Importer et analyser vos objets de stratégie de groupe locaux à l’aide des analytique de stratégie de groupe dans Microsoft Intune

Conseil

Vous recherchez une analyse d’objet de stratégie de groupe locale ? Des outils sont disponibles dans le Kit de ressources de conformité de la sécurité Microsoft.

Microsoft Intune possède de nombreux paramètres identiques à ceux de vos objets de stratégie de groupe locaux. La stratégie de groupe analytique est un outil dans Microsoft Intune qui :

  • Importe et analyse vos objets de stratégie de groupe locaux.
  • Affiche les paramètres pris en charge par les fournisseurs GPM basés sur le cloud, notamment Microsoft Intune.
  • Affiche tous les paramètres déconseillés, ou les paramètres non disponibles.
  • Peut migrer vos GPO importés vers une politique de catalogue de paramètres qui peut être déployée sur vos appareils.

Si votre organisation utilise des objets de stratégie de groupe locaux pour gérer les appareils Windows 10/11, la stratégie de groupe analytique peut vous aider. Avec l’analyse de stratégie de groupe, il est possible qu’Intune puisse remplacer vos GPO locaux. Les appareils Windows 10/11 sont par nature natifs du cloud. Ainsi, selon votre configuration, ces appareils peuvent ne pas nécessiter d’accès à un Active Directory sur site.

Si vous êtes prêt à supprimer la dépendance à l’AD sur site, l’analyse de vos GPO avec l’analyse de la stratégie de groupe est une bonne première étape. Certains paramètres plus anciens ne sont pas pris en charge ou ne s’appliquent pas aux appareils Windows natifs du cloud. Après avoir analysé vos objets de stratégie de groupe, vous connaissez les paramètres qui sont toujours valides.

Cette fonctionnalité s’applique à :

  • Windows 11
  • Windows 10

Cet article explique comment exporter vos objets de stratégie de groupe locaux, importer les objets de stratégie de groupe dans Intune et passer en revue l’analyse et les résultats. Pour migrer ou transférer vos objets de stratégie de groupe importés vers une stratégie Intune, accédez à Créer une stratégie de catalogue de paramètres à l’aide de vos objets de stratégie de groupe importés dans Microsoft Intune.

Avant de commencer

Dans le Centre d’administration Microsoft Intune, connectez-vous en tant qu’administrateur Intune ou avec un rôle disposant des bases de référence de sécurité et de l’autorisation Configuration de l’appareil. Pour plus d’informations sur les rôles intégrés, consultez Contrôle d’accès en fonction du rôle.

Exporter des objets de stratégie de groupe sous forme de fichier XML

Les étapes suivantes peuvent être différentes sur votre serveur, en fonction de la version de la console GPMC que vous utilisez. Lorsque vous exportez l’objet de stratégie de groupe, veillez à exporter en tant que fichier XML.

  1. Sur votre ordinateur sur site, ouvrez la console Group Policy Management (GPMC.msc).

  2. Dans la console de gestion, développez votre nom de domaine.

  3. Développez stratégie de groupe Objets pour voir tous les objets de stratégie de groupe disponibles.

  4. Cliquez avec le bouton droit sur l’objet de stratégie de groupe à migrer et choisissez Enregistrer le rapport :

    Capture d’écran montrant comment ouvrir la gestion des stratégies de groupe et enregistrer un objet de stratégie de groupe sous forme de rapport de fichier XML.

  5. Sélectionnez un dossier facilement accessible pour votre exportation. Dans Enregistrer en tant que type, sélectionnez Fichier XML. Dans une autre étape, vous ajoutez ce fichier à la stratégie de groupe analytique dans Intune.

Vérifiez que la taille du fichier est inférieure à 4 Mo et que son encodage Unicode est approprié. Si le fichier exporté est supérieur à 4 Mo, réduisez le nombre de paramètres dans l’objet de stratégie de groupe.

Importer des objets de stratégie de groupe et exécuter des analyses

  1. Dans le Centre d’administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils>stratégie de groupe analytique.

  2. Sélectionnez Importer, sélectionnez votre fichier > XML enregistré Suivant.

    Vous pouvez sélectionner plusieurs fichiers en même temps.

