Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Intune repose sur trois piliers : les identités qui se connectent, les appareils à partir duquel ils se connectent et les applications qu’ils utilisent pour accomplir leur travail. Intune orchestre ces piliers sur Microsoft Entra ID et alimente la posture des appareils et des applications dans Microsoft Entra accès conditionnel, qui permet l’accès aux ressources de l’entreprise.
Pour une introduction à ce que fait Intune et pourquoi, consultez Qu’est-ce que Microsoft Intune ?. Pour obtenir les composants, les intégrations et la vue de déploiement, consultez architecture Microsoft Intune.
Les trois piliers
| Pilier | Ce que Intune fait | Sur quoi repose Intune |
|---|---|---|
| Identités | Cible les stratégies pour les utilisateurs et les groupes, étend l’accès administrateur via le contrôle d’accès en fonction du rôle (RBAC) et crée une affinité utilisateur lors de l’inscription. | Microsoft Entra ID pour les comptes, les groupes, l’authentification et l’accès conditionnel. |
| Appareils | Inscrit, configure, protège et met hors service le matériel qui exécute le travail de votre organization. Signale l’état de conformité pour l’accès conditionnel. | Programmes d’inscription de plateforme (Windows Autopilot, Inscription automatisée des appareils Apple, Android Entreprise). |
| Applications | Déploie, configure, protège et met à jour les applications dont les utilisateurs ont besoin, sur des appareils inscrits et personnels. | Magasins d’applications et catalogues de fournisseurs (Microsoft Store, App Store, Google Play géré, Apple Business). |
Le reste de cet article décrit chaque pilier et se termine par un exemple de travail qui trace une authentification unique dans les trois.
Identités
Intune ne stocke pas les identités des utilisateurs. Il utilise Microsoft Entra ID pour les comptes, les groupes, l’authentification et l’accès conditionnel. Dans Intune, les identités apparaissent à trois endroits.
Affinité utilisateur lors de l’inscription
Lorsqu’un utilisateur se connecte à un appareil pour la première fois, l’appareil est associé à cet utilisateur. Cette association est appelée affinité utilisateur. Les stratégies attribuées à l’utilisateur les suivent sur tous les appareils associés, et l’utilisateur peut accéder à ses e-mails, fichiers et applications à partir de n’importe lequel de ces appareils.
Lorsqu’aucun utilisateur n’est associé à un appareil, l’appareil est sans utilisateur. Ce modèle est courant pour les kiosques dédiés à une seule tâche et pour les appareils partagés utilisés par plusieurs personnes.
Déterminez l’objectif de l’appareil avant l’inscription afin de pouvoir choisir la méthode d’inscription appropriée. Pour obtenir des conseils spécifiques à la plateforme, consultez Inscription des appareils dans Microsoft Intune.
Accès en fonction du rôle pour les administrateurs
Intune utilise le contrôle d’accès en fonction du rôle (RBAC) pour déterminer ce que chaque administrateur peut voir et faire dans le centre d’administration. Rôles intégrés, tels que le Gestionnaire d’applications et les autorisations de stratégie et d’étendue du Gestionnaire de profils , pour des tâches de gestion des points de terminaison spécifiques. Étant donné que Intune utilise Microsoft Entra ID, les rôles de Microsoft Entra intégrés (y compris Intune’administrateur) sont également disponibles.
Associez RBAC avec des balises d’étendue pour limiter ce qu’un administrateur peut voir, et pas seulement ce qu’il peut faire. Par exemple, attribuez à un support technique régional un rôle qui autorise les réinitialisations d’appareils, mais étiquetez-le afin qu’il puisse uniquement voir et réinitialiser les appareils de sa région.
Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle avec Microsoft Intune et Utiliser des balises d’étendue pour filtrer les stratégies.
Ciblage des stratégies et des affectations
Intune est basé sur le cloud et cible les stratégies directement aux utilisateurs ou aux groupes. Il n’existe aucune hiérarchie de conteneurs comme les unités d’organisation. Vous créez une stratégie, puis vous l’affectez à un ou plusieurs groupes Microsoft Entra.
