Parlez-nous de l’expérience de téléchargement de PDF.

Gestion des clients

Découvrez comment appliquer des configurations personnalisées aux appareils clients
Windows. Windows propose de nombreuses fonctionnalités et méthodes pour vous
aider à configurer ou à verrouiller des parties spécifiques de l’interface Windows.

Gestion des périphériques

ｅ VUE D’ENSEMBLE

Vue d’ensemble de la gestion des périphériques mobiles (GPM)

ｐ CONCEPT

Gérer les paramètres

Gérer les mises à jour

Gérer les applications

Utilisation de Copilot dans Windows

Utilisation de Copilot dans Windows

ｃ GUIDE PRATIQUE

Utilisation de Copilot dans Windows

ｅ VUE D’ENSEMBLE

Vue d’ensemble de bienvenue

Vos données et confidentialité

Informations de référence sur les fournisseurs de services de

configuration

ｅ VUE D’ENSEMBLE

Référence sur le CSP

ｐ CONCEPT

Comprendre les stratégies ADMX

Fournisseur de pont WMI

Prise en charge du protocole OMA DM

ｉ RÉFÉRENCE

Fournisseur de services de configuration DynamicManagement

Fournisseur de services de configuration BitLocker

Fournisseur de services de configuration de stratégie – Mettre à jour

Inscription des appareils

ｅ VUE D’ENSEMBLE

Inscription de périphérique mobile

ｐ CONCEPT

Inscrire des appareils Windows

Inscription automatique à l’aide de l’ID Microsoft Entra

Inscription automatique à l’aide de la stratégie de groupe

Inscription en bloc

Outils et paramètres de gestion des clients

ｄ ENTRAINEMENT

Outils Windows/Outils d’administration

Utiliser l’assistance rapide

Se connecter à Microsoft Entra appareils

Créer des profils utilisateur obligatoires

Résoudre les problèmes de clients Windows

ｃ GUIDE PRATIQUE

Résoudre les problèmes de clients Windows

Résolution avancée des problèmes de réseaux Windows

Résolution avancée des problèmes de démarrage et de performances de Windows

Résolution avancée des problèmes liés aux profils utilisateur et à l’ouverture de session
Vue d’ensemble des Gestion des
appareils mobiles
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows fournit une solution de gestion d’entreprise pour aider les professionnels de
l’informatique à gérer les stratégies de sécurité et les applications métier de l’entreprise,
tout en évitant de compromettre la confidentialité des utilisateurs sur leurs appareils
personnels. Un composant de gestion intégré peut communiquer avec le serveur
d’administration.

Le composant de gestion Windows comporte deux parties :

Le client d’inscription, qui inscrit et configure l’appareil pour communiquer avec le

serveur d’administration d’entreprise. Pour plus d’informations, consultez Vue
d’ensemble de l’inscription.
Le client de gestion, qui se synchronise régulièrement avec le serveur
d’administration pour case activée pour les mises à jour et applique les stratégies
les plus récentes définies par le service informatique.

Les serveurs GPM tiers peuvent gérer les appareils Windows à l’aide du protocole MDM.
Le client de gestion intégré peut communiquer avec un proxy de serveur tiers qui prend
en charge les protocoles décrits dans ce document pour effectuer des tâches de gestion
d’entreprise. Le serveur tiers a la même expérience utilisateur interne cohérente pour
l’inscription, ce qui offre également une simplicité pour les utilisateurs Windows. Les
serveurs GPM n’ont pas besoin de créer ou de télécharger un client pour gérer
Windows.

Pour plus d’informations sur les protocoles MDM, consultez

[MS-MDE2] : Protocole d’inscription des appareils mobiles version 2

[MS-MDM] : protocole mobile Gestion des appareils

Base de référence de la sécurité MDM

Microsoft fournit des bases de référence de sécurité MDM qui fonctionnent comme la
base de référence de sécurité de la stratégie de groupe Microsoft. Vous pouvez
facilement intégrer cette base de référence dans n’importe quelle solution MDM pour
prendre en charge les besoins opérationnels des professionnels de l’informatique, en
répondant aux problèmes de sécurité des appareils modernes gérés dans le cloud.
La base de référence de sécurité MDM comprend des stratégies qui couvrent les
domaines suivants :

Technologies de sécurité de la boîte de réception Microsoft (non déconseillées)

telles que BitLocker, Windows Defender SmartScreen, Exploit Guard, antivirus
Microsoft Defender et pare-feu
Restriction de l’accès à distance aux appareils
Définition des exigences en matière d’informations d’identification pour les mots
de passe et les codes confidentiels
Restriction de l’utilisation des technologies héritées
Stratégies technologiques héritées qui offrent des solutions alternatives avec la
technologie moderne
Et bien plus encore

Pour plus d’informations sur les stratégies GPM définies dans la base de référence de
sécurité MDM et sur les valeurs de stratégie de base recommandées par Microsoft,
consultez :

Base de référence de la sécurité MDM pour Windows 11

Base de référence de sécurité MDM pour Windows 10, version 2004
Base de référence de sécurité GPM pour Windows 10, version 1909
Base de référence de sécurité MDM pour Windows 10, version 1903
Base de référence de sécurité MDM pour Windows 10, version 1809

Pour plus d’informations sur les stratégies GPM définies dans la base de référence de
sécurité Intune, consultez Paramètres de base de référence de sécurité Windows pour
Intune.

Conditions d'octroi de licence d'édition

Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge la gestion
moderne des appareils via (GPM) :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation

Oui Oui Oui Oui

Les droits de gestion des appareils modernes par le biais de licences (GPM) sont
accordés par les licences suivantes :
 Windows Windows Windows Windows Windows
Pro/Professionnel Entreprise E3 Entreprise E5 Éducation A3 Éducation A5
Éducation/SE

Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des
licences Windows.

Forum Aux Questions

Peut-il y avoir plusieurs serveurs MDM pour inscrire et

gérer des appareils dans Windows ?
Non. Un seul GPM est autorisé.

Comment faire définir le nombre maximal d’appareils

joints à Azure Active Directory par utilisateur ?
1. Connectez-vous au portail en tant qu’administrateur client :
[Link] .
2. Accédez à Azure AD, puis Appareils, puis sélectionnez Paramètres de l’appareil.
3. Modifiez le nombre sous Nombre maximal d’appareils par utilisateur.

Qu’est-ce que dmwappushsvc ?

Entrée Description

Qu’est-ce que Il s’agit d’un service Windows fourni dans le système d’exploitation
dmwappushsvc ? Windows dans le cadre de la plateforme de gestion Windows. Il est utilisé
en interne par le système d’exploitation comme file d’attente pour
catégoriser et traiter tous les messages wap (Wireless Application Protocol),
qui incluent les messages de gestion Windows et l’indication de
service/chargement de service (SI/SL). Le service lance et orchestre
également des sessions de synchronisation de gestion avec le serveur MDM.

Quelles données Il s’agit d’un composant qui gère le fonctionnement interne de la plateforme
sont gérées par de gestion et qui est impliqué dans le traitement des messages reçus par
dmwappushsvc ? l’appareil à distance pour la gestion. Les messages de la file d’attente sont
gérés par un autre composant qui fait également partie de la pile de gestion
Windows pour traiter les messages. Le service achemine et authentifie
également les messages WAP reçus par l’appareil vers les composants
Entrée Description

internes du système d’exploitation qui les traitent davantage. Ce service

n’envoie pas de données de télémétrie.

Comment faire si Le service peut être arrêté à partir de la console « Services » sur l’appareil
désactivé ? (Démarrer Exécuter les [Link]) et localiser Gestion des appareils service
de routage des messages Push wap (Wireless Application Protocol).>>
Toutefois, étant donné que ce service fait partie intégrante du système
d’exploitation et qu’il est requis pour le bon fonctionnement de l’appareil,
nous vous recommandons vivement de ne pas le désactiver. La
désactivation de ce service entraîne l’échec de votre gestion.
Nouveautés de l’inscription et de la gestion
des appareils mobiles
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cet article fournit des informations sur les nouveautés de l’inscription et de la gestion des appareils
mobiles (GPM) sur tous les appareils Windows. Cet article fournit également des détails sur les
changements cassants et les problèmes connus et les questions fréquemment posées.

Pour plus d’informations sur les protocoles de gestion des appareils mobiles Microsoft pour Windows,
consultez [MS-MDM] : Mobile Gestion des appareils Protocol et [MS-MDE2] : Mobile Device
Enrollment Protocol Version 2 .

Nouveautés de mdm pour Windows 11, version 22H2

Article nouveau ou mis à jour Description

DeviceStatus Ajout du nœud suivant :

MDMClientCertAttestation

eUUICs Ajout du nœud suivant :

IsDiscoveryServer

PersonalDataEncryption Nouveau fournisseur de services de configuration

Fournisseur de services de configuration Ajout des nœuds suivants :

Policy Accounts/RestrictToEnterpriseDeviceAuthenticationOnly
DesktopAppInstaller/EnableAdditionalSources
DesktopAppInstaller/EnableAllowedSources
DesktopAppInstaller/EnableAppInstaller
DesktopAppInstaller/EnableDefaultSource
DesktopAppInstaller/EnableExperimentalFeatures
DesktopAppInstaller/EnableHashOverride
DesktopAppInstaller/EnableLocalManifestFiles
DesktopAppInstaller/EnableMicrosoftStoreSource
DesktopAppInstaller/EnableMSAppInstallerProtocol
DesktopAppInstaller/EnableSettings
DesktopAppInstaller/SourceAutoUpdateInterval
Education/EnableEduThemes
Experience/AllowSpotlightCollectionOnDesktop
FileExplorer/DisableGraphRecentItems
HumanPresence/ForceInstantDim
InternetExplorer/EnableGlobalWindowListInIEMode
InternetExplorer/HideIEAppRetirementNotification
InternetExplorer/ResetZoomForDialogInIEMode
LocalSecurityAuthority/AllowCustomSSPsAPs
LocalSecurityAuthority/ConfigureLsaProtectedProcess
MixedReality/AllowCaptivePortalBeforeLogon
MixedReality/AllowLaunchUriInSingleAppKiosk
MixedReality/AutoLogonUser
MixedReality/ConfigureMovingPlatform
MixedReality/ConfigureNtpClient
Article nouveau ou mis à jour Description

MixedReality/ManualDownDirectionDisabled
MixedReality/NtpClientEnabled
MixedReality/SkipCalibrationDuringSetup
MixedReality/SkipTrainingDuringSetup
NetworkListManager/AllowedTlsAuthenticationEndpoints

NetworkListManager/ConfiguredTLSAuthenticationNetworkName
Printers/ConfigureCopyFilesPolicy
Printers/ConfigureDriverValidationLevel
Printers/ConfigureIppPageCountsPolicy
Printers/ConfigureRedirectionGuard
Printers/ConfigureRpcConnectionPolicy
Printers/ConfigureRpcListenerPolicy
Printers/ConfigureRpcTcpPort
Printers/ManageDriverExclusionList
Printers/RestrictDriverInstallationToAdministrators
RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Search/AllowSearchHighlights
Search/DisableSearch
SharedPC/EnableSharedPCModeWithOneDriveSync
Start/DisableControlCenter
Start/DisableEditingQuickSettings
Start/HideRecommendedSection
Start/HideTaskViewButton
Start/SimplifyQuickSettings
Autocollants/EnableStickers
Textinput/allowimenetworkaccess
Update/NoUpdateNotificationDuringActiveHours
WebThreatDefense/EnableService
WebThreatDefense/NotifyMalicious
WebThreatDefense/NotifyPasswordReuse
WebThreatDefense/NotifyUnsafeApp
Windowslogon/EnableMPRNotifications

SecureAssessment Ajout du nœud suivant :

Évaluations

WindowsAutopilot Ajout du nœud suivant :

HardwareMismatchRemediationData

Nouveautés de mdm pour Windows 11, version 21H2

Article nouveau ou mis à jour Description

Fournisseur de services de configuration Ajout des nœuds suivants :

Policy Kerberos/PKInitHashAlgorithmConfiguration
Kerberos/PKInitHashAlgorithmSHA1
Kerberos/PKInitHashAlgorithmSHA256
Kerberos/PKInitHashAlgorithmSHA384
Kerberos/PKInitHashAlgorithmSHA512
NewsAndInterests/AllowNewsAndInterests
Expériences/ConfigurerChatIcon
Démarrer/ConfigurerStartPins
Article nouveau ou mis à jour Description

Virtualizationbasedtechnology/HypervisorEnforcedCodeIntegrity

Virtualizationbasedtechnology/RequireUEFIMemoryAttributesTable

Fournisseur de services de configuration Mise à jour de la description des nœuds suivants :

DMClient Provider/ProviderID/ConfigLock/Lock
Provider/ProviderID/ConfigLock/UnlockDuration
Provider/ProviderID/ConfigLock/SecuredCore

PrinterProvisioning Nouveau fournisseur de services de configuration

Nouveautés de mdm pour Windows 10, version 20H2

Article nouveau ou mis à jour Description

Fournisseur de services de configuration Policy Ajout des nœuds suivants :

Experience/DisableCloudOptimizedContent
LocalUsersAndGroups/Configure

MixedReality/AADGroupMembershipCacheValidityInDays
MixedReality/BrightnessButtonDisabled
MixedReality/FallbackDiagnostics
MixedReality/MicrophoneDisabled
MixedReality/VolumeButtonDisabled
Multitâche/BrowserAltTabBlowout

Fournisseur de services de configuration SurfaceHub Ajout du nouveau nœud suivant :

Propriétés/SleepMode

Fournisseur de services de configuration Mise à jour de la description du nœud suivant :

WindowsDefenderApplicationGuard Settings/AllowWindowsDefenderApplicationGuard

Nouveautés de mdm pour Windows 10, version 2004

Article nouveau ou mis à jour Description

Fournisseur de services de configuration Policy Ajout des nœuds suivants :

ApplicationManagement/BlockNonAdminUserInstall
Bluetooth/SetMinimumEncryptionKeySize
DeliveryOptimization/DOCacheHostSource

DeliveryOptimization/DOMaxBackgroundDownloadBandwidth

DeliveryOptimization/DOMaxForegroundDownloadBandwidth
Education/AllowGraphingCalculator
TextInput/ConfigureJapaneseIMEVersion
TextInput/ConfigureSimplifiedChineseIMEVersion
TextInput/ConfigureTraditionalChineseIMEVersion

Mise à jour de la stratégie suivante :

Article nouveau ou mis à jour Description

DeliveryOptimization/DOCacheHost

Les stratégies suivantes ont été dépréciées :

DeliveryOptimization/DOMaxDownloadBandwidth
DeliveryOptimization/DOMaxUploadBandwidth

DeliveryOptimization/DOPercentageMaxDownloadBandwidth

Fournisseur de services de configuration Ajout du nouveau nœud suivant :

DevDetail Ext/Microsoft/DNSComputerName

Fournisseur de services de configuration Ajout du nœud suivant :

EnterpriseModernAppManagement IsStub

Fournisseur de services de configuration SUPL Ajout du nœud suivant :

FullVersion

Nouveautés de mdm pour Windows 10, version 1909

Article nouveau ou mis à jour Description

Fournisseur de services de configuration BitLocker Ajout des nœuds suivants :

ConfigureRecoveryPasswordRotation
RotateRecoveryPasswords
RotateRecoveryPasswordsStatus
RotateRecoveryPasswordsRequestID

Nouveautés de mdm pour Windows 10, version 1903

Article nouveau ou mis à jour Description

Fournisseur de services de Ajout des nœuds suivants :

configuration Policy DeliveryOptimization/DODelayCacheServerFallbackBackground
DeliveryOptimization/DODelayCacheServerFallbackForeground
DeviceHealthMonitoring/AllowDeviceHealthMonitoring
DeviceHealthMonitoring/ConfigDeviceHealthMonitoringScope

DeviceHealthMonitoring/ConfigDeviceHealthMonitoringUploadDestination
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
Experience/ShowLockOnUserTile
InternetExplorer/AllowEnhancedSuggestionsInAddressBar
InternetExplorer/DisableActiveXVersionListAutoDownload
InternetExplorer/DisableCompatView
InternetExplorer/DisableFeedsBackgroundSync
InternetExplorer/DisableGeolocation
InternetExplorer/DisableWebAddressAutoComplete
InternetExplorer/NewTabDefaultPage
Power/EnergySaverBatteryThresholdOnBattery
Power/EnergySaverBatteryThresholdPluggedIn
Power/SelectLidCloseActionOnBatterybr>
Article nouveau ou mis à jour Description

Power/SelectLidCloseActionPluggedIn
Power/SelectPowerButtonActionOnBattery
Power/SelectPowerButtonActionPluggedIn
Power/SelectSleepButtonActionOnBattery
Power/SelectSleepButtonActionPluggedIn
Power/TurnOffHybridSleepOnBattery
Power/TurnOffHybridSleepPluggedIn
Power/UnattendedSleepTimeoutOnBattery
Power/UnattendedSleepTimeoutPluggedIn
Privacy/LetAppsActivateWithVoice
Privacy/LetAppsActivateWithVoiceAboveLock
Search/AllowFindMyFiles
ServiceControlManager/SvchostProcessMitigation
System/AllowCommercialDataPipelinebr>
System/TurnOffFileHistory
TimeLanguageSettings/ConfigureTimeZonebr>
Dépannage/AllowRecommendations
Update/AutomaticMaintenanceWakeUp
Update/ConfigureDeadlineForFeatureUpdates
Update/ConfigureDeadlineForQualityUpdates
Update/ConfigureDeadlineGracePeriod
WindowsLogon/AllowAutomaticRestartSignOn
WindowsLogon/ConfigAutomaticRestartSignOn
WindowsLogon/EnableFirstLogonAnimation

Fournisseur de services de Ajout du nouveau fournisseur csp de stratégie d’audit.

configuration de stratégie - Audit

Fournisseur de services Ajout du nouveau fournisseur de solutions Cloud.

d’ApplicationControl

Fournisseur de services de Ajout des nouveaux nœuds suivants :

configuration Defender Health/TamperProtectionEnabled
Health/IsVirtualMachine
Configuration
Configuration/FalsificationProtection
Configuration/EnableFileHashComputation

Fournisseur de services de Ajout de la version 1.4 du csp.

configuration DiagnosticLog Ajout de la nouvelle version 1.4 du DDF.
DiagnosticLog DDF Ajout des nouveaux nœuds suivants :
Stratégie
Stratégie/Canaux
Stratégie/Canaux/ChannelName
Policy/Channels/ChannelName/MaximumFileSize
Stratégie/Canaux/ChannelName/SDDL
Policy/Channels/ChannelName/ActionWhenFull
Stratégie/Canaux/ChannelName/Enabled
DiagnosticArchive
DiagnosticArchive/ArchiveDefinition
DiagnosticArchive/ArchiveResults

Fournisseur de services de Ajout du nouveau fournisseur de solutions Cloud.