    Vérifiez la taille de vos fichiers XML d’objets de stratégie de groupe individuels. Un seul GPO ne peut pas dépasser 4 Mo. Si un seul objet de stratégie de groupe est supérieur à 4 Mo, l’importation échoue. Les fichiers XML sans la fin unicode appropriée échouent également.

  3. Dans Balises d’étendue, sélectionnez la balise d’étendue existante que vous souhaitez appliquer à l’objet de stratégie de groupe importé. Si vous ne sélectionnez pas de balise d’étendue existante, la balise d’étendue par défaut est automatiquement utilisée :

    Capture d’écran montrant comment importer un objet de stratégie de groupe (GPO) et sélectionner une balise d’étendue dans Microsoft Intune et le centre d’administration Intune.

    Seuls les administrateurs inclus dans les balises d’étendue que vous sélectionnez peuvent voir l’objet de stratégie de groupe importé. Pour plus d’informations sur les balises d’étendue sur vos objets de stratégie de groupe importés, accédez à Sélectionner une balise d’étendue lors de l’importation (dans cet article).

  4. Sélectionnez Suivant>Créer.

    Lorsque vous sélectionnez Créer, Intune analyse automatiquement l’objet de stratégie de groupe dans le fichier XML.

  5. Après l’exécution de l’analyse, l’objet de stratégie de groupe que vous avez importé est répertorié avec les informations suivantes :

    • Nom de la politique de groupe : Le nom est automatiquement généré à partir des informations contenues dans la GPO.

    • Cible Active Directory: La cible est automatiquement générée en utilisant les informations de la cible de l'unité d'organisation (OU) dans le GPO.

    • Support MDM: indique le pourcentage de paramètres de stratégie de groupe dans le GPO qui ont le même paramètre dans Intune.

      Remarque

      Chaque fois que l’équipe Microsoft Intune produit apporte des modifications au mappage dans Intune, le pourcentage sous Prise en charge MDM est automatiquement mis à jour pour refléter ces modifications.

    • Paramètres inconnus: il existe des fournisseurs de services de configuration (CSP) qui ne peuvent pas être analysés. Paramètres inconnus répertorie les objets de stratégie de groupe (GPO) qui ne peuvent pas être analysés.

    • Ciblé dans AD: Oui signifie que la GPO est liée à un OU dans la stratégie de groupe sur site. Non signifie que l’objet de stratégie de groupe n’est pas lié à une UO locale.

    • Dernière importation: affiche la date de la dernière importation.

    Vous pouvez Importer plus d’objets de stratégie de groupe à des fins d’analyse, Actualiser la page et Filtrer la sortie. Vous pouvez également Exporter cette vue dans un fichier .csv :

    Capture d’écran montrant comment importer, actualiser, filtrer ou exporter un objet de stratégie de groupe (GPO) vers un fichier CSV dans Microsoft Intune et le centre d’administration Intune.

  6. Sélectionnez le pourcentage de support GPM pour un objet de stratégie de groupe répertorié. Vous trouverez des informations plus détaillées ici :

    • Nom du paramètre: Le nom est automatiquement généré à partir des informations contenues dans le paramètre GPO.

    • Catégorie de paramètres de politique de groupe : Affiche la catégorie de paramètres pour les paramètres ADMX, tels qu'Internet Explorer et Microsoft Edge. Les paramètres n’ont pas tous une catégorie de paramètre.

    • Support GPM :

      • Oui signifie qu’un paramètre de correspondance est disponible dans Intune. Vous pouvez configurer ce paramètre dans le catalogue Paramètres.
      • Non signifie qu’il n’existe pas de paramètre correspondant à la disposition des fournisseurs GPM, y compris Intune.
      • Autres valeurs : si vous importez des paramètres plus anciens qui ne sont plus pris en charge, l’outil suggère de migrer vers une version plus récente prise en charge. Pour plus d’informations sur les scénarios de migration, consultez Objets de stratégie de groupe importés dans Intune - Ce que vous devez savoir.
    • Valeur: Affiche la valeur importée de la GPO. Il affiche des valeurs différentes, telles que true, 900, Enabled, false, bien d’autres.

    • Portée: Indique si l’objet de stratégie de groupe importé cible les utilisateurs ou les appareils cibles.

    • Version minimale du système d'exploitation : Affiche les numéros de build de version minimale du système d’exploitation Windows auxquels le paramètre de l’objet de stratégie de groupe s’applique. Il peut afficher 18362 (1903), 17130 (1803) et d’autres versions du client Windows.

