes les 8 heures environ |
Windows 8.1 | Toutes les 5 minutes pendant 15 minutes, puis toutes les 15 minutes pendant 2 heures, puis environ toutes les 8 heures |
Pour connaître les intervalles d’actualisation de la stratégie de protection des applications, accédez à Calendrier de livraison de la stratégie de protection des applications.
À tout moment, les utilisateurs peuvent ouvrir l'application Portail d'entreprise>Vérifier l'état des appareils ou Synchroniser les>paramètres pour vérifier immédiatement les mises à jour de politique ou de profil. Pour plus d’informations sur l’agent d’extension de gestion Intune ou les applications Win32, consultez Gestion d’applications Win32 dans Microsoft Intune.
Actions Intune qui envoient immédiatement une notification à un appareil
Différentes actions peuvent déclencher une notification. Par exemple quand une stratégie, un profil ou une application est attribué (ou non attribué), mis à jour, supprimé, etc. La durée de ces actions varient d’une plateforme à l’autre.
Les appareils s’enregistrent auprès d’Intune lorsqu’ils reçoivent une notification d’enregistrement ou pendant leur enregistrement planifié. Quand vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l’appareil qu’il doit effectuer un check-in pour recevoir ces mises à jour. Par exemple, une notification se produit lorsqu’une action de verrouillage, de réinitialisation de code secret, d’application ou d’attribution de stratégie s’exécute.
D’autres modifications n’entraînent pas de notification immédiate pour les appareils, notamment la révision des informations de contact dans l’application Portail d'entreprise ou les mises à jour d’un fichier .ipa
.
Les paramètres de la stratégie ou du profil sont appliqués à chaque check-in. Un article de blog client sur l’actualisation de la stratégie MDM Windows 10 peut être une bonne ressource.
Conflicts
Des conflits peuvent se produire lorsque différentes stratégies mettent à jour le même paramètre avec des valeurs différentes. Par exemple, vous avez deux stratégies qui mettent à jour le paramètre copier/coller sur des valeurs différentes. Le conflit est géré différemment selon le type de stratégie.
Si vous utilisez Microsoft Copilot dans Intune, Copilot peut vous aider à résoudre les conflits. Pour plus d’informations, consultez Stratégie et définition de la gestion dans Copilot dans Intune.
Vous pouvez également utiliser Microsoft Copilot dans Intune pour obtenir plus d’informations sur vos stratégies et les paramètres configurés dans vos stratégies.
Protection d'applications les stratégies en conflit
Les valeurs de conflit sont les paramètres les plus restrictifs disponibles dans une stratégie de protection des applications. L’exception concerne les champs d’entrée numériques, tels que les tentatives de code confidentiel avant la réinitialisation. Les champs de saisie numérique sont définis de la même manière que les valeurs, comme si vous aviez créé une politique MAM en utilisant l'option de paramètres recommandés.
Des conflits se produisent lorsque deux paramètres de profil sont identiques. Par exemple, vous avez configuré deux stratégies GAM identiques, à l’exception du paramètre de copier/coller. Dans ce scénario, le paramètre copier/coller est définie sur la valeur la plus restrictive. Le reste des paramètres s’appliquent comme configuré.
Une stratégie est déployée sur l’application et entre en vigueur. Une deuxième stratégie est déployée. Dans ce scénario, la première stratégie est prioritaire et reste appliquée. La deuxième stratégie est signalée comme conflictuelle. Si les deux sont appliquées en même temps, ce qui signifie qu’aucune d’elles n’est prioritaire, elles sont toutes les deux en conflit. Tous les paramètres en conflit sont définis sur les valeurs les plus restrictives.
Stratégies de conformité et de configuration des appareils en conflit
Lorsque plusieurs stratégies sont affectées au même utilisateur ou appareil, le paramètre qui s’applique se produit au niveau du paramètre individuel :
Si vous utilisez des stratégies de conformité pour évaluer les paramètres de l’appareil, les paramètres de la stratégie de conformité sont prioritaires sur le même paramètre dans les stratégies de configuration d’appareil. Les paramètres de stratégie de conformité ont toujours la priorité sur les paramètres de profil de configuration.
Si une stratégie de conformité s’applique au même paramètre d’une autre stratégie de conformité, le paramètre de la stratégie de conformité la plus restrictive s’applique.
Si un paramètre de stratégie de configuration est en conflit avec un paramètre d’une autre stratégie de configuration, ce conflit est signalé dans Intune. Corrigez ces conflits manuellement.
Dans le Centre d’administration Intune, vous pouvez créer des stratégies de configuration, notamment des analyses stratégie de groupe, la sécurité des points de terminaison, des bases de référence de sécurité, etc. En cas de conflit et que vous avez plusieurs stratégies, vérifiez tous les emplacements que vous avez configurés. En outre, les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.
Stratégies iOS/iPadOS ou macOS personnalisées en conflit
Intune n’évalue pas la charge utile des fichiers de configuration Apple ou une stratégie OMA-URI (Open Mobile Alliance Uniform Resource Identifier) personnalisée. Son rôle se limite simplement au mécanisme de livraison.
Lorsque vous attribuez une stratégie personnalisée, vérifiez que les paramètres configurés ne sont pas en conflit avec les stratégies de conformité, de configuration ou d’autres stratégies personnalisées. Si une stratégie personnalisée et ses paramètres sont en conflit, Apple applique les paramètres de manière aléatoire.