configuration
EnrollmentStatusTracking
Article nouveau ou mis à jour Description

Fournisseur de services de Ajout des nouveaux nœuds suivants :

configuration PassportForWork Clé de sécurité
SecurityKey/UseSecurityKeyForSignin

Nouveautés de la gestion des appareils mobiles pour

Windows 10, version 1809
Article nouveau ou mis à jour Description

Fournisseur de services de Ajout des nœuds suivants :

configuration Policy ApplicationManagement/LaunchAppAfterLogOn
ApplicationManagement/ScheduleForceRestartForUpdateFailures
Authentication/EnableFastFirstSignIn (mode préversion uniquement)
Authentication/EnableWebSignIn (mode préversion uniquement)
Authentication/PreferredAadTenantDomainName
Browser/AllowFullScreenMode
Browser/AllowPrelaunch
Browser/AllowPrinting
Browser/AllowSavingHistory
Browser/AllowSideloadingOfExtensions
Browser/AllowTabPreloading
Browser/AllowWebContentOnNewTabPage
Browser/ConfigureFavoritesBar
Browser/ConfigureHomeButton
Browser/ConfigureKioskMode
Browser/ConfigureKioskResetAfterIdleTimeout
Browser/ConfigureOpenMicrosoftEdgeWith
Browser/ConfigureTelemetryForMicrosoft365Analytics
Browser/PreventCertErrorOverrides
Browser/SetHomeButtonURL
Browser/SetNewTabPageURL
Browser/UnlockHomeButton
Defender/CheckForSignaturesBeforeRunningScan
Defender/DisableCatchupFullScan
Defender/DisableCatchupQuickScan
Defender/EnableLowCPUPriority
Defender/SignatureUpdateFallbackOrder
Defender/SignatureUpdateFileSharesSources
DeviceGuard/ConfigureSystemGuardLaunch
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork

DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DmaGuard/DeviceEnumerationPolicy
Experience/AllowClipboardHistory
Experience/DoNotSyncBrowserSettings
Experience/PreventUsersFromTurningOnBrowserSyncing
Kerberos/UPNNameHints
Confidentialité/AllowCrossDeviceClipboard
Confidentialité/DisablePrivacyExperience
Article nouveau ou mis à jour Description

Confidentialité/UploadUserActivities
Security/RecoveryEnvironmentAuthentication
System/AllowDeviceNameInDiagnosticData
System/ConfigureMicrosoft365UploadEndpoint
System/DisableDeviceDelete
System/DisableDiagnosticDataViewer
Storage/RemovableDiskDenyWriteAccess
TaskManager/AllowEndTask
Update/DisableWUfBSafeguards
Update/EngagedRestartDeadlineForFeatureUpdates
Update/EngagedRestartSnoozeScheduleForFeatureUpdates
Update/EngagedRestartTransitionScheduleForFeatureUpdates
Update/SetDisablePauseUXAccess
Update/SetDisableUXWUAccess
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsLogon/DontDisplayNetworkSelectionUI

Fournisseur de services de Ajout d’un nouveau nœud AllowStandardUserEncryption.

configuration BitLocker Ajout de la prise en charge de l’édition Pro.

Fournisseur de services de Ajout d’un nouveau nœud Health/ProductStatus.

configuration Defender

Fournisseur de services de Ajout d’un nouveau nœud SMBIOSSerialNumber.

configuration DevDetail

Fournisseur de services de Ajout du paramètre Non amovible sous le nœud AppManagement.

configuration
EnterpriseModernAppManagement

Fournisseur de services de Ajout du paramètre FinalStatus.

configuration Office

Fournisseur de services de Ajout de nouveaux paramètres.

configuration PassportForWork

Fournisseur de services de Ajout de nouveaux paramètres.

configuration RemoteWipe

Fournisseur de services de Ajout de trois nouveaux nœuds de certificat.

configuration SUPL

Fournisseur de services de Ajout d’un nouveau fournisseur de services de configuration.

configuration TenantLockdown

Fournisseur de services de Ajout d’un nouveau nœud WifiCost.

configuration Wifi

Fournisseur de services de Ajout de nouveaux paramètres.

configuration
WindowsDefenderApplicationGuard

Fournisseur de services de Ajout de paramètres du mode S et d’exemples SyncML.

configuration WindowsLicensing
Article nouveau ou mis à jour Description

Fournisseur de services de Nouveau fournisseur de services de configuration.

configuration
Win32CompatibilityAppraiser
intégration Microsoft Entra à mdm
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Microsoft Entra ID est le plus grand service de gestion des identités cloud d’entreprise
au monde. Il est utilisé par les organisations pour accéder à Microsoft 365 et aux
applications métier à partir de Microsoft et de fournisseurs de logiciels en tant que
service (SaaS) tiers. La plupart des expériences Windows enrichies pour les utilisateurs
de l’organisation (comme l’accès au magasin ou l’itinérance de l’état du système
d’exploitation) utilisent Microsoft Entra ID comme infrastructure d’identité sous-jacente.
Windows s’intègre à l’ID de Microsoft Entra, ce qui permet aux appareils d’être inscrits
dans Microsoft Entra ID et inscrits dans la gestion des appareils mobiles dans un flux
intégré.

Une fois qu’un appareil est inscrit dans GPM, le GPM :

Peut appliquer la conformité aux stratégies organization, ajouter ou supprimer des

applications, etc.
Peut signaler la conformité d’un appareil dans Microsoft Entra ID.
Microsoft Entra ID peut autoriser l’accès aux ressources ou applications
organization sécurisées par Microsoft Entra ID aux appareils conformes aux
stratégies.

Pour prendre en charge ces expériences enrichies avec leur produit MDM, les
fournisseurs GPM peuvent s’intégrer à Microsoft Entra ID.

Inscription et expérience utilisateur mdm

intégrées
Il existe plusieurs façons de connecter vos appareils à Microsoft Entra ID :

Joindre l’appareil à l’ID Microsoft Entra

Joindre l’appareil à AD local et à l’ID Microsoft Entra
Ajouter un compte professionnel Microsoft à Windows

Dans chaque scénario, Microsoft Entra authentifie l’utilisateur et l’appareil. Il fournit un

identificateur d’appareil unique vérifié qui peut être utilisé pour l’inscription mdm. Le
flux d’inscription permet au service MDM de restituer sa propre interface utilisateur à
l’aide d’une vue web. Les fournisseurs GPM doivent utiliser l’interface utilisateur pour
afficher les conditions d’utilisation (TOU), qui peuvent être différentes pour les appareils
d’entreprise et byOD (bring-your-own-device). Les fournisseurs GPM peuvent également
utiliser la vue web pour afficher d’autres éléments d’interface utilisateur, comme
demander un code confidentiel à usage unique.

Dans Windows 10, l’affichage web pendant le scénario prête à l’emploi s’affiche en
mode plein écran par défaut, ce qui permet aux fournisseurs GPM de créer une
expérience utilisateur de périphérie à périphérie transparente. Toutefois, dans Windows
11 l’affichage web est affiché dans un iframe. Il est important que les fournisseurs GPM
qui s’intègrent avec Microsoft Entra’ID respectent les instructions de conception
Windows. Cette étape inclut l’utilisation d’une conception web réactive et le respect des
directives d’accessibilité de Windows. Par exemple, incluez les boutons Avant et
Précédent qui sont correctement câblés à la logique de navigation. Plus d’informations
sont fournies plus loin dans cet article.

Pour que Microsoft Entra’inscription fonctionne pour un compte de Microsoft Entra des
services fédérés Active Directory (AD FS), vous devez activer l’authentification par mot
de passe pour l’intranet sur le service ADFS. Pour plus d’informations, consultez
Configurer Azure MFA en tant que fournisseur d’authentification avec AD FS.

Une fois qu’un utilisateur a un compte Microsoft Entra ajouté à Windows et inscrit à
GPM, l’inscription peut être gérée via Paramètres>Comptes>Accès professionnel ou
scolaire. La gestion des appareils de Microsoft Entra jointure pour les scénarios de
organization ou les scénarios BYOD est similaire.

７ Notes

Les utilisateurs ne peuvent pas supprimer l’inscription de l’appareil via l’interface

utilisateur d’Access professionnel ou scolaire, car la gestion est liée à l’ID de
Microsoft Entra ou au compte professionnel.

Points de terminaison GPM impliqués dans Microsoft

Entra’inscription intégrée
Microsoft Entra’inscription mdm est un processus en deux étapes :

1. Afficher les conditions d’utilisation et recueillir le consentement de l’utilisateur : ce

consentement est un flux passif dans lequel l’utilisateur est redirigé dans un
contrôle de navigateur (webview) vers l’URL des conditions d’utilisation du GPM.
2. Inscrire l’appareil : cette étape est un flux actif dans lequel l’agent DM Windows
OMA appelle le service MDM pour inscrire l’appareil.
Pour prendre en charge l’inscription Microsoft Entra, les fournisseurs GPM doivent
héberger et exposer un point de terminaison de conditions d’utilisation et un point de
terminaison d’inscription GPM.

Point de terminaison des conditions d’utilisation : utilisez ce point de terminaison

pour informer les utilisateurs des façons dont leur organization peut contrôler leur
appareil. La page Conditions d’utilisation est responsable de la collecte du
consentement de l’utilisateur avant le début de la phase d’inscription réelle.

Il est important de comprendre que le flux des conditions d’utilisation est une «
zone opaque » pour Windows et Microsoft Entra ID. L’ensemble de la vue web est
redirigé vers l’URL des conditions d’utilisation. L’utilisateur doit être redirigé après
avoir approuvé ou rejeté les Conditions. Cette conception permet au fournisseur
GPM de personnaliser ses conditions d’utilisation pour différents scénarios. Par
exemple, différents niveaux de contrôle sont appliqués sur les appareils BYOD par
rapport aux appareils appartenant à organization. Ou, implémentez le ciblage basé
sur l’utilisateur/groupe, comme les utilisateurs dans certaines zones géographiques
peuvent avoir des stratégies de gestion des appareils plus strictes.

Le point de terminaison des conditions d’utilisation peut implémenter davantage

de logique métier, comme la collecte d’un code confidentiel à usage unique fourni
par le service informatique pour contrôler l’inscription des appareils. Toutefois, les
fournisseurs GPM ne doivent pas utiliser le flux conditions d’utilisation pour
collecter les informations d’identification de l’utilisateur, ce qui peut être une
expérience utilisateur dégradée. Il n’est pas nécessaire, car une partie de
l’intégration MDM garantit que le service MDM peut comprendre les jetons émis
par Microsoft Entra ID.

Point de terminaison d’inscription mdm : une fois que les utilisateurs ont accepté
les conditions d’utilisation, l’appareil est inscrit dans Microsoft Entra ID.
L’inscription GPM automatique commence.

Le diagramme suivant illustre le flux de haut niveau impliqué dans le processus

d’inscription réel. L’appareil est d’abord inscrit avec l’ID Microsoft Entra. Ce
processus affecte un identificateur d’appareil unique à l’appareil et lui offre la
possibilité de s’authentifier avec Microsoft Entra ID (authentification de l’appareil).
Ensuite, l’appareil est inscrit pour la gestion auprès du GPM. Cette étape appelle le
point de terminaison d’inscription et demande l’inscription pour l’utilisateur et
l’appareil. À ce stade, l’utilisateur a été authentifié et l’appareil a été inscrit et
authentifié avec Microsoft Entra ID. Ces informations sont disponibles pour la
gestion des appareils mobiles sous la forme de revendications dans un jeton
d’accès présenté au point de terminaison d’inscription.
 

La gestion des appareils mobiles doit utiliser ces informations sur l’appareil (ID
d’appareil) pour signaler la conformité de l’appareil à Microsoft Entra ID à l’aide du
API Graph Microsoft. Un exemple de rapport de conformité des appareils est fourni
plus loin dans cet article.

Faire de GPM une partie fiable de l’ID Microsoft

Entra
Pour participer au flux d’inscription intégré décrit dans la section précédente, la gestion
des appareils mobiles doit consommer des jetons d’accès émis par Microsoft Entra ID.
Pour signaler la conformité avec Microsoft Entra ID, le GPM doit s’authentifier auprès de
Microsoft Entra ID et obtenir l’autorisation sous la forme d’un jeton d’accès qui lui
permet d’appeler le API Graph Microsoft.

GPM basé sur le cloud

Une GPM basée sur le cloud est une application SaaS qui fournit des fonctionnalités de
gestion des appareils dans le cloud. Il s’agit d’une application mutualisée. Cette
application est inscrite avec Microsoft Entra ID dans le locataire d’origine du fournisseur
MDM. Lorsqu’un administrateur informatique décide d’utiliser cette solution MDM, une
instance de cette application est rendue visible dans le locataire du client.

Le fournisseur GPM doit d’abord inscrire l’application dans son locataire d’origine et la
marquer comme une application multilocataire. Pour plus d’informations sur l’ajout
d’applications mutualisées à Microsoft Entra ID, consultez l’exemple de code Intégrer
une application qui authentifie les utilisateurs et appelle Microsoft Graph à l’aide du
modèle d’intégration multilocataire (SaaS) sur GitHub.

７ Notes
 Pour le fournisseur GPM, si vous n’avez pas de locataire Microsoft Entra existant
avec un abonnement Microsoft Entra que vous gérez, suivez ces guides pas à pas :

Démarrage rapide : Créer un locataire dans Microsoft Entra ID pour

configurer un locataire.
Associez ou ajoutez un abonnement Azure à votre locataire Microsoft Entra
pour ajouter un abonnement et gérez-le via le portail Azure.

L’application MDM utilise des clés pour demander des jetons d’accès à partir de l’ID de
Microsoft Entra. Ces clés sont gérées dans le locataire du fournisseur GPM et ne sont
pas visibles par les clients individuels. La même clé est utilisée par l’application MDM
multilocataire pour s’authentifier avec l’ID de Microsoft Entra, dans le locataire client
auquel appartient l’appareil géré.

７ Notes

Toutes les applications MDM doivent implémenter Microsoft Entra jetons v2 avant
de certifier que l’intégration fonctionne. En raison des modifications apportées à la
plateforme d’application Microsoft Entra, l’utilisation de jetons Microsoft Entra v2
est une exigence stricte. Pour plus d’informations, consultez Plateforme d'identités
Microsoft jetons d’accès.

GPM local
Une application GPM locale est différente d’une GPM cloud. Il s’agit d’une application
monolocataire qui est présente de manière unique au sein du locataire du client. Les
clients doivent ajouter l’application directement dans leur propre locataire. En outre,
chaque instance d’une application GPM locale doit être inscrite séparément et avoir une
clé distincte pour l’authentification avec l’ID Microsoft Entra.

Pour ajouter une application GPM locale au locataire, utilisez le service Microsoft Entra,
en particulier sous Mobilité (GPM et GAM)>Ajouter une application>Créer votre
propre application. Les administrateurs peuvent configurer les URL requises pour
l’inscription et les conditions d’utilisation.

Votre produit GPM local doit exposer une expérience de configuration dans laquelle les
administrateurs peuvent fournir l’ID client, l’ID d’application et la clé configurée dans
leur répertoire pour cette application MDM. Vous pouvez utiliser cet ID client et cette clé
pour demander des jetons à Microsoft Entra’ID lors du signalement de la conformité de
l’appareil.
Pour plus d’informations sur l’inscription d’applications avec l’ID Microsoft Entra,
consultez Principes de base de l’inscription d’une application dans Microsoft Entra ID.

Instructions relatives à la gestion et à la sécurité des clés

Les clés d’application utilisées par votre service GPM sont une ressource sensible. Ils
doivent être protégés et restaurés régulièrement pour une plus grande sécurité. Les
jetons d’accès obtenus par votre service MDM pour appeler microsoft API Graph sont
des jetons du porteur et doivent être protégés pour éviter toute divulgation non
autorisée.

Pour connaître les meilleures pratiques en matière de sécurité, consultez Microsoft

Azure Security Essentials.

Pour la gestion des appareils mobiles basée sur le cloud, vous pouvez remplacer les clés
d’application sans nécessiter d’interaction client. Il existe un ensemble unique de clés
pour tous les locataires clients gérés par le fournisseur MDM dans leur locataire
Microsoft Entra.

Pour la gestion des appareils mobiles local, les clés d’authentification Microsoft Entra se
trouvent dans le locataire du client et l’administrateur du client doit remplacer les clés.
Pour améliorer la sécurité, fournissez des conseils aux clients sur le basculement et la
protection des clés.

Publier votre application MDM dans Microsoft

Entra galerie d’applications
Les administrateurs informatiques utilisent la galerie d’applications Microsoft Entra pour
ajouter un GPM pour leur organization à utiliser. La galerie d’applications est un
magasin riche avec plus de 2 400 applications SaaS intégrées à Microsoft Entra ID.

Ajouter la gestion des appareils mobiles basé sur le cloud

à la galerie d’applications

７ Notes

Vous devez travailler avec l’équipe d’ingénierie Microsoft Entra si votre application
MDM est basée sur le cloud et doit être activée en tant qu’application MDM
multilocataire
Pour publier votre application, envoyez une demande de publication de votre
application dans Microsoft Entra galerie d’applications

Le tableau suivant présente les informations requises pour créer une entrée dans la
galerie d’applications Microsoft Entra.

Élément Description

ID ID client de votre application MDM configurée au sein de votre locataire. Cet ID

d’application est l’identificateur unique de votre application multilocataire.

Éditeur Chaîne qui identifie l’éditeur de l’application.

URL de URL de la page d’accueil de votre application dans laquelle vos administrateurs
l’application peuvent obtenir plus d’informations sur l’application MDM et contient un lien
vers la page d’accueil de votre application. Cette URL n’est pas utilisée pour
l’inscription réelle.

Description Brève description de votre application MDM, qui doit comporter moins de 255
caractères.

Icônes Ensemble d’icônes de logo pour l’application MDM. Dimensions : 45 x 45, 150 x
122, 214 x 215

Ajouter la gestion des appareils mobiles locaux à la

galerie d’applications
Il n’existe aucune exigence particulière pour l’ajout de mdm local à la galerie
d’applications. Il existe une entrée générique permettant aux administrateurs d’ajouter
une application à leur locataire.

Toutefois, la gestion des clés est différente pour la gestion des appareils mobiles local.
Vous devez obtenir l’ID client (ID d’application) et la clé attribués à l’application MDM au
sein du locataire du client. L’ID et la clé obtiennent l’autorisation d’accéder à Microsoft
API Graph et de signaler la conformité de l’appareil.

Thèmes
Les pages rendues par la gestion des appareils mobiles dans le processus d’inscription
intégré doivent utiliser des modèles Windows (Télécharger les modèles Windows et les
fichiers CSS (1.1.4) ). Ces modèles sont importants pour l’inscription pendant
l’expérience de jointure Microsoft Entra dans OOBE, où toutes les pages sont des pages
HTML de bord à bord. Évitez de copier les modèles, car il est difficile d’obtenir le
positionnement correct du bouton.
Il existe trois scénarios distincts :

1. Inscription mdm dans le cadre de Microsoft Entra jointure dans Windows OOBE.
2. Inscription mdm dans le cadre de Microsoft Entra jointure, après Windows OOBE à
partir des paramètres.
3. Inscription MDM dans le cadre de l’ajout d’un compte professionnel Microsoft sur
un appareil personnel (BYOD).

