Introduction
La gestion des appareils Windows personnels dans un environnement BYOD (Bring Your Own Device) peut s'avérer complexe. Grâce à une nouvelle fonctionnalité, disponible en aperçu public, les administrateurs Intune peuvent désormais empêcher les utilisateurs d'inscrire leurs appareils personnels dans Microsoft Intune, simplifiant ainsi la gestion des politiques.
Bon à savoir
La fonctionnalité discutée dans cet article est actuellement disponible en aperçu public. Les détails pourraient évoluer avant la disponibilité générale.
Contexte : Enregistrement des appareils sous Workplace Join
Pour les appareils Windows qui ne sont ni Entra Join ni Entra Hybrid Join, les utilisateurs peuvent enregistrer leur appareil ou l'application spécifique dans l'annuaire de l'organisation, un processus connu sous le nom de Workplace Join. Cela crée un enregistrement dans Entra avec le statut "Entra Registered" et permet le SSO (Single Sign-On) pour les comptes professionnels ou scolaires sur l'appareil.
Avant cette nouvelle fonctionnalité, les utilisateurs voyaient une invite où les instructions n'étaient pas toujours claires, ce qui les poussait souvent à inscrire leurs appareils dans Intune par inadvertance. Dans la majorité des cas, cela entraînait une classification de l'appareil comme Personnel au lieu de Corporatif, compliquant ainsi la gestion pour les administrateurs.
Changements dans les invites utilisateur
Les nouvelles options simplifient le processus d'enregistrement. Voici ce qui change :
- Si l'utilisateur choisit NON : L'appareil est uniquement enregistré dans Entra, mais n'est pas inscrit dans Intune.
- Si l'utilisateur choisit OUI : L'appareil est inscrit dans Intune en plus d'être enregistré dans Entra.
Cependant, des doublons d'enregistrement dans Entra, avec différents noms d'utilisateur, pourraient compliquer le suivi des appareils. Ces nouvelles options renforcent les politiques de contrôle des accès conditionnels pour les appareils BYOD, mais sont moins utiles pour les appareils corporatifs.
Astuce
Lorsqu'une invite d'inscription MDM apparaît, il est recommandé de ne sélectionner que "Cette application uniquement" pour éviter l'inscription automatique de l'appareil entier.
Nouveauté : Blocage global des inscriptions BYOD
Dans l'aperçu public actuel, les administrateurs Intune disposent d'une fonctionnalité permettant de bloquer globalement l'inscription des appareils personnels. Cela signifie que les utilisateurs ne verront plus l'option "Oui" ou "Non" lorsque l'invite "Permettre à votre organisation de gérer votre appareil" s'affiche.
L'appareil sera toujours enregistré dans Entra, mais ne sera pas inscrit dans Intune, réduisant ainsi les risques de gestion non souhaitée des appareils personnels.
Observations et limites actuelles
Il est important de noter que, dans l'aperçu public, lorsque plusieurs comptes utilisateurs sont ajoutés sur le même appareil, le processus d'inscription pourrait ne pas être cohérent. Exemple : quand le second compte est ajouté, l'appareil peut être automatiquement inscrit dans Intune. Dans ce cas, il est nécessaire de déconnecter le compte via Paramètres -> Accès professionnel ou scolaire -> Déconnecter avant que le comportement attendu ne soit rétabli.
Attention
Étant donné que cette fonctionnalité est en aperçu public, il est conseillé de la tester soigneusement avant un déploiement dans un environnement de production.
Tutoriel : Activer le blocage global dans Intune
Accéder à la console Intune
Connectez-vous au Microsoft Endpoint Manager Admin Center et sélectionnez "Intune".
Configurer le MDM
Naviguez vers Tenant Administration > Connecteurs et tokens > Configuration MDM et activez la fonctionnalité de blocage global pour BYOD.
Testez la configuration
Testez cette configuration sur un appareil personnel en suivant les étapes d'enregistrement habituelles. Vérifiez que l'inscription dans Intune est bloquée.
Glossaire
- BYOD : Bring Your Own Device, utilisation de périphériques personnels dans un environnement professionnel.
- Entra Join : Processus d'intégration des appareils avec Azure AD.
- SSO : Single Sign-On, authentification unique pour accéder à plusieurs systèmes.
- MDM : Mobile Device Management, gestion des appareils mobiles.