Les fonctionnalités de création de rapports intégrées peuvent vous aider à résoudre les conflits. Pour plus d’informations sur les rapports disponibles, accédez à Rapports Intune.
Un profil est supprimé ou n’est plus applicable
Lorsque vous supprimez un profil ou que vous retirez un appareil d'un groupe auquel le profil est attribué, le profil et les paramètres sont retirés de l’appareil. Plus précisément, ceux-ci sont supprimés comme décrit dans la liste suivante :
Profils Wi-Fi, VPN, de certificat et de messagerie : ces profils sont supprimés de tous les appareils inscrits et pris en charge.
Tous les autres types de profils :
appareils Android: les paramètres ne sont pas supprimés de l’appareil.
iOS/iPadOS : tous les paramètres sont supprimés, sauf :
- Autoriser l'itinérance vocale
- Autoriser l'itinérance des données
- Autoriser la synchronisation automatique lors de l'itinérance
Appareils Windows: Après avoir supprimé ou annulé l'attribution du profil, demandez à l'utilisateur Microsoft Entra de se connecter à l'appareil et de synchroniser avec le service Intune.
les paramètres Intune s’appuient sur le fournisseur de services de configuration Windows. Le comportement dépend du fournisseur. Certains fournisseurs suppriment ce paramètre, d’autres le conservent.
Un profil s’applique à un groupe d’utilisateurs. Par la suite, un utilisateur est supprimé de ce groupe. Pour que les paramètres soient retirés à cet utilisateur, il faut compter jusqu'à 7 heures ou plus :
- Profil à supprimer de l’attribution de stratégie dans le Centre d’administration Intune
- Le dispositif à synchroniser avec l'objet Intune en utilisant le cycle de rafraîchissement de la politique spécifique à la plate-forme (dans cet article).
J’ai modifié un profil de restriction d’appareil, mais les modifications n’ont pas pris effet
Pour appliquer un profil moins restrictif, certains appareils devront peut-être retirés et réinscrits dans Intune. Par exemple, vous devrez peut-être mettre hors service et réinscrivez les appareils clients Android, iOS/iPadOS et Windows.
Certains paramètres d’un profil Windows 10/11 retournent le message « Non applicable »
Certains paramètres sur les appareils clients Windows peuvent s’afficher comme Non applicable. Dans cette situation, ce paramètre spécifique n’est pas pris en charge sur la version ou l’édition de Windows en cours d’exécution sur l’appareil. Ce message peut apparaître pour les raisons suivantes :
- Le paramètre est disponible uniquement pour les versions les plus récentes de Windows, et pas pour la version actuelle du système d’exploitation sur l’appareil.
- Le paramètre est disponible uniquement pour des éditions de Windows ou des références SKU spécifiques, par exemple les éditions Familiale, Professionnel, Entreprise et Éducation.
Pour en savoir plus sur les exigences de version et d'édition pour les différents paramètres, consultez la référence du fournisseur de services de configuration (CSP).
Lorsque les appareils s’inscrivent, l’application d’applications et de stratégies affectées à des groupes d’appareils dynamiques est retardée.
Lors de l'inscription, vous pouvez utiliser les groupes d'appareils dynamiques Microsoft Entra. Par exemple, vous pouvez créer un groupe d’appareils dynamiques basé sur le nom ou le profil d’inscription d’un appareil.
Le profil d’inscription est appliqué à l’enregistrement de l’appareil lors de la configuration initiale de l’appareil. Le regroupement dynamique Microsoft Entra n’est pas instantané. L’appareil n’est peut-être pas dans le groupe dynamique pendant un certain temps, voire plusieurs minutes en heures, en fonction d’autres modifications apportées à votre locataire.
Si l’appareil n’est pas ajouté au groupe, vos applications et stratégies ne sont pas affectées à l’appareil lors de l’archivage Intune initial. Les stratégies peuvent ne pas s’appliquer avant l’archivage planifié suivant.
Si la livraison rapide d’applications et de stratégies est importante pour votre scénario d’installation/inscription, affectez vos applications et stratégies à des groupes d’utilisateurs, et non à des groupes d’appareils dynamiques. Les groupes d’utilisateurs sont préremplis avec des membres avant la configuration de l’appareil et n’ont pas ce délai.
Pour plus d’informations sur les groupes dynamiques, accédez à :
- Ajouter des groupes pour organiser les utilisateurs et les appareils dans Intune
- Recommandations de performances lors de l’utilisation d’Intune pour regrouper, cibler et filtrer
- Règles d'adhésion dynamiques pour les groupes dans Microsoft Entra ID
Erreur « Impossible de lancer la synchronisation (0x80072f9a) »
Sur les appareils Windows, lorsque vous essayez de synchroniser dans l’application >ParamètresComptes>Accès professionnel ou scolaire, vous pouvez voir une The sync could not be initiated (0x80072f9a)
erreur.
Si le module de plateforme sécurisée (TPM) a été réinitialisé aux paramètres d’usine, l’appareil doit être réinscrit pour reprendre la synchronisation. L’identité Microsoft Entra de l’appareil est stockée dans le TPM. Par conséquent, si l’ID est supprimé, la réinstitution est la seule façon de rétablir l’identité Microsoft Entra.
Articles connexes
- Dépanner les stratégies et les profils.
- Besoin d’aide supplémentaire ? Consultez Comment obtenir de l'aide dans Microsoft Intune.