Ces scénarios prennent en charge Windows Pro, Entreprise et Éducation.

Les fichiers CSS fournis par Microsoft contiennent des informations de version et nous
vous recommandons d’utiliser la dernière version. Il existe des fichiers CSS distincts pour
les appareils clients Windows, les expériences OOBE et post-OOBE. Téléchargez les
modèles Windows et les fichiers CSS (1.1.4).

Pour Windows 10, utilisez [Link]

Pour Windows 11, utilisez [Link]

Utilisation de thèmes
Une page MDM doit respecter un thème prédéfini en fonction du scénario affiché. Par
exemple, si l’en-tête CXH-HOSTHTTP est FRX, qui est le scénario OOBE, la page doit
prendre en charge un thème sombre avec une couleur d’arrière-plan bleue, qui utilise le
fichier WinJS [Link] ver 4.0 et [Link] version 1.0.4.

CXH-HOST Scénario Thème d’arrière- WinJS Scénario CSS

(EN-TÊTE plan
HTTP)

FRX OOBE Thème foncé + Nom de Nom de fichier :

couleur d’arrière- fichier : Ui- [Link]
plan bleu [Link]

MOSET Paramètres/Post Thème clair Nom de Nom de fichier :

OOBE fichier : Ui- settings-
[Link] [Link]

Sémantique du protocole conditions

d’utilisation
Le serveur MDM héberge le point de terminaison conditions d’utilisation . Pendant le
flux de protocole de jointure Microsoft Entra, Windows effectue une redirection en page
complète vers ce point de terminaison. Cette redirection permet au GPM d’afficher les
conditions générales qui s’appliquent. Il permet à l’utilisateur d’accepter ou de rejeter
les conditions associées à l’inscription. Une fois que l’utilisateur a accepté les conditions,
la gestion des appareils mobiles est redirigée vers Windows pour que le processus
d’inscription se poursuive.

Rediriger vers le point de terminaison Conditions

d’utilisation
Cette redirection est une redirection en page complète vers le point de terminaison
Conditions d’utilisation hébergé par le GPM. Voici un exemple d’URL,
[Link] .

Les paramètres suivants sont passés dans la chaîne de requête :

Élément Description

redirect_uri Une fois que l’utilisateur a accepté ou rejeté les conditions d’utilisation, l’utilisateur
est redirigé vers cette URL.

client- GUID utilisé pour mettre en corrélation les journaux à des fins de diagnostic et de
request-id débogage. Utilisez ce paramètre pour journaliser ou suivre l’état de la demande
d’inscription afin de trouver la cause racine des échecs.

api-version Spécifie la version du protocole demandée par le client. Cette valeur fournit un
mécanisme pour prendre en charge les révisions de version du protocole.

mode Spécifie que l’appareil est organization possédé lorsque mode=azureadjoin. Ce

paramètre n’est pas présent pour les appareils BYOD.

Jeton d'accès
Microsoft Entra ID émet un jeton d’accès du porteur. Le jeton est passé dans l’en-tête
d’autorisation de la requête HTTP. Voici un format classique :

Autorisation : Porteur CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw...

Les revendications suivantes sont attendues dans le jeton d’accès passé par Windows au
point de terminaison conditions d’utilisation :

Élément Description

ID d’objet Identificateur de l’objet utilisateur correspondant à l’utilisateur authentifié.

UPN Revendication contenant le nom d’utilisateur principal (UPN) de l’utilisateur

authentifié.
 Élément Description

TID Revendication représentant l’ID de locataire du locataire. Dans l’exemple ci-dessus, il

s’agit de Fabrikam.

Ressource URL aseptisée représentant l’application MDM. Exemple:

[Link]

７ Notes

Il n’existe aucune revendication d’ID d’appareil dans le jeton d’accès, car l’appareil
n’est peut-être pas encore inscrit pour l’instant.

Pour récupérer la liste des appartenances aux groupes de l’utilisateur, vous pouvez
utiliser microsoft API Graph.

Voici un exemple d’URL :

HTTP

[Link]
web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-
150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

Le GPM est censé valider la signature du jeton d’accès pour s’assurer qu’il est émis par
Microsoft Entra ID et que le destinataire est approprié.

Contenu des conditions d’utilisation

Le GPM peut effectuer d’autres redirections si nécessaire avant d’afficher le contenu des
conditions d’utilisation à l’utilisateur. Le contenu des conditions d’utilisation approprié
doit être retourné à l’appelant (Windows) afin qu’il puisse être affiché à l’utilisateur final
dans le contrôle du navigateur.

Le contenu des conditions d’utilisation doit contenir les boutons suivants :

Accepter : l’utilisateur accepte les conditions d’utilisation et procède à l’inscription.

Refuser : l’utilisateur refuse et arrête le processus d’inscription.

Le contenu des conditions d’utilisation doit être cohérent avec le thème utilisé pour les
autres pages affichées pendant ce processus.
Conditions d’utilisation de la logique de traitement du
point de terminaison
À ce stade, l’utilisateur se trouve sur la page Conditions d’utilisation affichée pendant
l’OOBE ou à partir des expériences de paramètre. L’utilisateur dispose des options
suivantes sur la page :

L’utilisateur clique sur le bouton Accepter : le GPM doit rediriger vers l’URI
spécifié par le paramètre redirect_uri dans la requête entrante. Les paramètres de
chaîne de requête suivants sont attendus :
IsAccepted : cette valeur booléenne est obligatoire et doit être définie sur true.
OpaqueBlob : paramètre obligatoire si l’utilisateur accepte. La gestion des
appareils mobiles peut utiliser cet objet blob pour mettre certaines informations
à la disposition du point de terminaison d’inscription. La valeur conservée ici est
rendue disponible inchangée au niveau du point de terminaison d’inscription. Le
GPM peut utiliser ce paramètre à des fins de corrélation.
Voici un exemple de redirection : ms-appx-web://MyApp1/ToUResponse?
OpaqueBlob=value&IsAccepted=true

L’utilisateur clique sur le bouton Refuser : le GPM doit rediriger vers l’URI spécifié
dans redirect_uri dans la requête entrante. Les paramètres de chaîne de requête
suivants sont attendus :
IsAccepted : cette valeur booléenne est obligatoire et doit être définie sur false.
Cette option s’applique également si l’utilisateur a ignoré les conditions
d’utilisation.
OpaqueBlob : ce paramètre n’est pas censé être utilisé. L’inscription est arrêtée
avec un message d’erreur affiché à l’utilisateur.

Les utilisateurs ignorent les conditions d’utilisation lorsqu’ils ajoutent un compte

professionnel Microsoft à leur appareil. Toutefois, ils ne peuvent pas l’ignorer pendant le
processus de jointure Microsoft Entra. N’affichez pas le bouton Refuser dans le
processus de jointure Microsoft Entra. L’utilisateur ne peut pas refuser l’inscription MDM
s’il est configuré par l’administrateur pour la jointure Microsoft Entra.

Nous vous recommandons d’envoyer les paramètres client-request-id dans la chaîne de

requête dans le cadre de cette réponse de redirection.

Gestion des erreurs des conditions d’utilisation

Si une erreur se produit pendant le traitement des conditions d’utilisation, la gestion des
appareils mobiles peut retourner deux paramètres : un error paramètre et
error_description dans sa demande de redirection vers Windows. L’URL doit être
encodée et le contenu du error_description doit être en texte brut anglais. Ce texte
n’est pas visible par l’utilisateur final. Par conséquent, la localisation du
error_description texte n’est pas un problème.

Voici le format d’URL :

Console

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E

Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?
error=access_denied&error_description=Access%20is%20denied%2E

Le tableau suivant présente les codes d’erreur.

Cause status Erreur Description

HTTP

api-version 302 invalid_request version non prise en

charge

Les données client ou utilisateur sont 302 unauthorized_client utilisateur ou locataire

manquantes ou les autres conditions non autorisé
préalables requises pour l’inscription
des appareils ne sont pas remplies

Échec de la validation du jeton 302 unauthorized_client unauthorized_client

Microsoft Entra

erreur de service interne 302 server_error erreur de service

interne

Protocole d’inscription avec ID Microsoft Entra

Avec l’inscription mdm intégrée à Azure, il n’y a pas de phase de découverte et l’URL de
découverte est directement transmise au système à partir d’Azure. Le tableau suivant
présente la comparaison entre les inscriptions traditionnelles et Azure.
Détail Inscription GPM traditionnelle jointure l’ID Microsoft
Microsoft Entra Entra ajoute un
(appareil compte
appartenant à professionnel
organization) (appareil
appartenant à
l’utilisateur)

Détection automatique Inscription Non applicable

MDM à l’aide d’une URL de
adresse e-mail pour découverte
récupérer l’URL de provisionnée
découverte MDM dans Azure

Utilise l’URL de découverte Inscription Inscription Inscription

MDM Renouvellement de l’inscription Renouvellement Renouvellement
ROBO de l’inscription de l’inscription
ROBO ROBO

L’inscription mdm est-elle Oui Oui Non

obligatoire ? L’utilisateur peut
refuser.

Type d’authentification OnPremise Fédérés Fédérés

Fédérés
Certificat

EnrollmentPolicyServiceURL Facultatif (toutes les Facultatif (toutes Facultatif (toutes

authentifications) les les
authentifications) authentifications)

EnrollmentServiceURL Obligatoire (toutes les Utilisé (toutes les Utilisé (toutes les
authentifications) authentifications) authentifications)

EnrollmentServiceURL Fortement recommandé Fortement Fortement

inclut la version du système recommandé recommandé
d’exploitation, la
plateforme du système
d’exploitation et d’autres
attributs fournis par l’URL
de découverte MDM

AuthenticationServiceURL Utilisé (authentification fédérée) Ignoré Ignoré

utilisé

BinarySecurityToken Personnalisé par GPM Jeton émis par Jeton émis par
l’ID Microsoft l’ID Microsoft
Entra Entra

EnrollmentType Complet Appareil Complet

 Détail Inscription GPM traditionnelle jointure l’ID Microsoft
Microsoft Entra Entra ajoute un
(appareil compte
appartenant à professionnel
organization) (appareil
appartenant à
l’utilisateur)

Type de certificat inscrit Certificat utilisateur Certificat Certificat

d’appareil utilisateur

Magasin de certificats Mon/Utilisateur Mon/Système Mon/Utilisateur

inscrit

Nom de l’objet CSR Nom d’utilisateur principal ID de l’appareil Nom d’utilisateur

principal

Objet blob binaire de Non pris en charge Pris en charge Pris en charge
conditions d’utilisation
EnrollmentData en tant
qu’AdditionalContext pour
EnrollmentServiceURL

Fournisseurs de services de Windows 10 prise en charge :

configuration accessibles - DMClient
lors de l’inscription - CertificateStore
- RootCATrustedCertificates
- ClientCertificateInstall
-
EnterpriseModernAppManagement
- PassportForWork
-Politique
- application w7

Protocole de gestion avec id de Microsoft Entra

Il existe deux types d’inscription GPM différents qui s’intègrent à l’ID de Microsoft Entra
et utilisent Microsoft Entra identités d’utilisateur et d’appareil. Selon le type d’inscription,
le service MDM peut avoir besoin de gérer un ou plusieurs utilisateurs.

Gestion de plusieurs utilisateurs pour Microsoft Entra appareils joints

Dans ce scénario, l’inscription MDM s’applique à chaque utilisateur Microsoft Entra

qui se connecte à l’appareil Microsoft Entra joint : appelez ce type d’inscription une
inscription d’appareil ou une inscription multi-utilisateur. Le serveur
d’administration peut déterminer l’identité de l’utilisateur, déterminer les stratégies
ciblées pour cet utilisateur et envoyer les stratégies correspondantes à l’appareil.
Pour permettre au serveur d’administration d’identifier l’utilisateur actuel connecté
à l’appareil, le client DM OMA utilise les jetons d’utilisateur Microsoft Entra.
Chaque session de gestion contient un en-tête HTTP supplémentaire qui contient
un jeton utilisateur Microsoft Entra. Ces informations sont fournies dans le package
DM envoyé au serveur d’administration. Toutefois, dans certains cas, Microsoft
Entra jeton utilisateur n’est pas envoyé au serveur d’administration. Un tel scénario
se produit immédiatement après la fin des inscriptions GPM pendant Microsoft
Entra processus de jointure. Tant que Microsoft Entra processus de jointure n’est
pas terminé et que Microsoft Entra utilisateur ne se connecte à l’ordinateur,
Microsoft Entra jeton utilisateur n’est pas disponible pour le processus OMA-DM.
En règle générale, l’inscription mdm se termine avant Microsoft Entra connexion de
l’utilisateur à l’ordinateur et la session de gestion initiale ne contient pas de jeton
utilisateur Microsoft Entra. Le serveur d’administration doit case activée si le jeton
est manquant et envoyer uniquement des stratégies d’appareil dans ce cas. Une
autre raison possible d’un jeton Microsoft Entra manquant dans la charge utile
OMA-DM est lorsqu’un invité est connecté à l’appareil.

Ajout d’un compte professionnel et d’une inscription GPM à un appareil :

Dans ce scénario, l’inscription MDM s’applique à un seul utilisateur qui a

initialement ajouté son compte professionnel et inscrit l’appareil. Dans ce type
d’inscription, le serveur d’administration peut ignorer Microsoft Entra jetons qui
peuvent être envoyés pendant la session de gestion. Que Microsoft Entra jeton soit
présent ou manquant, le serveur d’administration envoie les stratégies utilisateur
et appareil à l’appareil.

Évaluation Microsoft Entra jetons utilisateur :

Le jeton Microsoft Entra se trouve dans l’en-tête d’autorisation HTTP au format

suivant :

Console

Authorization:Bearer <Azure AD User Token Inserted here>

D’autres revendications peuvent être présentes dans le jeton Microsoft Entra, par
exemple :
Utilisateur : utilisateur actuellement connecté
Conformité de l’appareil : valeur définissez le service MDM dans Azure
ID de l’appareil : identifie l’appareil qui s’archive
ID du client
 Les jetons d’accès émis par Microsoft Entra ID sont des jetons web JSON (JWT).
Windows présente un jeton JWT valide au point de terminaison d’inscription MDM
pour démarrer le processus d’inscription. Il existe deux options pour évaluer les
jetons :
Utilisez l’extension Gestionnaire de jetons JWT pour WIF afin de valider le
contenu du jeton d’accès et d’extraire les revendications requises pour
l’utilisation. Pour plus d’informations, consultez Classe JwtSecurityTokenHandler.
Reportez-vous aux exemples de code d’authentification Microsoft Entra pour
obtenir un exemple d’utilisation des jetons d’accès. Pour obtenir un exemple,
consultez NativeClient-DotNet .

Alerte d’appareil 1224 pour Microsoft Entra

jeton utilisateur
Une alerte est envoyée lorsque la session DM démarre et qu’un utilisateur Microsoft
Entra est connecté. L’alerte est envoyée dans le package OMA DM #1. Voici un exemple :

XML

Alert Type: [Link]/MDM/AADUserToken

Alert sample:
<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">[Link]/MDM/AADUserToken</Type>
</Meta>
<Data>UserToken inserted here</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>

Déterminer quand un utilisateur est connecté

via l’interrogation
Une alerte est envoyée au serveur GPM dans le package DM #1.

Type d’alerte - [Link]/MDM/LoginStatus

Format d’alerte - chr
 Données d’alerte : fournissez des informations de connexion status pour
l’utilisateur connecté actif actuel.
Utilisateur connecté disposant d’un compte Microsoft Entra - texte prédéfini :
utilisateur.
Utilisateur connecté sans compte Microsoft Entra texte prédéfini : autres.
Aucun utilisateur actif - texte prédéfini : aucun

Voici un exemple :

XML

<SyncBody>
<Alert>
<CmdID>1</CmdID>
<Data>1224</Data>
<Item>
<Meta>
<Type xmlns= "syncml:metinf ">[Link]/MDM/LoginStatus</Type>
</Meta>
<Data>user</Data>
</Item>
</Alert>
... other XML tags ...
</SyncBody>

Signaler la conformité de l’appareil à l’ID de

Microsoft Entra
Une fois qu’un appareil est inscrit auprès du GPM pour la gestion, organization
stratégies configurées par l’administrateur informatique sont appliquées sur l’appareil.
GPM évalue la conformité de l’appareil avec les stratégies configurées, puis le signale à
Microsoft Entra ID. Cette section décrit l’appel API Graph que vous pouvez utiliser pour
signaler un status de conformité d’appareil à Microsoft Entra ID.

Pour obtenir un exemple illustrant comment un GPM peut obtenir un jeton d’accès à
l’aide d’OAuth 2.0 client_credentials type d’octroi, consultez
Daemon_CertificateCredential-DotNet .

GPM basé sur le cloud : si votre produit est un service GPM multilocataire basé sur
le cloud, vous disposez d’une clé unique configurée pour votre service au sein de
votre locataire. Pour obtenir l’autorisation, utilisez cette clé pour authentifier le
service GPM avec Microsoft Entra ID.
GPM local : si votre produit est un GPM local, les clients doivent configurer votre
produit avec la clé utilisée pour l’authentification avec l’ID Microsoft Entra. Cette
 configuration de clé est due au fait que chaque instance locale de votre produit
MDM a une clé différente propre au locataire. Par conséquent, vous devrez peut-
être exposer une expérience de configuration dans votre produit MDM qui permet
aux administrateurs de spécifier la clé à utiliser pour s’authentifier avec Microsoft
Entra’ID.

Utiliser Microsoft API Graph

L’exemple d’appel d’API REST suivant illustre la façon dont un GPM peut utiliser le API
Graph Microsoft pour signaler les status de conformité d’un appareil géré.

７ Notes

Cette API s’applique uniquement aux applications MDM approuvées sur les
appareils Windows.

Console

Sample Graph API Request:

PATCH [Link]
655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO.........
Accept: application/json
Content-Type: application/json
{ "isManaged":true,
"isCompliant":true
}

Où :

[Link] : cette valeur est le nom du locataire Microsoft Entra auquel

l’appareil a été joint.
db7ab579-3759-4492-a03f-655ca7f52ae1 : cette valeur est l’identificateur de
l’appareil dont les informations de conformité sont signalées à Microsoft Entra ID.
eyJ0eXAiO......... : cette valeur est le jeton d’accès du porteur émis par Microsoft
Entra ID au GPM qui autorise la GPM à appeler le API Graph Microsoft. Le jeton
d’accès est placé dans l’en-tête d’autorisation HTTP de la requête.
isManaged et isCompliant : ces attributs booléens indiquent la conformité status.
api-version : utilisez ce paramètre pour spécifier la version de l’API de graphe
demandée.