      Par exemple, si un paramètre de stratégie affiche 18362, le paramètre prend en charge la build 18362 et les builds plus récentes.

    • Nom du fournisseur CSP : un fournisseur de services de configuration (CSP) expose les paramètres de configuration de l’appareil dans le client Windows. Cette colonne indique le fournisseur de solutions Cloud qui comprend le paramètre. Par exemple, vous pouvez voir Policy, BitLocker, PassportforWork, etc.

      La référence CSP répertorie les fournisseurs de services de configuration (CSP) disponibles, affiche les éditions du système d’exploitation pris en charge, et bien plus encore.

    • Cartographie du CSP: Affiche le chemin d’accès OMA-URI pour la stratégie locale. Vous pouvez utiliser OMA-URI dans un profil de configuration d’appareils personnalisé. Par exemple, vous pouvez voir ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

  7. Pour les paramètres prenant en charge MDM, vous pouvez créer une stratégie de catalogue de paramètres avec ces paramètres. Pour connaître les étapes spécifiques, accédez à Créer une stratégie de catalogue de paramètres à l’aide de vos objets de stratégie de groupe importés dans Microsoft Intune.

Sélectionner une balise d’étendue lors de l’importation

Lorsque vous importez un objet de stratégie de groupe, vous pouvez sélectionner des balises d’étendue existantes. Si vous ne sélectionnez pas de balise d’étendue, la balise d’étendue par défaut est automatiquement utilisée. Seuls les administrateurs limités à la balise Étendue par défaut peuvent voir l’objet de stratégie de groupe importé. Les administrateurs qui ne sont pas limités à la balise Étendue par défaut ne voient pas l’objet de stratégie de groupe importé.

Ce comportement s’applique à toute balise d’étendue que vous sélectionnez lorsque vous importez un objet de stratégie de groupe. Les administrateurs voient les objets de stratégie de groupe importés uniquement s’ils ont l’une des mêmes balises d’étendue sélectionnées pendant l’importation. Si un administrateur n’a pas la balise d’étendue, il ne voit pas l’objet de stratégie de groupe importé dans les rapports ou dans la liste des objets de stratégie de groupe.

Par exemple, les administrateurs ont Charlottedes balises d’étendue , Londonou Boston affectées à leur rôle :

  • Un administrateur avec la balise d’étendue « Charlotte » importe un objet de stratégie de groupe.
  • Pendant l’importation, ils sélectionnent la balise d’étendue « Charlotte ». La balise d’étendue « Charlotte » est appliquée à l’objet de stratégie de groupe importé.
  • Tous les administrateurs avec la balise d’étendue « Charlotte » peuvent voir l’objet importé.
  • Les administrateurs disposant uniquement des balises d’étendue « London » ou « Boston » ne peuvent pas voir l’objet importé à partir de l’administrateur « Charlotte ».

Pour que les administrateurs voient le analytique ou migrent l’objet de stratégie de groupe importé vers une stratégie Intune, ces administrateurs doivent avoir l’une des mêmes balises d’étendue sélectionnées lors de l’importation.

Pour plus d’informations sur les balises d’étendue, accédez à RBAC et balises d’étendue pour l’informatique distribuée.

Fournisseurs de solutions cloud et stratégies de groupe pris en charge

Les analytique de stratégie de groupe peuvent analyser les fournisseurs de services cloud suivants pour la prise en charge mdm :

Si votre objet de stratégie de groupe importé contient des paramètres qui ne figurent pas dans les csp et stratégies de groupe pris en charge, les paramètres peuvent être répertoriés dans la colonne Paramètres inconnus . Ce comportement signifie que les paramètres ont été identifiés dans votre GPO.

Même si les analytique de stratégie de groupe peuvent analyser les csp, vous devez connaître certaines choses lors de la migration de vos objets de stratégie de groupe importés. Pour plus d’informations, consultez Migrer votre objet de stratégie de groupe importé vers une stratégie de catalogue de paramètres - Ce que vous devez savoir.

Rapport sur la préparation de la migration de la stratégie de groupe

  1. Dans le Centre d’administration Microsoft Intune, sélectionnez Rapports Gestion>des> appareilsstratégie de groupe analytique :

    Capture d’écran montrant comment examiner le rapport et la sortie des objets de stratégie de groupe importés à l’aide des analytique de stratégie de groupe dans Microsoft Intune et le Centre d’administration Intune.