Vous pouvez cibler une stratégie pour :
- Groupes d’utilisateurs, lorsque le paramètre doit suivre l’utilisateur sur ses appareils. Par exemple, un profil de messagerie ou un déploiement d’application.
- Groupes d’appareils, lorsque le paramètre doit s’appliquer quelle que soit la personne connectée. Par exemple, une configuration kiosque ou une stratégie de travail de première ligne.
- Groupes virtuels intégrés (Tous les utilisateurs, Tous les appareils) lorsqu’un paramètre s’applique à l’ensemble du locataire.
Pour plus d’informations, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils et Attribuer des profils d’appareil dans Microsoft Intune.
Appareils
Intune gère et sécurise les ordinateurs de bureau, les ordinateurs portables, les tablettes et les téléphones sur lesquels repose votre organization sur Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS et Windows. Pour obtenir la matrice complète du système d’exploitation pris en charge, consultez Systèmes d’exploitation et navigateurs pris en charge.
Cycle de vie de l’appareil
Chaque appareil géré passe par quatre étapes, toutes gérées dans le même centre d’administration.
- Inscrire : placer les appareils sous gestion. Le matériel appartenant à l’organisation utilise généralement l’inscription automatisée via Windows Autopilot, Apple Automated Device Enrollment ou Android Enterprise. Les appareils personnels s’inscrivent via l’application Portail d'entreprise.
- Configurer : appliquez les paramètres du Wi-Fi, du VPN, des certificats, de la messagerie, des fonctionnalités d’appareil et des options spécifiques à la plateforme. Le catalogue de paramètres expose des milliers de paramètres de plateforme.
- Protéger : appliquez des règles de conformité, chiffrez les disques, déployez des bases de référence de sécurité et intégrez-les à la défense contre les menaces mobiles. Les flux d’état de conformité Microsoft Entra l’accès conditionnel.
- Mise hors service : lorsqu’un appareil est perdu, remplacé ou n’est plus nécessaire, les actions à distance vous permettent de réinitialiser organization données, de réinitialiser l’appareil aux paramètres d’usine ou de le désinscrire.
GPM et GAM
Intune prend en charge deux modes de gestion. Vous pouvez les utiliser indépendamment ou ensemble.
- La gestion des appareils mobiles (GPM) contrôle l’ensemble de l’appareil Intune : paramètres, applications et données. La gestion des appareils mobiles est typique pour le matériel appartenant à organization.
- La gestion des applications mobiles (GAM) gère uniquement les applications professionnelles et les données qu’elles contiennent. L’utilisateur conserve le contrôle du reste de l’appareil. La gestion des applications mobiles est typique pour les scénarios BYOD (bring-your-own-device).
Vous pouvez combiner les deux sur le même appareil. Par exemple, un téléphone d’entreprise inscrit peut également avoir des stratégies de protection des applications (GAM) sur les applications qui gèrent des données particulièrement sensibles.
Pour plus d’informations, consultez Vue d’ensemble de l’inscription des appareils dans Microsoft Intune et Protection d'applications stratégies.
Appareils personnels et appartenant à l’organisation
La plupart des organisations gèrent deux populations d’appareils : le matériel dont elles sont propriétaires et les appareils personnels que les employés utilisent pour le travail. Intune prend en charge les deux avec des contrôles différents.
- Les appareils appartenant à l’organisation doivent être inscrits dans GPM. Ne comptez pas sur les utilisateurs pour gérer eux-mêmes ces appareils.
- Les appareils personnels peuvent être inscrits à la gestion des appareils mobiles lorsque les utilisateurs souhaitent un accès complet aux ressources de l’organisation, ou ils peuvent utiliser uniquement des stratégies GAM qui protègent les données dans Outlook, Teams et d’autres applications gérées.
Groupes d'appareils
Les groupes d’appareils sont des groupes Microsoft Entra qui contiennent uniquement des appareils. Elles sont utiles lorsqu’un paramètre doit s’appliquer quel que soit l’utilisateur connecté : bornes, PC partagés, appareils de première ligne ou matériel spécialisé.