Réponse:
 Réussite : HTTP 204 sans contenu.
Échec/erreur : HTTP 404 introuvable. Cette erreur peut être retournée si l’appareil
ou le locataire spécifié est introuvable.

Perte de données lors de la désinscription de

Microsoft Entra jointure
Lorsqu’un utilisateur est inscrit à GPM via Microsoft Entra jointure, puis déconnecte
l’inscription, il n’y a aucun avertissement indiquant que l’utilisateur perd des données
Windows Information Protection (WIP). Le message de déconnexion n’indique pas la
perte de données WIP.

Codes d’erreur
Code ID Message
d’erreur

0x80180001 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180002 « idErrorAuthenticationFailure », // Un problème

MENROLL_E_DEVICE_AUTHENTICATION_ERROR s’est produit lors
de
l’authentification
de votre compte
Code ID Message
d’erreur

ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180003 « idErrorAuthorizationFailure », // Cet utilisateur

MENROLL_E_DEVICE_AUTHORIZATION_ERROR n’est pas
autorisé à
s’inscrire. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180004 « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180005 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180006 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR produite lors de
la
Code ID Message
d’erreur

communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180007 « idErrorAuthenticationFailure », // Un problème

MENROLL_E_DEVICE_INVALIDSECURITY_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180008 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_UNKNOWN_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180009 « idErrorAlreadyInProgress », // Une autre

MENROLL_E_ENROLLMENT_IN_PROGRESS inscription est
en cours. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Code ID Message
d’erreur

0x8018000A « idErrorMDMAlreadyEnrolled », // Cet appareil est

MENROLL_E_DEVICE_ALREADY_ENROLLED déjà inscrit.
Vous pouvez
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000D « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000E « idErrorAuthenticationFailure », // Un problème

MENROLL_E_PASSWORD_NEEDED s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000F « idErrorAuthenticationFailure », // Un problème

MENROLL_E_WAB_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
Code ID Message
d’erreur

code {0}d’erreur
.

0x80180010 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_CONNECTIVITY produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180012 « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_INVALIDSSLCERT certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180013 « idErrorDeviceLimit », // Il semble qu’il y

MENROLL_E_DEVICECAPREACHED ait trop
d’appareils ou
d’utilisateurs
pour ce compte.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x80180014 « idErrorMDMNotSupported », // Cette

MENROLL_E_DEVICENOTSUPPORTED fonctionnalité
n’est pas prise
en charge.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.
Code ID Message
d’erreur

0x80180015 « idErrorMDMNotSupported », // Cette

MENROLL_E_NOTSUPPORTED fonctionnalité
n’est pas prise
en charge.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x80180016 « idErrorMDMRenewalRejected », // Le serveur n’a

MENROLL_E_NOTELIGIBLETORENEW pas accepté la
demande. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180017 « idErrorMDMAccountMaintenance », // Le service est en

MENROLL_E_INMAINTENANCE maintenance.
Vous pouvez
réessayer
ultérieurement
ou contacter
votre
administrateur
système avec le
code {0}d’erreur
.

0x80180018 « idErrorMDMLicenseError », // Une erreur s’est

MENROLL_E_USERLICENSE produite avec
votre licence.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180019 « idErrorInvalidServerConfig », // Il semble que le

MENROLL_E_ENROLLMENTDATAINVALID serveur n’est pas
correctement
Code ID Message
d’erreur

configuré. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

« rejectedTermsOfUse » « idErrorRe éjectéTermsOfUse » Votre

organization
exige que vous
acceptiez les
conditions
d’utilisation.
Réessayez ou
demandez à
votre support
technique
d’obtenir plus
d’informations.

0x801c0001 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c0002 « idErrorAuthenticationFailure », // Un problème

DSREG_E_DEVICE_AUTHENTICATION_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Code ID Message
d’erreur

0x801c0003 « idErrorAuthorizationFailure », // Cet utilisateur

DSREG_E_DEVICE_AUTHORIZATION_ERROR n’est pas
autorisé à
s’inscrire. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0006 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DEVICE_INTERNALSERVICE_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c000B « idErrorUntrustedServer », // Le serveur

DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED contacté n’est
pas approuvé.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c000C « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DISCOVERY_FAILED produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c000E « idErrorDeviceLimit », // Il semble qu’il y

DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED ait trop
Code ID Message
d’erreur

d’appareils ou
d’utilisateurs
pour ce compte.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c000F « idErrorDeviceRequiresReboot », // Un redémarrage

DSREG_E_DEVICE_REQUIRES_REBOOT est nécessaire
pour terminer
l’inscription de
l’appareil.

0x801c0010 « idErrorInvalidCertificate », // Il semble que

DSREG_E_DEVICE_AIK_VALIDATION_ERROR vous ayez un
certificat non
valide.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0011 « idErrorAuthenticationFailure », // Un problème

DSREG_E_DEVICE_ATTESTATION_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0012 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
Code ID Message
d’erreur

administrateur
système avec le
code d’erreur {0}

0x801c0013 « idErrorAuthenticationFailure », // Un problème

DSREG_E_TENANTID_NOT_FOUND s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0014 « idErrorAuthenticationFailure », // Un problème

DSREG_E_USERSID_NOT_FOUND s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Gérer les appareils Windows dans votre
organization - transition vers une
gestion moderne
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

L’utilisation d’appareils personnels pour le travail et des employés travaillant en dehors

du bureau peut changer la façon dont votre organization gère les appareils. Certaines
parties de votre organisation requièrent un contrôle minutieux et approfondi des
appareils, tandis que d’autres peuvent rechercher une gestion reposant sur un scénario
permettant d’accroître les capacités de la main d’œuvre moderne. Windows offre la
flexibilité nécessaire pour répondre à ces exigences changeantes et peut facilement être
déployé dans un environnement mixte. Vous pouvez déplacer le pourcentage
d’appareils Windows progressivement, en suivant les planifications de mise à niveau
normales utilisées dans votre organization.

Votre organization peut prendre en charge différents systèmes d’exploitation sur un

large éventail de types d’appareils et les gérer via un ensemble commun d’outils tels
que des Microsoft Configuration Manager, des Microsoft Intune ou d’autres produits
tiers. Cette « diversité managée » vous permet à vos utilisateurs de bénéficier des
améliorations de productivité disponibles sur leurs nouveaux appareils Windows (y
compris la prise en charge des entrées tactiles et des entrées manuscrites enrichies),
tout en conservant vos normes de sécurité et de facilité de gestion. Il peut vous aider,
ainsi que vos organization, à tirer parti de Windows plus rapidement.

Cet article fournit des conseils sur les stratégies de déploiement et de gestion des
appareils Windows, notamment le déploiement de Windows dans un environnement
mixte. Il couvre les options de gestion ainsi que les quatre phases du cycle de vie de
l’appareil :

Déploiement et mise en service

Identité et authentification
Configuration
Mise à jour et maintenance

Examen des options de gestion pour Windows

Windows offre une gamme d’options de gestion, comme illustré dans le diagramme
suivant :
 

Comme indiqué dans le diagramme, Microsoft continue de fournir une prise en charge
de la gestion et de la sécurité approfondies par le biais de technologies telles que la
stratégie de groupe, Active Directory et Configuration Manager. Il offre également une
approche « mobile-first, cloud-first » de gestion simplifiée et moderne à l’aide de
solutions de gestion des appareils basées sur le cloud telles que Microsoft Enterprise
Mobility + Security (EMS). Les futures innovations Windows, fournies via Windows as a
Service, sont complétées par des services cloud tels que Microsoft Intune, Microsoft
Entra ID, Azure Information Protection et Microsoft 365.

Déploiement et approvisionnement
Avec Windows, vous pouvez continuer à utiliser le déploiement de système
d’exploitation traditionnel, mais vous pouvez également « gérer de façon prête à
l’emploi ». Pour transformer de nouveaux appareils en appareils entièrement configurés
et entièrement gérés, vous pouvez :

Évitez de réimaginer à l’aide de l’approvisionnement dynamique, activé par un

service de gestion des appareils basé sur le cloud tel que Windows Autopilot ou
Microsoft Intune.
 Créer des packages d’approvisionnement autonomes créés à l’aide du Concepteur
de configuration Windows. Pour plus d’informations, consultez Mise en service de
packages pour Windows.

Utilisez des techniques de création d’images traditionnelles telles que le

déploiement d’images personnalisées à l’aide de Configuration Manager.

Vous disposez de plusieurs options de mise à niveau vers Windows 10 et Windows 11.
Pour les appareils existants exécutant Windows 10, vous pouvez utiliser le processus de
mise à niveau sur place robuste pour passer rapidement et de manière fiable à Windows
11 tout en conservant automatiquement toutes les applications, données et paramètres
existants. L’utilisation de ce processus peut réduire les coûts de déploiement et
améliorer la productivité, car les utilisateurs finaux peuvent être immédiatement
productifs , tout est juste là où ils l’ont laissé. Vous pouvez également utiliser une
approche de réinitialisation et de chargement classique si vous préférez, en utilisant les
mêmes outils que vous utilisez aujourd’hui.

Identité et authentification
Vous pouvez utiliser Windows et des services tels que l’ID Microsoft Entra de nouvelles
façons pour l’identité, l’authentification et la gestion basées sur le cloud. Vous pouvez
offrir à vos utilisateurs la possibilité de « bring your own device » (BYOD) ou de «
choisir votre propre appareil » (CYOD) à partir d’une sélection que vous mettez à
disposition. Dans le même temps, vous pourrez gérer des PC et des tablettes qui
doivent être joints à un domaine en raison d’applications ou de ressources spécifiques
utilisées sur chacun d’eux.

Vous pouvez envisager la gestion des appareils et des utilisateurs selon les deux
catégories suivantes :

Appareils d’entreprise (CYOD) ou personnels (BYOD) utilisés par des utilisateurs

mobiles pour des applications SaaS, ,telles qu’Office 365. Avec Windows, vos
employés peuvent provisionner eux-mêmes leurs appareils :

Pour les appareils d’entreprise, ils peuvent configurer l’accès d’entreprise avec
Microsoft Entra jointure. Lorsque vous leur proposez Microsoft Entra rejoindre
avec l’inscription mdm Intune automatique, ils peuvent placer les appareils dans
un état géré par l’entreprise en une seule étape , le tout à partir du cloud.

Microsoft Entra rejoindre est également une excellente solution pour le

personnel temporaire, les partenaires ou d’autres employés à temps partiel. Ces
 comptes peuvent être conservés séparément du domaine AD local, mais ont
toujours accès aux ressources d’entreprise nécessaires.

De même, pour les appareils personnels, les employés peuvent bénéficier d’une
nouvelle expérience BYOD simplifiée pour ajouter leur compte professionnel à
Windows, puis accéder aux ressources de travail sur leur appareil.

PC et tablettes joints à un domaine utilisés pour des applications classiques et

l’accès aux ressources importantes. Ces applications et ressources peuvent être
traditionnelles qui nécessitent une authentification ou l’accès à des ressources
hautement sensibles ou classifiées locales.

Avec Windows, si vous disposez d’un domaine Active Directory local intégré à l’ID
de Microsoft Entra, lorsque les appareils des employés sont joints, ils s’inscrivent
automatiquement avec l’ID Microsoft Entra. Cette inscription fournit :
Une authentification unique pour l’accès aux ressources cloud et locales depuis
n’importe où
Une itinérance d’entreprise des paramètres
Accès conditionnel aux ressources d’entreprise en fonction de l’intégrité ou de
la configuration de l’appareil
Windows Hello Entreprise
Windows Hello

Les PC et tablettes joints à un domaine peuvent continuer à être gérés avec

Configuration Manager stratégie cliente ou de groupe.

À mesure que vous parcourez les rôles de votre organisation, vous pouvez utiliser l’arbre
de décision pour commencer à identifier les utilisateurs ou les appareils qui nécessitent
d’être joints à un domaine. Envisagez de basculer les utilisateurs restants vers l’ID
Microsoft Entra.
 

Paramètres et configuration
Plusieurs facteurs, dont le niveau de gestion requis, les appareils et données gérées et
les exigences du secteur, régissent les exigences de configuration. Dans le même temps,
bien que les employés soient souvent préoccupés par l’application de stratégies strictes
à leurs appareils personnels par les départements informatiques, ils veulent continuer
d’avoir accès aux e-mails et documents d’entreprise. Vous pouvez créer un ensemble
cohérent de configurations sur les PC, tablettes et téléphones via la couche GPM
commune.

GPM : la GPM vous permet de configurer les paramètres qui vous permettent
d’atteindre votre objectif de gestion sans exposer tous les paramètres possibles.
(En revanche, la stratégie de groupe expose des paramètres affinés que vous
contrôlez individuellement.) L’un des avantages de la gestion des appareils mobiles
est qu’il vous permet d’appliquer des paramètres de confidentialité, de sécurité et
de gestion des applications plus étendus au moyen d’outils plus légers et plus
efficaces. GPM vous permet également de cibler des appareils connectés à Internet
pour gérer des stratégies sans utiliser de stratégie de groupe qui nécessite des
 appareils locaux joints à un domaine. Cette disposition fait de GPM le meilleur
choix pour les appareils qui sont constamment en déplacement.

Stratégie de groupe et Configuration Manager : votre organization peut encore

avoir besoin de gérer les ordinateurs joints à un domaine à un niveau granulaire à
l’aide des paramètres de stratégie de groupe. Si c’est le cas, la stratégie de groupe
et les Configuration Manager restent d’excellents choix de gestion :

La stratégie de groupe est la meilleure façon de configurer de manière

granulaire des PC et tablettes Windows joints à un domaine connectés au
réseau d’entreprise à l’aide d’outils Windows. Microsoft continue d’ajouter des
paramètres de stratégie de groupe à chaque nouvelle version de Windows.

Configuration Manager reste la solution recommandée pour une configuration

granulaire avec un déploiement de logiciels robuste, des mises à jour Windows
et un déploiement du système d’exploitation.

Mise à jour et maintenance

Avec Windows as a Service, votre service informatique n’a plus besoin d’effectuer de
processus d’imagerie complexes (par réinitialisation et chargement) avec chaque
nouvelle version de Windows. Que ce soit sur le canal de disponibilité générale ou sur le
canal de maintenance Long-Term, les appareils reçoivent les dernières mises à jour de
fonctionnalités et de qualité par le biais de processus de mise à jour corrective simples,
souvent automatiques. Pour plus d’informations, consultez Scénarios de déploiement
Windows.

La GPM avec Intune propose des outils permettant d’appliquer les mises à jour Windows
sur les ordinateurs clients de votre organisation. Configuration Manager autorise les
fonctionnalités de suivi et de gestion enrichies de ces mises à jour, y compris les
fenêtres de maintenance et les règles de déploiement automatiques.

Étapes suivantes
Vous pouvez suivre différentes étapes pour commencer le processus de modernisation
de la gestion des appareils dans votre organization :

Évaluez les pratiques de gestion courantes et recherchez les investissements que vous
pourriez faire aujourd’hui. Parmi vos pratiques actuelles, lesquelles peuvent rester
inchangées et lesquelles pouvez vous changer ? Plus précisément, quels éléments de la
gestion traditionnelle avez-vous besoin de conserver et lesquels pouvez-vous
moderniser ? Que vous preniez des mesures pour réduire la création d’images
personnalisées, réévaluer la gestion des paramètres ou réévaluer l’authentification et la
conformité, les avantages peuvent être immédiats. Vous pouvez utiliser l’analytique de
stratégie de groupe dans Microsoft Intune pour vous aider à déterminer les stratégies
de groupe prises en charge par les fournisseurs GPM basés sur le cloud, y compris les
Microsoft Intune.

Évaluez les différents cas d’utilisation et les besoins de gestion dans votre
environnement. Existe-t-il des groupes d’appareils qui pourraient bénéficier d’une
gestion plus allégée et simplifiée ? Les appareils BYOD, par exemple, sont des candidats
naturels à la gestion basée sur le cloud. Les utilisateurs ou les appareils traitant une
quantité plus élevée de données réglementées requièrent un domaine Active Directory
sur site pour l’authentification. Configuration Manager et EMS vous offrent la possibilité
d’implémenter par étapes des scénarios de gestion modernes tout en ciblant différents
appareils de la façon la mieux adaptée aux besoins de votre entreprise.

Passez en revue les arbres de décision de cet article. Avec les différentes options de
Windows, ainsi que Configuration Manager et Enterprise Mobility + Security, vous avez
la possibilité de gérer la création d’images, l’authentification, les paramètres et les outils
de gestion pour n’importe quel scénario.

Procédez par étape. Passer à la gestion moderne des appareils ne doit pas être une
transformation du jour au lendemain. Vous pouvez intégrer de nouveaux systèmes
d’exploitation et appareils tout en conservant les anciens. Avec cette « diversité
managée », les utilisateurs peuvent bénéficier d’améliorations de productivité sur les
appareils Windows modernes, tout en continuant à gérer les anciens appareils
conformément à vos normes de sécurité et de gestion. La stratégie CSP
MDMWinsOverGP permet aux stratégies GPM d’être prioritaires sur la stratégie de
groupe lorsque la stratégie de groupe et ses stratégies GPM équivalentes sont définies
sur l’appareil. Vous pouvez commencer à implémenter des stratégies GPM tout en
conservant votre environnement de stratégie de groupe. Pour plus d’informations,
notamment la liste des stratégies GPM avec des stratégies de groupe équivalentes,
consultez Stratégies prises en charge par la stratégie de groupe.

Optimisez vos investissements existants. Dans le cadre du passage d’une gestion sur
site classique à une gestion moderne basée sur le cloud, tirez profit de l’architecture
hybride et flexible de Configuration Manager et Intune. La cogestion vous permet de
gérer simultanément des appareils Windows à l’aide de Configuration Manager et
d’Intune. Pour plus d’informations, consultez les articles suivants :

Cogestion pour les appareils Windows

Préparer les appareils Windows pour la cogestion
Basculer Configuration Manager charges de travail vers Intune
 Tableau de bord de cogestion dans Configuration Manager

Articles connexes
Qu’est-ce qu’Intune ?
Fournisseur de services de configuration Policy
Informations de référence sur les fournisseurs de services de configuration
Prise en charge des notifications Push
pour la gestion des périphériques
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Le fournisseur de services de configuration DMClient prend en charge la possibilité de

configurer des sessions de gestion des appareils lancées par push. Avec Windows
Notification Services (WNS), un serveur d’administration peut demander à un appareil
d’établir une session de gestion avec le serveur via une notification Push. Un appareil est
fourni avec un PFN pour une application. Cette configuration entraîne la configuration
de l’appareil pour prendre en charge un envoi (push) par le serveur d’administration.
Une fois l’appareil configuré, il inscrit une connexion persistante avec le cloud WNS (les
conditions d’assistant de batterie et d’assistant de données le permettent).