  2. Dans l’onglet Résumé, un résumé de l’objet de stratégie de groupe et de ses stratégies s’affiche. Utilisez ces informations pour déterminer l’état des stratégies dans votre objet de stratégie de groupe :

    • Prêt pour migration: La stratégie a un paramètre correspondant dans Intune et est prête à être migrée vers Intune.

    • Non pris en charge: La stratégie n’a pas de paramètre correspondant. En règle générale, les paramètres de stratégie qui affichent cet état ne sont pas exposés aux fournisseurs GPM, y compris Intune.

    • Déconseillée : la stratégie peut s’appliquer aux anciennes versions de Windows, aux anciennes versions de Microsoft Edge et à d’autres stratégies qui ne sont plus utilisées.

      Remarque

      Lorsque l’équipe de produit Microsoft Intune met à jour la logique de mappage, vos objets de stratégie de groupe importés sont automatiquement mis à jour. Vous n’avez pas besoin de réimporter vos objets de stratégie de groupe.

  3. Sélectionnez l’onglet >RapportsPréparation à la migration de la stratégie de groupe. Dans ce rapport, vous pouvez :

    • Consultez le nombre de paramètres de votre objet de stratégie de groupe qui peuvent être configurés dans un profil de configuration d’appareil. Il indique également si les paramètres peuvent se trouver dans un profil personnalisé, ne sont pas pris en charge ou sont supprimés.
    • filtrer la sortie du rapport à l’aide des filtres Migration Readiness, Type de profil et Nom du fournisseur de solutions Cloud ;
    • sélectionner Générer le rapport ou Générer à nouveau pour obtenir les données actuelles ;
    • consulter la liste des paramètres dans votre objet de stratégie de groupe ;
    • utiliser la barre de recherche pour rechercher des applications ;
    • obtenir une date et heure de la dernière génération du rapport.

    Remarque

    Une fois que vous avez ajouté ou supprimé vos objets de stratégie de groupe importés, vous pouvez prendre environ 20 minutes pour mettre à jour les données de rapport Migration Readiness.

Problèmes détectés

Actuellement, l’outil de stratégie de groupe analytique prend uniquement en charge les paramètres non-ADMX en anglais. Si vous importez un objet de stratégie de groupe avec des paramètres dans des langues autres que l’anglais, votre pourcentage de prise en charge GPM est inexact.

Envoyer des commentaires sur le produit

Vous pouvez fournir des commentaires sur l’analyse des stratégies de groupe. Dans le Centre d’administration Microsoft Intune, sélectionnez Appareils>Gérer lastratégiede groupedes appareils > analytique >obtenir des commentaires.

Exemples de zones de commentaires :

  • Vous avez reçu des erreurs lors de l’analytique ou de l’importation d’objets de stratégie de groupe et vous avez besoin d’informations plus spécifiques.
  • Est-il facile d’utiliser l’analytique de la stratégie de groupe pour rechercher les stratégies de groupe prises en charge dans Microsoft Intune ?
  • Cet outil vous aidera-t-il à déplacer certaines charges de travail vers Intune ? Si oui, quelles sont les charges de travail auxquelles vous pensez ?

Pour obtenir des informations sur l’expérience utilisateur, les commentaires sont regroupés et envoyés à Microsoft. L’entrée d’un e-mail est facultative et peut être utilisée pour obtenir plus d’informations.

Confidentialité et sécurité

Toute utilisation des données client, telles que les objets de stratégie de groupe que votre organisation utilise, est agrégée. Elle n’est pas vendue à des tiers. Ces données peuvent être utilisées pour prendre des décisions commerciales au sein de Microsoft. Vos données client sont stockées de manière sécurisée.

À tout moment, vous pouvez supprimer les objets de stratégie de groupe importés :

  1. Accédez à Appareils>Gérer les appareils>analytique de stratégie de groupe.

  2. Sélectionnez le menu > contextuel Supprimer :

    Capture d’écran montrant comment supprimer ou supprimer l’objet de stratégie de groupe (GPO) que vous avez importé dans l’analyseur de stratégie de groupe dans Microsoft Intune et le Centre d’administration Intune.

Étapes suivantes

Voir aussi

En savoir plus sur les Fournisseur de solutions Cloud (CSP).