L’appartenance peut être statique ou dynamique :
- Les groupes statiques nécessitent l’ajout et la suppression manuels d’appareils. Ils sont utiles pour les petits ensembles d’appareils stables.
- Les groupes dynamiques ajoutent et suppriment automatiquement des appareils en fonction des critères que vous définissez. Ils sont utiles pour les flottes d’appareils volumineuses et changeantes
Applications
Intune couvre le cycle de vie complet des applications (déploiement, configuration, protection, mise à jour) sur chaque plateforme prise en charge.
Cycle de vie de l’application
- Déployez des applications à partir de magasins publics, de catalogues de fournisseurs, de packages métier ou d’entrées intégrées dans le centre d’administration.
- Configurez les applications avant que les utilisateurs ne les ouvrent, à l’aide de stratégies de configuration d’application. Définissez la langue de l’application, ajoutez le logo de votre organization, bloquez les comptes personnels, etc.
- Protégez les données à l’intérieur des applications à l’aide de stratégies de protection des applications. Exiger un code confidentiel, bloquer le copier-coller dans les applications personnelles, empêcher les sauvegardes sur des services cloud personnels, chiffrer les données au repos et réinitialiser de manière sélective les données organization.
- Mettez à jour automatiquement les applications à mesure que de nouvelles versions deviennent disponibles. Pour les applications Microsoft 365, Microsoft Edge et Microsoft Teams sur Windows, vous pouvez remettre les mises à jour de Windows Autopatch.
Protection d'applications sans inscription (MAM-WE)
Protection d'applications stratégies ne nécessitent pas d’inscription mdm. Ils fonctionnent sur trois populations d’appareils :
- Appareils personnels qui ne sont inscrits dans aucun GPM (BYOD).
- Appareils inscrits auprès d’un autre fournisseur GPM : Intune pouvez toujours protéger les données à l’intérieur de ses applications gérées.
- Intune appareils inscrits, pour les applications qui ont besoin d’une couche supplémentaire au-delà de la gestion des appareils mobiles.
Pour plus d’informations, consultez Protection d'applications vue d’ensemble des stratégies.
Applications par plateforme
Intune prend en charge les applications du Store public, les applications métier, les applications web et les types d’applications spécifiques à la plateforme sur Android, iOS, iPadOS, macOS et Windows. Pour connaître la répartition par plateforme des types d’applications et leur provenance, consultez Ajouter et mettre à jour des applications dans Microsoft Intune.
Comment les piliers s’emboîtent
Une décision d’accès classique touche les trois piliers :
- Un utilisateur se connecte à un appareil géré et Microsoft Entra ID l’authentifie.
- L’appareil s’archive avec Intune et signale son état de conformité et son inventaire.
- Intune transfère l’état de conformité à Microsoft Entra ID.
- L’utilisateur ouvre une application d’entreprise. Microsoft Entra l’accès conditionnel évalue la demande à l’aide de l’utilisateur, de l’état de conformité de l’appareil, de l’application, de l’emplacement et des signaux de sécurité du point de terminaison dans Microsoft Defender.
- L’accès conditionnel autorise ou bloque l’accès. Si l’accès est autorisé et que l’application est une application gérée, les stratégies de protection des applications appliquent des contrôles dans l’application (code confidentiel, restrictions de copier-coller, réinitialisation sélective).
Chaque décision d’accès exerce les trois piliers ensemble : l’identité de l’utilisateur, la conformité de l’appareil et l’application que l’utilisateur ouvre.
Contenu connexe
- Identités : Microsoft Entra ID principes de base, Utiliser l’accès conditionnel avec Microsoft Intune, Contrôle d’accès en fonction du rôle avec Microsoft Intune
- Appareils : Inscription des appareils dans Microsoft Intune, Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez, Gérer la sécurité des points de terminaison dans Microsoft Intune
- Applications : Ajouter et mettre à jour des applications dans Microsoft Intune, stratégies de configuration d’application, Protection d'applications vue d’ensemble des stratégies
- Architecture : architecture Microsoft Intune