Pour lancer une session de gestion des appareils, le serveur d’administration doit
d’abord s’authentifier auprès de WNS à l’aide de son SID et de sa clé secrète client. Une
fois authentifié, le serveur reçoit un jeton pour lancer une notification Push brute pour
n’importe quel ChannelURI. Lorsque le serveur d’administration souhaite lancer une
session de gestion avec un appareil, il peut utiliser le jeton et channelURI de l’appareil,
et commencer à communiquer avec l’appareil.

Pour plus d’informations sur la façon d’obtenir des informations d’identification push
(SID et clé secrète client) et PFN à utiliser dans WNS, consultez Obtenir des informations
d’identification WNS et PFN pour la notification Push MDM.

Étant donné qu’un appareil n’est pas toujours connecté à Internet, WNS prend en
charge la mise en cache des notifications à remettre à l’appareil une fois qu’il se
reconnecte. Pour vous assurer que votre notification est mise en cache pour remise,
définissez l’en-tête X-WNS-Cache-Policy sur Cache. En outre, si le serveur souhaite
envoyer une notification Push brute limitée dans le temps, le serveur peut utiliser l’en-
tête X-WNS-TTL qui fournit à WNS une liaison de durée de vie afin que la notification
expire une fois le temps écoulé. Pour plus d’informations, consultez Vue d’ensemble des
notifications brutes.

Les restrictions suivantes sont liées aux notifications Push et au service WNS :

Push pour la gestion des appareils utilise des notifications Push brutes. Cette
restriction signifie que ces notifications Push brutes ne prennent pas en charge ou
n’utilisent pas de charges utiles de notification Push.

La réception des notifications Push est sensible aux paramètres Économiseur de

batterie et Sens des données sur l’appareil. Par exemple, si la batterie tombe en
 dessous de certains seuils, la connexion persistante de l’appareil avec WNS est
arrêtée. En outre, si l’utilisateur utilise l’Assistant Données et a dépassé son
allocation mensuelle de données, la connexion persistante de l’appareil avec WNS
est également arrêtée.

Un ChannelURI fourni au serveur d’administration par l’appareil n’est valide que

pendant 30 jours. L’appareil renouvelle automatiquement channelURI après 15
jours et déclenche une session de gestion en cas de renouvellement réussi de
ChannelURI. Il est recommandé que, pendant chaque session de gestion, le serveur
d’administration interroge la valeur ChannelURI pour s’assurer qu’il a reçu la valeur
la plus récente. Cette requête garantit que le serveur d’administration ne tente pas
d’utiliser un ChannelURI qui a expiré.

L’envoi (push) ne remplace pas le fait d’avoir une planification d’interrogation.

WNS se réserve le droit de bloquer les notifications Push à votre PFN si une
utilisation incorrecte des notifications est détectée. Tous les appareils gérés à l’aide
de ce PFN cessent d’avoir la prise en charge de la gestion des appareils lancée par
push.

Dans Windows 10, version 1511, nous utilisons la logique de nouvelle tentative
suivante pour DMClient :
Si l’heure d’expiration est supérieure à 15 jours, une planification est définie
lorsque 15 jours sont restants.
Si l’heure d’expiration est comprise entre maintenant et 15 jours, une
planification définie pour 4 +/- 1 heure à partir de maintenant.
Si ExpirationTime est passé, une planification est définie pour 1 jour +/- 4
heures à partir de maintenant.

Dans Windows 10, version 1607 et ultérieure, nous case activée pour la
connectivité réseau avant de réessayer. Nous ne case activée pas pour la
connectivité Internet. Si la connectivité réseau n’est pas disponible, la nouvelle
tentative est ignorée et une planification est définie pendant 4 heures et plus/-1
pour réessayer.

Obtenir les informations d’identification WNS

et PFN pour la notification Push MDM
Pour obtenir des informations d’identification PFN et WNS, vous devez créer une
application Microsoft Store.
 1. Accédez au tableau de bord Windows et connectez-vous avec votre compte de
développeur.
2. Sélectionnez Applications et jeux sous Espaces de travail. Créez un nouveau
produit et sélectionnez APPLICATION MSIX ou PWA.
3. Réservez un nom d’application.
4. Sélectionnez Identité du produit sous Gestion des produits pour afficher le nom
de la famille de packages (PFN) de votre application.
5. Sélectionnez WNS/MPNS sous Gestion des produits.
a. Sélectionnez le lien Portail d’inscription des applications . Une nouvelle fenêtre
s’ouvre montrant votre application dans le Portail Azure.
b. Dans la page Portail d’inscription d’application, vous voyez les propriétés de
l’application que vous avez créée, telles que :

ID de l’application
Secrets d’application
URI de redirection

Pour plus d’informations, consultez Tutoriel : Envoyer des notifications à des

applications plateforme Windows universelle à l’aide d’Azure Notification Hubs.
Prise en charge de Windows
Information Protection (WIP) sur
Windows
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows Information Protection (WIP) est une solution légère permettant de gérer
l’accès aux données d’entreprise et la sécurité sur les appareils personnels. La prise en
charge de WIP est intégrée à Windows.

７ Notes

À compter de juillet 2022, Microsoft déprécie Windows Information Protection

(WIP). Microsoft continuera à prendre en charge WIP sur les versions prises en
charge de Windows. Les nouvelles versions de Windows n’incluront pas de
nouvelles fonctionnalités pour WIP et ne seront pas prises en charge dans les
futures versions de Windows. Pour plus d’informations, consultez Annonce de
l’extinction de Windows Information Protection .

Pour vos besoins en matière de protection des données, Microsoft vous

recommande d’utiliser Protection des données Microsoft Purview et Protection
contre la perte de données Microsoft Purview. Purview simplifie la configuration
et fournit un ensemble avancé de fonctionnalités.

Intégration avec l’ID Microsoft Entra

WIP est intégré à Microsoft Entra service d’identité. Le service WIP prend en charge
Microsoft Entra’authentification intégrée pour l’utilisateur et l’appareil lors de
l’inscription et du téléchargement des stratégies WIP. L’intégration de WIP à Microsoft
Entra ID est similaire à l’intégration de la gestion des appareils mobiles (GPM). Consultez
Microsoft Entra’intégration à GPM.

WIP utilise la jonction d’espace de travail (WPJ). WPJ est intégré à l’ajout d’un flux de
compte professionnel à un appareil personnel. Si un utilisateur ajoute son compte de
Microsoft Entra professionnel ou scolaire en tant que compte secondaire à l’ordinateur,
son appareil est inscrit auprès de WPJ. Si un utilisateur joint son appareil à Microsoft
Entra ID, il est inscrit à GPM. En règle générale, un appareil qui a un compte personnel
comme compte principal est considéré comme un appareil personnel et doit être inscrit
auprès de WPJ. Une jointure Microsoft Entra et une inscription à GPM doivent être
utilisées pour gérer les appareils d’entreprise.

Sur les appareils personnels, les utilisateurs peuvent ajouter un compte Microsoft Entra
en tant que compte secondaire à l’appareil tout en conservant leur compte personnel en
tant que compte principal. Les utilisateurs peuvent ajouter un compte Microsoft Entra à
l’appareil à partir d’une application intégrée Microsoft Entra prise en charge, telle que la
prochaine mise à jour des applications Microsoft 365. Les utilisateurs peuvent
également ajouter un compte Microsoft Entra à partir de Paramètres > Comptes >
Accès professionnel ou scolaire.

Les utilisateurs non administrateurs ordinaires peuvent s’inscrire à gam.

Comprendre windows Information Protection

WIP tire parti des stratégies intégrées pour protéger les données d’entreprise sur
l’appareil. Pour protéger les applications appartenant à l’utilisateur sur les appareils
personnels, WPJ limite l’application des stratégies WIP aux applications éclairées et aux
applications compatibles WIP. Les applications compatibles peuvent faire la distinction
entre les données d’entreprise et personnelles, en déterminant correctement les
éléments à protéger en fonction des stratégies WIP. Les applications compatibles WIP
indiquent à Windows qu’elles ne gèrent pas les données personnelles et, par
conséquent, il est sûr que Windows protège les données en leur nom.

Pour rendre les applications compatibles WIP, les développeurs d’applications doivent
inclure les données suivantes dans le fichier de ressources de l’application.

syntax

// Mark this binary as Allowed for WIP (EDP) purpose

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END

Configuration d’un locataire Microsoft Entra

pour l’inscription GAM
L’inscription GAM nécessite l’intégration avec l’ID Microsoft Entra. Le fournisseur de
services GAM doit publier l’application GESTION GPM dans la galerie d’applications
Microsoft Entra. La même application GPM de gestion basée sur le cloud dans Microsoft
Entra ID prend en charge les inscriptions MDM et GAM. Si vous avez déjà publié votre
application MDM, elle doit être mise à jour pour inclure des URL d’inscription mam et
des conditions d’utilisation. Cette capture d’écran illustre l’application de gestion pour
une configuration d’administrateur informatique.

Les services GAM et GPM dans un organization peuvent être fournis par différents
fournisseurs. En fonction de la configuration de l’entreprise, l’administrateur
informatique doit généralement ajouter une ou deux applications de gestion Microsoft
Entra pour configurer des stratégies GAM et GPM. Par exemple, si mam et mdm sont
fournis par le même fournisseur, un Administration informatique doit ajouter une
application de gestion de ce fournisseur qui contient à la fois des stratégies GAM et
MDM pour le organization. Si les services GAM et MDM d’un organization sont fournis
par deux fournisseurs différents, deux applications de gestion des deux fournisseurs
doivent être configurées pour l’entreprise dans Microsoft Entra ID : une pour la gestion
des applications mobiles et une autre pour mdm.

７ Notes

Si le service MDM d’un organization n’est pas intégré à Microsoft Entra ID et utilise
la découverte automatique, une seule application de gestion pour gam doit être
configurée.

Inscription mam
L’inscription GAM est basée sur l’extension MAM du protocole [MS-MDE2]. L’inscription
MAM prend en charge l’authentification fédérée d’ID Microsoft Entra comme seule
méthode d’authentification.
Voici les modifications apportées au protocole pour l’inscription MAM :

La découverte GPM n’est pas prise en charge.

Le nœud APPAUTH dans le fournisseur de services de configuration DMAcc est
facultatif.
La variante d’inscription MAM du protocole [MS-MDE2] ne prend pas en charge le
certificat d’authentification client et, par conséquent, ne prend pas en charge le
protocole [MS-XCEP]. Les serveurs doivent utiliser un jeton Microsoft Entra pour
l’authentification du client pendant les synchronisations de stratégie. Les sessions
de synchronisation de stratégie doivent être effectuées via tls/SSL unidirectionnel à
l’aide de l’authentification par certificat de serveur.

Voici un exemple d’approvisionnement XML pour l’inscription GAM.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="MAM SyncML Server"/>
<parm name="NAME" value="mddprov account"/>
<parm name="ADDR" value="[Link]
<parm name="DEFAULTENCODING" value="application/[Link]+xml" />
</characteristic>
</wap-provisioningdoc>

Étant donné que le nœud Poll n’est pas fourni dans cet exemple, l’appareil est défini par
défaut sur une fois toutes les 24 heures.

Fournisseurs de services de configuration pris

en charge
WIP prend en charge les fournisseurs de services de configuration (CSP) suivants. Tous
les autres fournisseurs de services cloud sont bloqués. Notez que la liste peut changer
ultérieurement en fonction des commentaires des clients :

Fournisseur de services de configuration AppLocker pour la configuration des

applications Windows Information Protection entreprise autorisées.
ClientCertificateInstaller le fournisseur de services de configuration pour installer
les certificats VPN et Wi-Fi.
DeviceStatus CSP requis pour la prise en charge de l’accès conditionnel.
Fournisseur de services de configuration DevInfo.
Fournisseur de services de configuration DMAcc.
 Csp DMClient pour la configuration des planifications d’interrogation et l’URL de
découverte MDM.
EnterpriseDataProtection CSP a des stratégies de Information Protection Windows.
Certificat d’intégrité csp requis pour la prise en charge de l’accès conditionnel.
Fournisseur de services de configuration PassportForWork pour la gestion des
codes confidentiels Windows Hello Entreprise.
Fournisseur de services de configuration de stratégie spécifiquement pour les
zones NetworkIsolation et DeviceLock.
Fournisseur de services de configuration de création de rapports pour récupérer
les journaux d’Information Protection Windows.
Fournisseur de services de configuration RootCaTrustedCertificates.
VpNv2 CSP doit être omis pour les déploiements où le service informatique prévoit
d’autoriser l’accès et de protéger les ressources cloud uniquement avec gam.
Le fournisseur de solutions Cloud Wi-Fi doit être omis pour les déploiements où le
service informatique prévoit d’autoriser l’accès aux ressources cloud uniquement et
de les protéger avec gam.

Stratégies de verrouillage d’appareil et EAS

Mam prend en charge des stratégies de verrouillage d’appareil similaires à la gestion
des appareils mobiles. Les stratégies sont configurées par la zone DeviceLock du csp
Policy et le csp PassportForWork.

Nous vous déconseillons de configurer les stratégies Exchange ActiveSync (EAS) et GAM
pour le même appareil. Toutefois, si les deux sont configurés, le client se comporte
comme suit :

Lorsque des stratégies EAS sont envoyées à un appareil qui dispose déjà de
stratégies GAM, Windows évalue si les stratégies GAM existantes sont conformes
aux stratégies EAS configurées et signale la conformité avec EAS.
Si l’appareil est conforme, EAS signale la conformité avec le serveur pour autoriser
la synchronisation des messages. Mam prend uniquement en charge les stratégies
EAS obligatoires. La vérification de la conformité EAS ne nécessite pas de droits
d’administrateur d’appareil.
Si l’appareil n’est pas conforme, EAS applique ses propres stratégies à l’appareil et
l’ensemble de stratégies résultant est un sur-ensemble des deux. L’application de
stratégies EAS à l’appareil nécessite des droits d’administrateur.
Si un appareil qui a déjà des stratégies EAS est inscrit à GAM, l’appareil a les deux
ensembles de stratégies : GAM et EAS, et l’ensemble de stratégies résultant est un
sur-ensemble des deux.
Synchronisation de stratégie
Les synchronisations de stratégie GAM sont modélisées d’après mdm. Le client MAM
utilise un jeton Microsoft Entra pour s’authentifier auprès du service pour les
synchronisations de stratégie.

Remplacer l’inscription GAM par GPM

Windows ne prend pas en charge l’application des stratégies GAM et MDM aux mêmes
appareils. Si l’administrateur le configure, les utilisateurs peuvent remplacer leur
inscription GAM par GPM.

７ Notes

Lorsque les utilisateurs effectuent une mise à niveau de GAM vers MDM sur
Windows Home Edition, ils perdent l’accès à Windows Information Protection. Sur
l’édition Windows Home, nous vous déconseillons d’envoyer (push) des stratégies
MDM pour permettre aux utilisateurs de mettre à niveau.

Pour configurer l’appareil GAM pour l’inscription mdm, l’administrateur doit configurer
l’URL de découverte MDM dans le fournisseur de services de configuration DMClient.
Cette URL est utilisée pour l’inscription mdm.

Dans le processus de modification de l’inscription GAM en GPM, les stratégies GAM sont
supprimées de l’appareil une fois que les stratégies MDM ont été correctement
appliquées. Normalement, lorsque les stratégies de Information Protection Windows
sont supprimées de l’appareil, l’accès de l’utilisateur aux documents protégés par WIP
est révoqué (réinitialisation sélective), sauf si EDP CSP RevokeOnUnenroll a la valeur
false. Pour empêcher la réinitialisation sélective lors de la modification de l’inscription de
GAM à MDM, l’administrateur doit s’assurer que :

Les stratégies GAM et GPM pour le organization prennent en charge les

Information Protection Windows.
L’ID d’entreprise CSP EDP est le même pour mam et mdm.
Edp CSP RevokeOnMDMHandoff est défini sur false.

Si l’appareil GAM est correctement configuré pour l’inscription mdm, le lien Inscrire
uniquement à la gestion des appareils s’affiche dans Paramètres > Comptes > Accès
professionnel ou scolaire. L’utilisateur peut sélectionner ce lien, fournir ses informations
d’identification et l’inscription sera remplacée par GPM. Leur compte Microsoft Entra ne
sera pas affecté.
Inscription de périphérique mobile
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

L’inscription des appareils mobiles est la première phase de la gestion d’entreprise. L’appareil
est configuré pour communiquer avec le serveur MDM en utilisant des précautions de
sécurité pendant le processus d’inscription. Le service d’inscription vérifie que seuls les
appareils authentifiés et autorisés sont gérés par l’entreprise.

Le processus d’inscription comprend les étapes suivantes :

1. Découverte du point de terminaison d’inscription : cette étape fournit les paramètres

de configuration du point de terminaison d’inscription.
2. Installation du certificat : cette étape gère l’authentification utilisateur, la génération de
certificat et l’installation des certificats. Les certificats installés seront utilisés à l’avenir
pour gérer l’authentification mutuelle client/serveur (TLS/SSL).
3. Provisionnement du client DM : cette étape configure le client Gestion des appareils
(DM) pour qu’il se connecte à un serveur Mobile Gestion des appareils (MDM) après
l’inscription via DM SyncML sur HTTPS (également appelé XML OMA DM (Open Mobile
Alliance Gestion des appareils).

Protocole d’inscription
De nombreuses modifications ont été apportées au protocole d’inscription pour mieux
prendre en charge différents scénarios sur toutes les plateformes. Pour plus d’informations
sur le protocole d’inscription des appareils mobiles, consultez :

[MS-MDM] : protocole mobile Gestion des appareils.

[MS-MDE2] : protocole d’inscription d’appareil mobile version 2 .

Le processus d’inscription implique les étapes suivantes :

Demande de découverte
La demande de découverte est un simple appel http post qui retourne du code XML sur
HTTP. Le code XML retourné inclut l’URL d’authentification, l’URL du service de gestion et le
type d’informations d’identification de l’utilisateur.

Stratégie d’inscription de certificat

La configuration de la stratégie d’inscription de certificat est une implémentation du
protocole MS-XCEP, qui est décrit dans [MS-XCEP] : X.509 Certificate Enrollment Policy
Protocol Specification. La section 4 de la spécification fournit un exemple de demande et de
réponse de stratégie. Le protocole de stratégie d’inscription de certificat X.509 est un
protocole de messagerie minimal qui inclut un message de demande client unique
(GetPolicies) avec un message de réponse de serveur correspondant (GetPoliciesResponse).

Pour plus d’informations, consultez [MS-XCEP] : Protocole de stratégie d’inscription de

certificats X.509

Inscription de certificat
L’inscription de certificat est une implémentation du protocole MS-WSTEP.

Configuration de la gestion
Le serveur envoie le code XML d’approvisionnement qui contient un certificat de serveur
(pour l’authentification serveur TLS/SSL), un certificat client émis par l’autorité de certification
d’entreprise, des informations de démarrage du client DM (pour que le client communique
avec le serveur d’administration), un jeton d’application d’entreprise (pour que l’utilisateur
installe des applications d’entreprise) et le lien pour télécharger l’application Hub
d’entreprise.

Les articles suivants décrivent le processus d’inscription de bout en bout à l’aide de

différentes méthodes d’authentification :

Inscription de périphériques de l'authentification fédérée

Inscription d'appareils à l'authentification par certificat
Inscription de périphériques de l'authentification locale

７ Notes

Il est recommandé de ne pas utiliser de vérifications côté serveur codées en dur sur des
valeurs telles que :

Chaîne de l’agent utilisateur

Tous les URI fixes passés lors de l’inscription
Mise en forme spécifique d’une valeur, sauf indication contraire, telle que le format
de l’ID d’appareil.

Prise en charge de l’inscription pour les appareils

joints à un domaine
Les appareils joints à un Active Directory local peuvent s’inscrire à GPM via Paramètres>Accès
professionnel ou scolaire. Toutefois, l’inscription peut uniquement cibler l’utilisateur inscrit
avec des stratégies spécifiques à l’utilisateur. Les stratégies ciblées sur l’appareil continuent
de cibler tous les utilisateurs de l’appareil.

Scénarios d’inscription non pris en charge

Les scénarios suivants n’autorisent pas les inscriptions GPM :

Les comptes d’administrateur intégrés sur le bureau Windows ne peuvent pas s’inscrire
à GPM.
Les utilisateurs standard ne peuvent pas s’inscrire à GPM. Seuls les utilisateurs
administrateurs peuvent s’inscrire.

Désactiver les inscriptions MDM

L’administrateur informatique peut désactiver les inscriptions MDM pour les PC joints à un
domaine à l’aide de la stratégie de groupe Désactiver l’inscription MDM .

stratégie de groupe Chemin d’accès : Configuration> ordinateurModèles

d’administration>Composants> WindowsGPM>Désactiver l’inscription MDM. Clé de
Registre correspondante :
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\MDM\DisableRegistration
(REG_DWORD)

Messages d’erreur d’inscription

Le serveur d’inscription peut refuser les messages d’inscription en utilisant le format d’erreur
SOAP. Les erreurs créées peuvent être envoyées comme suit :

XML

<s:envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:header>
<a:action
s:mustunderstand="1">[Link]
rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645"
xmlns="[Link]
beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
<s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">This User is not authorized to
enroll</s:text>
</s:reason>
</s:fault>
</s:body>
</s:envelope>

Exemples de messages d’erreur :

Espace Sous-code Erreur Description HRESULT

de
noms

s: MessageFormat MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR Message non 80180001

valide
provenant du
serveur
Mobile
Gestion des
appareils
(MDM).

s: Authentication MENROLL_E_DEVICE_AUTHENTICATION_ERROR Le serveur 80180002

Mobile
Gestion des
appareils
(MDM) n’a
Espace Sous-code Erreur Description HRESULT
de
noms

pas pu
authentifier
l’utilisateur.
Réessayez ou
contactez
votre
administrateur
système.

s: Authorization MENROLL_E_DEVICE_AUTHORIZATION_ERROR L’utilisateur 80180003

n’est pas
autorisé à
s’inscrire à
Mobile
Gestion des
appareils
(MDM).
Réessayez ou
contactez
votre
administrateur
système.

s: CertificateRequest MENROLL_E_DEVICE_CERTIFICATEREQUEST_ERROR L’utilisateur 80180004

n’a aucune
autorisation
pour le
modèle de
certificat ou
l’autorité de
certification
est
inaccessible.
Réessayez ou
contactez
votre
administrateur
système.

s: EnrollmentServer MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR Le serveur 80180005

Mobile
Gestion des
appareils
(MDM) a
rencontré une
erreur.
Réessayez ou
contactez
votre
 Espace Sous-code Erreur Description HRESULT
de
noms

administrateur
système.

Un: InternalServiceFault MENROLL_E_DEVICE_INTERNALSERVICE_ERROR Il y a eu une 80180006

exception non
prise en
charge sur le
serveur
Mobile
Gestion des
appareils
(MDM).
Réessayez ou
contactez
votre
administrateur
système.

Un: InvalidSecurity MENROLL_E_DEVICE_INVALIDSECURITY_ERROR Le serveur 80180007

Mobile
Gestion des
appareils
(MDM) n’a
pas pu valider
votre compte.
Réessayez ou
contactez
votre
administrateur
système.

Le format SOAP inclut également un deviceenrollmentserviceerror élément. Voici un

exemple :

XML

<s:envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:header>
<a:action
s:mustunderstand="1">[Link]
rstrc/wstep</a:action>
<activityid correlationid="2493ee37-beeb-4cb9-833c-cadde9067645"
xmlns="[Link]
beeb-4cb9-833c-cadde9067645</activityid>
<a:relatesto>urn:uuid:urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:relatesto>
</s:header>
<s:body>
 <s:fault>
<s:code>
<s:value>s:receiver</s:value>
<s:subcode>
<s:value>s:authorization</s:value>
</s:subcode>
</s:code>
<s:reason>
<s:text xml:lang="en-us">device cap reached</s:text>
</s:reason>
<s:detail>
<deviceenrollmentserviceerror
xmlns="[Link]
<errortype>devicecapreached</errortype>
<message>device cap reached</message>
<traceid>2493ee37-beeb-4cb9-833c-cadde9067645</traceid>
</deviceenrollmentserviceerror>
</s:detail>
</s:fault>
</s:body>
</s:envelope>

Exemples de messages d’erreur :

Sous-code Erreur Description HRESULT

DeviceCapReached MENROLL_E_DEVICECAPREACHED Le compte a trop 80180013

d’appareils inscrits à
Mobile Gestion des
appareils (MDM).
Supprimez ou
désinscrivez les anciens
appareils pour corriger
cette erreur.

DeviceNotSupported MENROLL_E_DEVICENOTSUPPORTED Le serveur Mobile 80180014

Gestion des appareils
(MDM) ne prend pas en
charge cette
plateforme ou version.
Envisagez de mettre à
niveau votre appareil.

Non pris en charge MENROLL_E_NOT_SUPPORTED Le Gestion des 80180015

appareils mobile (GPM)
n’est généralement pas
pris en charge pour cet
appareil.

Not EligibleToRenew MENROLL_E_NOTELIGIBLETORENEW L’appareil tente de 80180016

renouveler le certificat
Mobile Gestion des
appareils (MDM), mais
le serveur a rejeté la
 Sous-code Erreur Description HRESULT

demande. Vérifiez la
planification du
renouvellement sur
l’appareil.

InMaintenance MENROLL_E_INMAINTENANCE Le serveur Mobile 80180017

Gestion des appareils
(MDM) indique que
votre compte est en
maintenance, réessayez
ultérieurement.

UserLicense MENROLL_E_USER_LICENSE Une erreur s’est 80180018

produite avec votre
licence utilisateur
Mobile Gestion des
appareils (MDM).
Contactez votre
administrateur système.

InvalidEnrollmentData MENROLL_E_ENROLLMENTDATAINVALID Le serveur Mobile 80180019

Gestion des appareils
(MDM) a rejeté les
données d’inscription.
Le serveur n’est peut-
être pas configuré
correctement.

TraceID est un nœud de texte de forme libre qui est journalisé. Il doit identifier l’état côté
serveur pour cette tentative d’inscription. Ces informations peuvent être utilisées par le
support technique pour rechercher la raison pour laquelle le serveur a refusé l’inscription.

Articles connexes
Inscription GPM d’appareils Windows
Inscription de périphériques de l'authentification fédérée
Inscription d'appareils à l'authentification par certificat
Inscription de périphériques de l'authentification locale
Inscription GPM des appareils Windows
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Dans le monde d’aujourd’hui axé sur le cloud, les services informatiques d’entreprise
veulent de plus en plus laisser les employés utiliser leurs propres appareils, ou même
choisir et acheter des appareils appartenant à l’entreprise. La connexion de vos appareils
au travail vous permet d’accéder facilement aux ressources de votre organization, telles
que les applications, le réseau d’entreprise et la messagerie.

７ Notes

Lorsque vous connectez votre appareil à l’aide de l’inscription à la gestion des

appareils mobiles (GPM), votre organization peut appliquer certaines stratégies sur
votre appareil.

Connecter des appareils Windows appartenant

à l’entreprise
Vous pouvez connecter des appareils d’entreprise au travail en joignant l’appareil à un
domaine Active Directory ou à un domaine Microsoft Entra. Windows ne nécessite pas
de compte Microsoft personnel sur les appareils joints à Microsoft Entra ID ou à un
domaine Active Directory local.

７ Notes
 Pour les appareils joints à Active Directory local, consultez Inscription de stratégie
de groupe.

Connecter votre appareil à un domaine Microsoft Entra

(ID de Microsoft Entra de jointure)
Tous les appareils Windows peuvent être connectés à un domaine Microsoft Entra. Ces
appareils peuvent être connectés pendant L’OOBE. En outre, les appareils de bureau
peuvent être connectés à un domaine Microsoft Entra à l’aide de l’application
Paramètres.

Expérience prête à l’emploi

Pour joindre un domaine :

1. Sélectionnez Mon travail ou mon établissement scolaire le possède, puis

sélectionnez Suivant.

2. Sélectionnez Joindre Microsoft Entra ID, puis Suivant.

3. Tapez votre nom d’utilisateur Microsoft Entra. Ce nom d’utilisateur est l’adresse e-
mail que vous utilisez pour vous connecter à Microsoft Office 365 et services
similaires.

Si le locataire est un client cloud uniquement, une synchronisation de hachage de

mot de passe ou un locataire d’authentification directe, cette page change pour
afficher la personnalisation de l’organization, et vous pouvez entrer votre mot de
passe directement sur cette page. Si le locataire fait partie d’un domaine fédéré,
vous êtes redirigé vers le serveur de fédération local de l’organization, tel que
Services ADFS (AD FS) pour l’authentification.

En fonction de la stratégie informatique, vous pouvez également être invité à

fournir un deuxième facteur d’authentification à ce stade.

Si votre locataire Microsoft Entra a configuré l’inscription automatique, votre

appareil est également inscrit à GPM pendant ce flux. Pour plus d’informations,
consultez ces étapes. Si votre locataire n’est pas configuré pour l’inscription
automatique, vous devez parcourir le flux d’inscription une deuxième fois pour
connecter votre appareil à GPM. Une fois le flux terminé, votre appareil est
connecté au domaine Microsoft Entra de votre organization.
Utiliser l’application Paramètres

Pour créer un compte local et connecter l’appareil :

1. Lancez l’application Paramètres.

2. Ensuite, accédez à Comptes.

3. Accédez à Accès professionnel ou scolaire.

4. Sélectionnez Se connecter.
5. Sous Autres actions, sélectionnez Joindre cet appareil à Microsoft Entra ID.

6. Tapez votre nom d’utilisateur Microsoft Entra. Ce nom d’utilisateur est l’adresse e-
mail que vous utilisez pour vous connecter à Office 365 et services similaires.
Si le locataire est un client cloud uniquement, une synchronisation de hachage de
mot de passe ou un locataire d’authentification directe, cette page change pour
afficher la personnalisation de l’organization, et vous pouvez entrer votre mot de
passe directement sur cette page. Si le locataire fait partie d’un domaine fédéré,
vous êtes redirigé vers le serveur de fédération local de l’organization, tel qu’AD
FS, pour l’authentification.

En fonction de la stratégie informatique, vous pouvez également être invité à

fournir un deuxième facteur d’authentification à ce stade.

Si votre locataire Microsoft Entra a configuré l’inscription automatique, votre

appareil est également inscrit à GPM pendant ce flux. Pour plus d’informations,
consultez ce billet de blog . Si votre locataire n’est pas configuré pour
l’inscription automatique, vous devez parcourir le flux d’inscription une deuxième
fois pour connecter votre appareil à GPM.

Une fois que vous avez atteint la fin du flux, votre appareil doit être connecté au
domaine Microsoft Entra de votre organization. Vous pouvez maintenant vous
 déconnecter de votre compte actuel et vous connecter à l’aide de votre nom
d’utilisateur Microsoft Entra.

Aide pour la connexion à un domaine Microsoft Entra

Dans certains cas, votre appareil ne peut pas être connecté à un domaine Microsoft
Entra.

Problème de connexion Description

Votre appareil est connecté Votre appareil ne peut être connecté qu’à un seul domaine
à un domaine Microsoft Microsoft Entra à la fois.
Entra.

Votre appareil est déjà Votre appareil peut être connecté à un domaine Microsoft Entra ou
connecté à un domaine à un domaine Active Directory. Vous ne pouvez pas vous connecter
Active Directory. aux deux simultanément.

Votre appareil dispose déjà Vous pouvez vous connecter à un domaine Microsoft Entra ou vous
d’un utilisateur connecté à connecter à un compte professionnel ou scolaire. Vous ne pouvez
 Problème de connexion Description

un compte professionnel. pas vous connecter aux deux simultanément.

Vous êtes connecté en tant Votre appareil ne peut être connecté à un domaine Microsoft Entra
qu’utilisateur standard. que si vous êtes connecté en tant qu’utilisateur administratif. Vous
devez basculer vers un compte d’administrateur pour continuer.

Votre appareil est déjà géré Le flux de connexion à Microsoft Entra ID tente d’inscrire votre
par GPM. appareil dans GPM si votre locataire Microsoft Entra a un point de
terminaison MDM préconfiguré. Votre appareil doit être désinscrit
de mdm pour pouvoir se connecter à Microsoft Entra ID dans ce
cas.

Votre appareil exécute Cette fonctionnalité n’est pas disponible sur l’édition Windows
l’édition Accueil. Famille. Vous ne pouvez donc pas vous connecter à un domaine
Microsoft Entra. Vous devez effectuer une mise à niveau vers
l’édition Pro, Entreprise ou Éducation pour continuer.

Connecter des appareils personnels

Les appareils personnels, également appelés BYOD (Apportez votre propre appareil),
peuvent être connectés à un compte professionnel ou scolaire, ou à GPM. Les appareils
Windows ne nécessitent pas de compte Microsoft personnel sur les appareils pour se
connecter au travail ou à l’établissement scolaire.

Tous les appareils Windows peuvent être connectés à un compte professionnel ou

scolaire. Vous pouvez vous connecter à un compte professionnel ou scolaire via
l’application Paramètres ou via l’une des nombreuses applications plateforme Windows
universelle (UWP), telles que les applications Office universelles.

Inscrire l’appareil dans Microsoft Entra ID et s’inscrire à

GPM
Pour créer un compte local et connecter l’appareil :

1. Lancez l’application Paramètres, puis sélectionnez

Comptes>Démarrer>Paramètres>Comptes Comptes.
2. Accédez à Accès professionnel ou scolaire.

3. Sélectionnez Se connecter.
4. Tapez votre nom d’utilisateur Microsoft Entra. Ce nom d’utilisateur est l’adresse e-
mail que vous utilisez pour vous connecter à Office 365 et services similaires.
5. Si le locataire est un client cloud uniquement, une synchronisation de hachage de
mot de passe ou un locataire d’authentification directe, cette page change pour
afficher la personnalisation de l’organization et peut entrer votre mot de passe
directement dans la page. Si le locataire fait partie d’un domaine fédéré, vous êtes
redirigé vers le serveur de fédération local de l’organization, tel qu’AD FS, pour
l’authentification.

En fonction de la stratégie informatique, vous pouvez également être invité à

fournir un deuxième facteur d’authentification à ce stade.

Si votre locataire Microsoft Entra a configuré l’inscription automatique, votre

appareil est également inscrit à GPM pendant ce flux. Pour plus d’informations,
consultez ce billet de blog . Si votre locataire n’est pas configuré pour
l’inscription automatique, vous devez parcourir le flux d’inscription une deuxième
fois pour connecter votre appareil à GPM.

Vous pouvez voir la page status qui indique la progression de la configuration de

votre appareil.

6. Une fois le flux terminé, votre compte Microsoft est connecté à votre compte
professionnel ou scolaire.
Aide pour la connexion d’appareils personnels
Dans certains cas, votre appareil peut ne pas être en mesure de se connecter au travail.

Message d’erreur Description

Votre appareil est déjà connecté au cloud de votre Votre appareil est déjà connecté à
organization. Microsoft Entra ID, à un compte
professionnel ou scolaire ou à un
domaine AD.

Nous n’avons pas pu trouver votre identité dans le cloud Le nom d’utilisateur que vous avez
de votre organization. entré est introuvable sur votre
locataire Microsoft Entra.

Votre appareil est déjà géré par un organization. Votre appareil est déjà géré par
mdm ou Microsoft Configuration
Manager.

Vous ne disposez pas des privilèges appropriés pour Vous ne pouvez pas inscrire votre
effectuer cette opération. Parlez-en à votre appareil dans GPM en tant
administrateur. qu’utilisateur standard. Vous devez
être sur un compte d’administrateur.

Nous n’avons pas pu découvrir automatiquement un Vous devez fournir l’URL du serveur
point de terminaison de gestion correspondant au nom pour votre GPM ou case activée
d’utilisateur entré. Vérifiez votre nom d’utilisateur et l’orthographe du nom d’utilisateur
réessayez. Si vous connaissez l’URL de votre point de que vous avez entré.
terminaison de gestion, entrez-la.
S’inscrire à la gestion des appareils uniquement
Tous les appareils Windows peuvent être connectés à GPM. Vous pouvez vous connecter
à un GPM via l’application Paramètres. Pour créer un compte local et connecter
l’appareil :

1. Lancez l’application Paramètres.

2. Ensuite, accédez à Comptes.

3. Accédez à Accès professionnel ou scolaire.

4. Sélectionnez le lien Inscrire uniquement dans la gestion des appareils .

5. Tapez votre adresse e-mail professionnelle.

6. Si l’appareil trouve un point de terminaison qui prend uniquement en charge
l’authentification locale, cette page change et vous demande votre mot de passe.
Si l’appareil trouve un point de terminaison GPM qui prend en charge
l’authentification fédérée, une nouvelle fenêtre s’affiche pour vous demander des
informations supplémentaires sur l’authentification.

En fonction de la stratégie informatique, vous pouvez également être invité à

fournir un deuxième facteur d’authentification à ce stade. Vous pouvez voir la
progression de l’inscription à l’écran.
 Une fois le flux terminé, votre appareil est connecté au GPM de votre organization.

Connecter votre appareil Windows au travail à

l’aide d’un lien profond
Les appareils Windows peuvent être connectés au travail à l’aide d’un lien profond. Les
utilisateurs peuvent sélectionner ou ouvrir un lien dans un format particulier n’importe
où dans Windows, et être dirigés vers la nouvelle expérience d’inscription.

Le lien profond utilisé pour connecter votre appareil au travail utilise le format suivant.

ms-device-enrollment :?mode={mode_name} :

Paramètre Description Valeur prise en charge pour

Windows

mode Décrit le mode exécuté dans l’application Mobile Gestion des appareils
d’inscription. (MDM), Ajout d’un compte
Paramètre Description Valeur prise en charge pour
Windows

professionnel (AWA) et Microsoft

Entra jointes.

nom Spécifie l’adresse e-mail ou l’UPN de chaîne

d'utilisateur l’utilisateur qui doit être inscrit à GPM.

Servername Spécifie l’URL du serveur MDM utilisée chaîne

pour inscrire l’appareil.

accesstoken Paramètre personnalisé pour les serveurs chaîne

GPM à utiliser comme bon leur semble.
En règle générale, la valeur de ce
paramètre peut être utilisée comme jeton
pour valider la demande d’inscription.

deviceidentifier Paramètre personnalisé pour les serveurs GUID

GPM à utiliser comme bon leur semble.
En règle générale, la valeur de ce
paramètre peut être utilisée pour passer
un identificateur d’appareil unique.

tenantidentifier Paramètre personnalisé pour les serveurs GUID ou chaîne

GPM à utiliser comme bon leur semble.
En règle générale, la valeur de ce
paramètre peut être utilisée pour
identifier le locataire auquel appartient
l’appareil ou l’utilisateur.

Propriété Paramètre personnalisé pour les serveurs 1, 2 ou 3. Où « 1 » signifie que la

GPM à utiliser comme bon leur semble. propriété est inconnue, « 2 »
En règle générale, la valeur de ce signifie que l’appareil appartient à
paramètre peut être utilisée pour l’utilisateur et « 3 » signifie que
déterminer si l’appareil appartient à BYOD l’appareil appartient à l’entreprise
ou à l’entreprise.

Se connecter à GPM à l’aide d’un lien profond

７ Notes

Les liens profonds fonctionnent uniquement avec les navigateurs Internet Explorer
ou Microsoft Edge. Exemples d’URI qui peuvent être utilisés pour se connecter à
GPM à l’aide d’un lien profond :

ms-device-enrollment :?mode=mdm
 ms-device-enrollment :?
mode=mdm&username= someone@[Link] &servername= [Link]
[Link]

Pour connecter vos appareils à la gestion des appareils mobiles à l’aide de liens
profonds :

1. Créez un lien pour lancer l’application d’inscription intégrée à l’aide de l’URI ms-
device-enrollment :?mode=mdm et d’un texte d’affichage convivial, tel que
Cliquez ici pour connecter Windows au travail :

Ce lien lance le flux équivalent à l’option Inscrire dans la gestion des appareils.

Les administrateurs informatiques peuvent ajouter ce lien à un e-mail de

bienvenue que les utilisateurs peuvent sélectionner pour s’inscrire à GPM.

７ Notes

Assurez-vous que vos filtres de courrier ne bloquent pas les liens

profonds.

Les administrateurs informatiques peuvent également ajouter ce lien à une

page web interne que les utilisateurs réfèrent aux instructions d’inscription.

2. Après avoir sélectionné le lien ou l’avoir exécuté, Windows lance l’application

d’inscription dans un mode spécial qui autorise uniquement les inscriptions MDM
 (comme l’option Inscrire dans la gestion des appareils).

Tapez votre adresse e-mail professionnelle.

3. Si l’appareil trouve un point de terminaison qui prend uniquement en charge

l’authentification locale, cette page change et vous demande votre mot de passe.
Si l’appareil trouve un point de terminaison GPM qui prend en charge
l’authentification fédérée, une nouvelle fenêtre vous demande des informations
d’authentification supplémentaires. En fonction de la stratégie informatique, vous
pouvez également être invité à fournir un deuxième facteur d’authentification à ce
stade.

Une fois le flux terminé, votre appareil est connecté au GPM de votre organization.

Gérer les connexions

Pour gérer vos connexions professionnelles ou scolaires, sélectionnez
Paramètres>Comptes>Accès professionnel ou scolaire. Vos connexions s’affichent sur
cette page et en sélectionnant celle-ci développe les options pour cette connexion.

Info
Le bouton Informations se trouve sur les connexions professionnelles ou scolaires
impliquant GPM. Ce bouton est inclus dans les scénarios suivants :

Connexion de votre appareil à un domaine Microsoft Entra pour lequel l’inscription

automatique dans GPM est configurée.
Connexion de votre appareil à un compte professionnel ou scolaire pour lequel
l’inscription automatique dans la gestion des appareils mobiles est configurée.
Connexion de votre appareil à GPM.

La sélection du bouton Informations ouvre une nouvelle page dans l’application

Paramètres qui fournit des détails sur votre connexion MDM. Vous pouvez afficher les
informations de support de votre organization (si configurées) sur cette page. Vous
pouvez également démarrer une session de synchronisation qui force votre appareil à
communiquer avec le serveur MDM et à récupérer les mises à jour des stratégies si
nécessaire.

La sélection du bouton Info affiche une liste de stratégies et d’applications métier

installées par votre organization. Voici un exemple de capture d’écran.
Déconnecter
Le bouton Déconnecter se trouve sur toutes les connexions professionnelles. En règle
générale, la sélection du bouton Déconnecter supprime la connexion de l’appareil. Il
existe quelques exceptions à cette fonctionnalité :

Les appareils qui appliquent la stratégie AllowManualMDMUnenrollment

n’autorisent pas les utilisateurs à supprimer les inscriptions MDM. Ces connexions
doivent être supprimées par une commande de désinscription lancée par le
serveur.
Sur les appareils mobiles, vous ne pouvez pas vous déconnecter de l’ID Microsoft
Entra. Ces connexions ne peuvent être supprimées qu’en effaçant l’appareil.

２ Avertissement

La déconnexion peut entraîner la perte de données sur l’appareil.

Collecte des journaux de diagnostic

Vous pouvez collecter des journaux de diagnostic autour de vos connexions
professionnelles en accédant à Paramètres>Comptes>Accès professionnel ou scolaire,
puis en sélectionnant le lien Exporter vos journaux de gestion sous Paramètres
associés. Ensuite, sélectionnez Exporter, puis suivez le chemin d’accès affiché pour
récupérer vos fichiers journaux de gestion.

Vous pouvez obtenir le rapport de diagnostic avancé en accédant à

Paramètres>Comptes>Accès professionnel ou scolaire, puis en sélectionnant le bouton
Informations . En bas de la page Paramètres, vous voyez le bouton permettant de créer
un rapport.

Pour plus d’informations, consultez Collecter les journaux GPM.

Inscription GPM automatique dans le
Centre d’administration Intune
Article • 06/02/2024 • S’applique à: ✅ Windows 11, ✅ Windows 10

Les appareils Windows peuvent être inscrits automatiquement auprès d’Intune lorsqu’ils
rejoignent ou s’inscrivent auprès de Microsoft Entra ID. L’inscription automatique peut
être configurée dans Portail Azure.

1. Accédez à votre centre d'administration Microsoft Entra.

2. Sélectionnez Mobilité (MDM et GAM) et recherchez l’application Microsoft Intune.

3. Sélectionnez Microsoft Intune et configurez les options d’inscription. Vous pouvez

spécifier des paramètres pour autoriser Tous les utilisateurs à inscrire un appareil,
ou choisir d’autoriser certains utilisateurs (et spécifier un groupe).

4. Sélectionnez Enregistrer pour configurer l’inscription automatique MDM pour

Microsoft Entra appareils joints et les scénarios bring-your-own-device.

Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Inscrire automatiquement un appareil
Windows à l’aide de stratégie de groupe
Article • 30/11/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Vous pouvez utiliser un stratégie de groupe pour déclencher l’inscription automatique

sur Mobile Gestion des appareils (MDM) pour les appareils joints à un domaine Active
Directory (AD).

L’inscription à Intune est déclenchée par une stratégie de groupe créée sur votre ad
local et se produit sans aucune interaction de l’utilisateur. Ce mécanisme de cause à
effet signifie que vous pouvez inscrire automatiquement un grand nombre d’appareils
d’entreprise joints à un domaine dans Microsoft Intune. Le processus d’inscription
démarre en arrière-plan une fois que vous vous connectez à l’appareil avec votre
compte Microsoft Entra.

Configuration requise :

L’appareil joint à Active Directory doit exécuter une version prise en charge de
Windows.
L’entreprise a configuré un service Mobile Gestion des appareils (MDM).
Le Active Directory local doit être intégré à l’ID Microsoft Entra (via Microsoft Entra
Connect).
Configuration du point de connexion de service (SCP). Pour plus d’informations,
consultez Configuration du scp à l’aide de Microsoft Entra Connect. Pour les
environnements qui ne publient pas de données SCP sur AD, consultez Microsoft
Entra déploiement ciblé de jointure hybride.
L’appareil ne doit pas déjà être inscrit dans Intune à l’aide des agents classiques
(les appareils gérés à l’aide d’agents échouent à l’inscription avec error
0x80180026 ).

La configuration minimale requise pour la version de Windows Server est basée sur
l’exigence de jointure hybride Microsoft Entra. Pour plus d’informations, consultez
Comment planifier votre implémentation de jointure hybride Microsoft Entra.

 Conseil

Pour plus d’informations, consultez les rubriques suivantes :

Comment configurer l’inscription automatique d’appareils Windows joints à

un domaine avec l’ID de Microsoft Entra
 Comment planifier votre implémentation de jointure hybride Microsoft
Entra
intégration Microsoft Entra à mdm

L’inscription automatique dépend de la présence d’un service MDM et de l’inscription

Microsoft Entra pour le PC. Une fois que l’entreprise a inscrit son AD avec l’ID Microsoft
Entra, un PC Windows joint à un domaine est automatiquement Microsoft Entra inscrit.

７ Notes

Dans Windows 10, version 1709, le protocole d’inscription a été mis à jour pour
case activée si l’appareil est joint à un domaine. Pour plus d’informations, consultez
[MS-MDE2] : Mobile Device Enrollment Protocol Version 2. Pour obtenir des
exemples, consultez la section 4.3.1 RequestSecurityToken de la documentation sur
le protocole MS-MDE2.

Lorsque l’stratégie de groupe d’inscription automatique est activée, une tâche est créée
en arrière-plan qui lance l’inscription GPM. La tâche utilise la configuration de service
MDM existante à partir des informations Microsoft Entra de l’utilisateur. Si
l’authentification multifacteur est requise, l’utilisateur est invité à effectuer
l’authentification. Une fois l’inscription configurée, l’utilisateur peut case activée le status
dans la page Paramètres.

À compter de Windows 10 version 1709, lorsque la même stratégie est configurée

dans stratégie de groupe et GPM, stratégie de groupe stratégie est prioritaire sur
mdm.
À compter de Windows 10, version 1803, un nouveau paramètre vous permet de
modifier la priorité en GPM. Pour plus d’informations, consultez Windows stratégie
de groupe et Stratégie MDM Intune qui gagne ?.

Pour que cette stratégie fonctionne, vous devez vérifier que le fournisseur de services
MDM autorise stratégie de groupe’inscription MDM lancée pour les appareils joints à un
domaine.

Configurer l’inscription automatique pour un

groupe d’appareils
Pour configurer l’inscription automatique à l’aide d’une stratégie de groupe, procédez
comme suit :
 1. Créez un objet stratégie de groupe (GPO) et activez le stratégie de groupe
Configuration> ordinateurModèles> d’administrationComposants>
WindowsGPM>Activer l’inscription GPM automatique à l’aide des informations
d’identification de Microsoft Entra par défaut.
2. Créez un groupe de sécurité pour les PC.
3. Lier l’objet de stratégie de groupe.
4. Filtrez à l’aide de groupes de sécurité.

Si vous ne voyez pas la stratégie, obtenez la dernière version d’ADMX pour votre version
de Windows. Pour résoudre le problème, utilisez les procédures suivantes. La dernière
version de [Link] est à compatibilité descendante.

1. Téléchargez les modèles d’administration pour la version souhaitée :

Windows 11, version 23H2

Préversion de Windows 11, version 22H2 désormais disponible
Windows 10, version 22H2

2. Installez le package sur le contrôleur de domaine.

3. Accédez à C:\Program Files (x86)\Microsoft Group Policy , puis recherchez le

sous-répertoire approprié en fonction de la version installée.

4. Copiez le dossier PolicyDefinitions dans

\\[Link]\SYSVOL\[Link]\policies\PolicyDefinitions .

Si ce dossier n’existe pas, copiez les fichiers dans le magasin de stratégies central
de votre domaine.

5. Attendez que la réplication DFSR SYSVOL soit terminée pour que la stratégie soit
disponible.

Configurer le stratégie de groupe d’inscription

automatique pour un seul PC
Cette procédure est uniquement à des fins d’illustration pour montrer le
fonctionnement de la nouvelle stratégie d’inscription automatique. Il n’est pas
recommandé pour l’environnement de production dans l’entreprise.

1. Exécutez [Link] . Choisissez Démarrer, puis, dans la zone de texte, tapez

gpedit .
2. Sous Meilleure correspondance, sélectionnez Modifier la stratégie de groupe
pour la lancer.

3. Dans Stratégie de l’ordinateur local, sélectionnez Modèles>

d’administrationComposants> WindowsGPM.

4. Double-cliquez sur Activer l’inscription GPM automatique à l’aide des

informations d’identification de Microsoft Entra par défaut. Sélectionnez Activer,
informations d’identification de l’utilisateur dans la liste déroulante Sélectionner
le type d’informations d’identification à utiliser, puis sélectionnez OK.

７ Notes

Dans Windows 10, version 1903 et ultérieures, le fichier [Link] a été mis
à jour pour inclure l’option Informations d’identification de l’appareil pour
sélectionner les informations d’identification utilisées pour inscrire l’appareil.
Le comportement par défaut pour les versions antérieures consiste à revenir
aux informations d’identification de l’utilisateur.
 Les informations d’identification de l’appareil sont uniquement prises en
charge pour l’inscription Microsoft Intune dans les scénarios avec la cogestion
ou les pools d’hôtes multisession Azure Virtual Desktop, car l’abonnement
Intune est centré sur l’utilisateur. Les informations d’identification de
l’utilisateur sont prises en charge pour les pools d’hôtes personnels Azure
Virtual Desktop.

Lorsqu’une actualisation de stratégie de groupe se produit sur le client, une tâche est
créée et planifiée pour s’exécuter toutes les cinq minutes pendant un jour. La tâche est
appelée Planification créée par le client d’inscription pour l’inscription automatique
dans mdm à partir de Microsoft Entra ID. Pour afficher la tâche planifiée, lancez
l’application Planificateur de tâches.

Si l’authentification à deux facteurs est requise, vous êtes invité à terminer le processus.
Voici un exemple de capture d’écran.

 Conseil

Vous pouvez éviter ce comportement en utilisant des stratégies d’accès

conditionnel dans Microsoft Entra ID. Pour en savoir plus, consultez Qu’est-ce que
l’accès conditionnel ?.

Vérifier l’inscription
Pour vérifier la réussite de l’inscription à GPM, accédez à
Démarrer>paramètres>Comptes>Accès professionnel ou scolaire, puis sélectionnez
votre compte de domaine. Sélectionnez Informations pour afficher les informations
d’inscription mdm.

７ Notes

Si vous ne voyez pas le bouton Informations ou les informations d’inscription,

l’inscription a peut-être échoué. Vérifiez les status dans l’application Planificateur
de tâches et consultez Diagnostiquer l’inscription GPM.

Application Planificateur de tâches

Sélectionnez Démarrer, puis, dans la zone de texte, tapez task scheduler . Sous
Meilleure correspondance, sélectionnez Planificateur de tâches pour le lancer.

Dans Bibliothèque du planificateur de tâches, ouvrez Microsoft > Windows , puis

sélectionnez EnterpriseMgmt.
 

Pour afficher le résultat de la tâche, déplacez la barre de défilement pour afficher le

résultat de la dernière exécution. Vous pouvez voir les journaux sous l’onglet
Historique .

Le message 0x80180026 est un message d’échec

( MENROLL_E_DEVICE_MANAGEMENT_BLOCKED ), qui peut être provoqué par l’activation de la
stratégie Désactiver l’inscription MDM .

７ Notes

La console GPEdit ne reflète pas la status des stratégies définies par votre
organization sur votre appareil. Il est utilisé uniquement par l’utilisateur pour définir
des stratégies.

Articles connexes
console de gestion stratégie de groupe
Créer et modifier un objet stratégie de groupe
Lier un objet stratégie de groupe
Filtrer à l’aide de groupes de sécurité
Appliquer un lien d’objet stratégie de groupe
Prise en main des points de terminaison Windows natifs cloud
Inscription en bloc à l’aide du Designer
de configuration Windows
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

L’inscription en bloc est un moyen efficace de configurer un grand nombre d’appareils à

gérer par un serveur MDM sans avoir à réinitialiser les appareils. Vous pouvez utiliser le
fournisseur de services de configuration d’approvisionnement pour l’inscription en bloc,
à l’exception du scénario d’inscription à la jonction Azure Active Directory.

Cas d’utilisation classiques

Configurez des appareils en bloc pour les grandes organisations pour la gestion
GPM.
Configurez des bornes, telles que des distributeurs automatiques de billets ou des
terminaux de point de vente (PDV).
Configurer les ordinateurs scolaires.
Configurer des machines industrielles.
Définissez des appareils pos portables.

Sur le bureau, vous pouvez créer un compte Active Directory, par

enrollment@[Link] exemple et lui donner uniquement la possibilité de joindre le

domaine. Une fois que le bureau est joint à ce compte d’administrateur, les utilisateurs
standard du domaine peuvent se connecter pour l’utiliser. Ce compte est
particulièrement utile pour obtenir un grand nombre d’ordinateurs de bureau prêts à
être utilisés dans un domaine.

Sur le bureau et les appareils mobiles, vous pouvez utiliser un certificat d’inscription ou
un nom d’utilisateur et un mot de passe d’inscription, tels que enroll@[Link] et
enrollmentpassword . Ces informations d’identification sont utilisées dans le package

d’approvisionnement, que vous pouvez utiliser pour inscrire plusieurs appareils auprès
du service GPM. Une fois les appareils joints, de nombreux utilisateurs peuvent les
utiliser.

７ Notes

La jointure en bloc n’est pas prise en charge dans la jonction Azure Active
Directory.
L’inscription en bloc ne fonctionne pas dans Intune environnement autonome.
 L’inscription en bloc fonctionne dans Microsoft Intune où le ppkg est généré à
partir de la console Configuration Manager.
Pour modifier les paramètres d’inscription en bloc, connectez-vous à Azure
AD, puis appareils, puis cliquez sur Paramètres de l’appareil. Modifiez le
nombre sous Nombre maximal d’appareils par utilisateur.
La création de jetons en bloc n’est pas prise en charge avec les comptes
fédérés.

Ce qu'il vous faut

Appareils Windows.

Outil d’Designer de configuration Windows (WCD).

Pour obtenir l’outil WCD, téléchargez à partir du Microsoft Store . Pour plus
d’informations sur l’outil WCD, consultez Configuration Windows Designer et Prise
en main de Windows WCD.

Informations d’identification d’inscription (compte de domaine pour l’inscription,

informations d’identification d’inscription génériques pour GPM, certificat
d’inscription pour GPM).

Wi-Fi informations d’identification, le schéma de nom d’ordinateur et tout autre

élément requis par votre organization.

Certaines organisations exigent que les APN personnalisés soient provisionnés

avant de communiquer avec le point de terminaison d’inscription ou le VPN
personnalisé pour joindre un domaine.

Créer et appliquer un package

d’approvisionnement pour l’authentification
locale
À l’aide du WCD, créez un package d’approvisionnement à l’aide des informations
d’inscription requises par votre organization. Vérifiez que vous disposez de tous les
paramètres de configuration.

1. Ouvrez l’outil WCD.

2. Sélectionnez Provisionnement avancé.

3. Entrez un nom de projet, puis sélectionnez Suivant.

4. Sélectionnez Toutes les éditions de Windows, étant donné que

l’approvisionnement csp est commun à toutes les éditions de Windows, puis
sélectionnez Suivant.

5. Ignorez Importer un package d’approvisionnement (facultatif) et sélectionnez

Terminer.

6. Développez Paramètres >d’exécutionEspace de travail.

7. Sélectionnez Inscriptions, entrez une valeur dans UPN, puis sélectionnez Ajouter.
L’UPN est un identificateur unique pour l’inscription. Pour l’inscription en bloc, cet
UPN doit être un compte de service autorisé à inscrire plusieurs utilisateurs,
comme enrollment@[Link] .

8. Dans le volet de navigation de gauche, développez l’UPN , puis entrez les

informations pour le reste des paramètres du processus d’inscription. Voici la liste
des paramètres disponibles :

AuthPolicy : sélectionnez OnPremise.

DiscoveryServiceFullUrl : spécifiez l’URL complète du service de découverte.
EnrollmentServiceFullUrl : facultatif et, dans la plupart des cas, il doit être
laissé vide.
 PolicyServiceFullUrl : facultatif et, dans la plupart des cas, il doit être laissé
vide.
Secret - Mot de passe

Pour obtenir une description détaillée de ces paramètres, consultez

Provisionnement du fournisseur de services de configuration. Voici la capture
d’écran du WCD à ce stade.

9. Configurez les autres paramètres, tels que les connexions Wi-Fi afin que l’appareil
puisse rejoindre un réseau avant de rejoindre GPM (par exemple, paramètres
>d’exécutionConnectivityProfiles>WLANSetting).

10. Lorsque vous avez terminé d’ajouter tous les paramètres, dans le menu Fichier ,
sélectionnez Enregistrer.

11. Dans le menu main, sélectionnez Exporter le>package d’approvisionnement.

12. Entrez les valeurs de votre package et spécifiez l’emplacement de sortie du
package.
13. Sélectionnez Générer.

14. Appliquez le package à certains appareils de test et vérifiez qu’ils fonctionnent.

Pour plus d’informations, consultez Appliquer un package d’approvisionnement.

15. Appliquez le package à vos appareils.

Créer et appliquer un package

d’approvisionnement pour l’authentification
par certificat
À l’aide du WCD, créez un package d’approvisionnement à l’aide des informations
d’inscription requises par votre organization. Vérifiez que vous disposez de tous les
paramètres de configuration.

1. Ouvrez l’outil WCD.

2. Sélectionnez Provisionnement avancé.

3. Entrez un nom de projet, puis sélectionnez Suivant.

4. Sélectionnez Commun à toutes les éditions de Windows, car l’approvisionnement

csp est commun à toutes les éditions de Windows.

5. Ignorez Importer un package d’approvisionnement (facultatif) et sélectionnez

Terminer.

6. Spécifiez le certificat :
a. Accédezà Paramètres >d’exécutionCertificats >ClientCertificats.
b. Entrez un CertificateName , puis sélectionnez Ajouter.
c. Entrez le CertificatePassword.
d. Pour CertificatePath, parcourez et sélectionnez le certificat à utiliser.
e. Définissez ExportCertificate sur False.
f. Pour KeyLocation, sélectionnez Logiciel uniquement.

7. Spécifiez les paramètres de l’espace de travail.

 a. Vous avez obtenu lesinscriptions à l’espace detravail>.
b. Entrez l’UPN pour l’inscription, puis sélectionnez Ajouter. L’UPN est un
identificateur unique pour l’inscription. Pour l’inscription en bloc, cet UPN doit
être un compte de service autorisé à inscrire plusieurs utilisateurs, comme
enrollment@[Link] .

c. Dans la colonne de gauche, développez l’UPN , puis entrez les informations

pour le reste des paramètres du processus d’inscription. Voici la liste des
paramètres disponibles :

AuthPolicy : sélectionnez Certificat.

DiscoveryServiceFullUrl : spécifiez l’URL complète du service de
découverte.
EnrollmentServiceFullUrl : facultatif et, dans la plupart des cas, il doit être
laissé vide.
PolicyServiceFullUrl : facultatif et, dans la plupart des cas, il doit être laissé
vide.
Secret : empreinte numérique du certificat.

Pour obtenir une description détaillée de ces paramètres, consultez

Provisionnement du fournisseur de services de configuration.

8. Configurez les autres paramètres, tels que la connexion Wi-Fi afin que l’appareil
puisse rejoindre un réseau avant de rejoindre GPM (par exemple, paramètres
>d’exécutionConnectivityProfiles>WLANSetting).

9. Lorsque vous avez terminé d’ajouter tous les paramètres, dans le menu Fichier ,
sélectionnez Enregistrer.

10. Exportez et générez le package (étapes 10 à 13 de la section précédente).

11. Appliquez le package à certains appareils de test et vérifiez qu’ils fonctionnent.

Pour plus d’informations, consultez Appliquer un package d’approvisionnement.

12. Appliquez le package à vos appareils.

Appliquer un package d’approvisionnement

Appliquer un package lors de l’installation initiale
Appliquer un package après l’installation initiale
Appliquer un package directement
Appliquez un package à partir de l’application Paramètres.
Vérifier que le package d’approvisionnement a
été appliqué
1. Accédez à Paramètres>Comptes>Accès professionnel ou scolaire.
2. Sélectionnez Ajouter ou supprimer un package d’approvisionnement. Vous
devriez voir votre package répertorié.

Logique de nouvelle tentative en cas d’échec

Si le moteur d’approvisionnement reçoit un échec d’un fournisseur de services de
configuration, il retente l’approvisionnement trois fois d’affilée.
Si toutes les tentatives immédiates échouent, une tâche retardée est lancée pour
réessayer de provisionner ultérieurement. Il réessayera quatre fois à un taux de
décroissance de 15 minutes -> 1 heure -> 4 heures -> « Démarrage du système
suivant ». Ces tentatives sont exécutées à partir du contexte SYSTEM.
Il retente également l’approvisionnement chaque fois qu’il est lancé, s’il est
également démarré à partir d’un autre emplacement.
En outre, l’approvisionnement est redémarré dans le contexte SYSTEM après une
connexion et que le système est inactif.

Articles connexes
Provisionner des PC avec des applications et des certificats pour le déploiement
initial
Provisionner des PC avec des paramètres courants pour le déploiement initial
Inscription de périphériques de
l'authentification fédérée
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cette section fournit un exemple de protocole d’inscription d’appareil mobile utilisant

une stratégie d’authentification fédérée. Lorsque la stratégie d’authentification est
définie sur Fédérée, le répartiteur d’authentification web est utilisé par le client
d’inscription pour obtenir un jeton de sécurité. Le client d’inscription appelle l’API du
répartiteur d’authentification web dans le message de réponse pour démarrer le
processus. Le serveur doit générer les pages du répartiteur d’authentification web pour
s’adapter à l’écran de l’appareil et doit être cohérent avec l’interface utilisateur
d’inscription existante. Le jeton de sécurité opaque retourné par le répartiteur en tant
que page de fin est utilisé par le client d’inscription comme secret de sécurité de
l’appareil pendant l’appel de la demande de certificat client.

L’élément <AuthenticationServiceURL> du message de réponse de découverte spécifie

l’URL de démarrage de la page broker d’authentification web.

Pour plus d’informations sur le protocole d’inscription des appareils mobiles Microsoft
pour Windows, consultez [MS-MDE2] : Protocole d’inscription des appareils mobiles
version 2.

７ Notes

Pour obtenir la liste des scénarios d’inscription non pris en charge dans Windows,
consultez Scénarios d’inscription non pris en charge.

Service de découverte
Le service web de découverte fournit les informations de configuration nécessaires à un
utilisateur pour inscrire un téléphone auprès d’un service de gestion. Le service est un
service web reposant sur HTTPS (authentification serveur uniquement).

７ Notes

L’administrateur du service de découverte doit créer un hôte avec l’adresse

enterpriseenrollment.<domain_name>.com .
Le flux de découverte automatique de l’appareil utilise le nom de domaine de l’adresse
e-mail qui a été envoyée à l’écran paramètres de l’espace de travail lors de la connexion.
Le système de découverte automatique construit un URI qui utilise ce nom d’hôte en
ajoutant le sous-domaine enterpriseenrollment au domaine de l’adresse e-mail et en
ajoutant le chemin d’accès /EnrollmentServer/[Link] . Par exemple, si l’adresse
e-mail est sample@[Link] , l’URI obtenu pour la première requête Get serait :
[Link] .

La première requête est une requête HTTP GET standard.

L’exemple suivant montre une requête via HTTP GET au serveur de découverte donné
user@[Link] comme adresse e-mail.

HTTP

Request Full Url:

[Link]
Content Type: unknown
Header Byte Count: 153
Body Byte Count: 0

HTTP

GET /EnrollmentServer/[Link] HTTP/1.1

User-Agent: Windows Phone 8 Enrollment Client
Host: [Link]
Pragma: no-cache

HTTP

Request Full Url:

[Link]
Content Type: text/html
Header Byte Count: 248
Body Byte Count: 0

HTTP

HTTP/1.1 200 OK
Connection: Keep-Alive
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 0
Une fois que l’appareil reçoit une réponse du serveur, il envoie une requête POST à
enterpriseenrollment.<domain_name>/EnrollmentServer/[Link] . Une fois qu’il a

reçu une autre réponse du serveur (qui doit indiquer à l’appareil où se trouve le serveur
d’inscription), le message suivant envoyé à partir de l’appareil est au
enterpriseenrollment.<domain_name> serveur d’inscription.

La logique suivante est appliquée :

1. L’appareil tente d’abord le protocole HTTPS. Si l’appareil n’approuve pas le

certificat du serveur, la tentative HTTPS échoue.
2. En cas d’échec, l’appareil tente http pour voir s’il est redirigé :

Si l’appareil n’est pas redirigé, l’utilisateur est invité à entrer l’adresse du

serveur.
Si l’appareil est redirigé, l’utilisateur est invité à autoriser la redirection.

L’exemple suivant montre une requête via une commande HTTP POST au service web de
découverte donné user@[Link] comme adresse e-mail

HTTP

[Link]

L’exemple suivant montre la demande de service de découverte.

XML

<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/Discover
</a:Action>
<a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
 xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>3</OSEdition>
<!-- New -->
<RequestVersion>3.0</RequestVersion>
<!-- Updated -->
<DeviceType>WindowsPhone</DeviceType>
<!-- Updated -->
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>
<AuthPolicy>OnPremise</AuthPolicy>
<AuthPolicy>Federated</AuthPolicy>
</AuthPolicies>
</request>
</Discover>
</s:Body>
</s:Envelope>

La réponse de découverte est au format XML et inclut les champs suivants :

URL du service d’inscription (EnrollmentServiceUrl) : spécifie l’URL du point de

terminaison d’inscription exposé par le service de gestion. L’appareil doit appeler
cette URL une fois que l’utilisateur a été authentifié. Ce champ est obligatoire.
Stratégie d’authentification (AuthPolicy) : indique le type d’authentification requis.
Pour le serveur MDM, OnPremise est la valeur prise en charge, ce qui signifie que
l’utilisateur est authentifié lors de l’appel de l’URL du service de gestion. Ce champ
est obligatoire.
Dans Windows, Federated est ajouté comme autre valeur prise en charge. Cet
ajout permet au serveur d’utiliser le service Broker d’authentification web pour
effectuer une authentification utilisateur personnalisée et l’acceptation des
conditions d’utilisation.

７ Notes

La réponse du serveur HTTP ne doit pas définir Transfer-Encoding sur Segmenté ; il

doit être envoyé sous la forme d’un seul message.

Lorsque la stratégie d’authentification est définie sur Fédérée, le service Broker

d’authentification web (WAB) est utilisé par le client d’inscription pour obtenir un jeton
de sécurité. L’URL de la page de démarrage WAB est fournie par le service de
découverte dans le message de réponse. Le client d’inscription appelle l’API WAB dans
le message de réponse pour démarrer le processus WAB. Les pages WAB sont des pages
web hébergées par le serveur. Le serveur doit générer ces pages pour s’adapter à l’écran
de l’appareil et être aussi cohérent que possible avec les autres builds de l’interface
utilisateur d’inscription MDM. Le jeton de sécurité opaque retourné par WAB en tant
que page de fin est utilisé par le client d’inscription comme secret de sécurité de
l’appareil pendant l’appel de demande d’inscription de certificat client.

７ Notes

Au lieu de vous appuyer sur la chaîne de l’agent utilisateur transmise lors de

l’authentification pour obtenir des informations, telles que la version du système
d’exploitation, utilisez les conseils suivants :

Analysez la version du système d’exploitation à partir des données envoyées

pendant la demande de découverte.
Ajoutez la version du système d’exploitation en tant que paramètre dans
AuthenticationServiceURL.
Analysez la version du système d’exploitation à partir
d’AuthenticiationServiceURL lorsque le système d’exploitation envoie la
réponse pour l’authentification.

Une nouvelle balise XML, AuthenticationServiceUrl, est introduite dans

discoveryResponse XML pour permettre au serveur de spécifier l’URL de démarrage de
la page WAB. Pour l’authentification fédérée, cette balise XML doit exister.

７ Notes

Le client d’inscription est indépendant des flux de protocole pour l’authentification

et le retour du jeton de sécurité. Bien que le serveur puisse demander des
informations d’identification utilisateur directement ou entrer dans un protocole de
fédération avec un autre serveur et un autre service d’annuaire, le client
d’inscription est indépendant de tout cela. Pour rester agnostique, tous les flux de
protocole relatifs à l’authentification qui impliquent le client d’inscription sont
passifs, c’est-à-dire implémentés par le navigateur.

Voici les exigences explicites pour le serveur.

L’élément <DiscoveryResponse>``<AuthenticationServiceUrl> doit prendre en

charge HTTPS.
Le serveur d’authentification doit utiliser un certificat racine approuvé par
l’appareil. Sinon, l’appel WAP échoue.
WP ne prend pas en charge l’authentification intégrée Windows (WIA) pour ADFS
pendant l’authentification WAB. ADFS 2012 R2 si utilisé doit être configuré pour ne
 pas essayer WIA pour appareil Windows.

Le client d’inscription émet une requête HTTPS comme suit :

HTTP

AuthenticationServiceUrl?appru=<appid>&amp;login_hint=<User Principal Name>

<appid> est de la forme ms-app://string

<User Principal Name> est le nom de l’utilisateur qui s’inscrit, par exemple,

user@[Link] en tant qu’entrée par l’utilisateur dans une page de connexion

d’inscription. La valeur de cet attribut sert d’indicateur utilisé par le serveur
d’authentification dans le cadre de l’authentification.

Une fois l’authentification terminée, le serveur d’authentification doit retourner un

document de formulaire HTML avec une action de méthode POST appid identifiée dans
le paramètre de chaîne de requête.

７ Notes

Pour rendre une application compatible avec une stratégie de sécurité de contenu
stricte, il est généralement nécessaire d’apporter des modifications aux modèles
HTML et au code côté client, d’ajouter l’en-tête de stratégie et de vérifier que tout
fonctionne correctement une fois la stratégie déployée.

HTML

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Content-Length: 556

<!DOCTYPE>
<html>
<head>
<title>Working...</title>
<script>
function formSubmit() {
[Link][0].submit();
}
[Link]=formSubmit;
</script>
</head>
<body>
<!-- appid below in post command must be same as appid in previous
client https request. -->
<form method="post" action="ms-app://appid">
 <p><input type="hidden" name="wresult" value="token value"/></p>
<input type="submit"/>
</form>
</body>
</html>

Le serveur doit envoyer une requête POST à une URL de redirection du formulaire ms-
app://string (le schéma d’URL est ms-app) comme indiqué dans l’action de la méthode

POST. La valeur du jeton de sécurité est la chaîne [Link]

[Link]/wss/2004/01/[Link]\#base64binary

codée en base64 contenue dans l’attribut <wsse:BinarySecurityToken> EncodingType.

Windows effectue l’encodage binaire lorsqu’il le renvoie au serveur d’inscription, sous la
forme de son code HTML uniquement codé. Cette chaîne est opaque pour le client
d’inscription ; le client n’interprète pas la chaîne.

L’exemple suivant montre une réponse reçue du service web de découverte qui
nécessite une authentification via WAB.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
</ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse
xmlns="[Link]
<DiscoverResult>
<AuthPolicy>Federated</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
 </EnrollmentServiceUrl>
<AuthenticationServiceUrl>
[Link]
</AuthenticationServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Service web de stratégie d’inscription

Le service de stratégie est facultatif. Par défaut, si aucune stratégie n’est spécifiée, la
longueur minimale de la clé est de 2 ko et l’algorithme de hachage est SHA-1.

Ce service web implémente la spécification MS-XCEP (Certificate Enrollment Policy

Protocol) X.509 qui permet de personnaliser l’inscription des certificats pour répondre
aux différents besoins de sécurité des entreprises à différents moments (agilité de
chiffrement). Le service traite le message GetPolicies du client, authentifie le client et
retourne les stratégies d’inscription correspondantes dans le message
GetPoliciesResponse.

Pour la stratégie d’authentification fédérée, les informations d’identification du jeton de

sécurité sont fournies dans un message de demande à l’aide de l’élément
<wsse:BinarySecurityToken> [WSS]. Le jeton de sécurité est récupéré comme décrit dans

la section réponse de découverte. Les informations d’authentification sont les suivantes :

wsse:Security : le client d’inscription implémente l’élément <wsse:Security> défini

dans [WSS] section 5. L’élément <wsse:Security> doit être un enfant de l’élément
<s:Header> .

wsse:BinarySecurityToken : le client d’inscription implémente l’élément

<wsse:BinarySecurityToken> défini dans [WSS] section 6.3. L’élément
<wsse:BinarySecurityToken> doit être inclus en tant qu’enfant de l’élément

<wsse:Security> dans l’en-tête SOAP.

Comme décrit dans la section réponse de découverte, l’inclusion de l’élément

<wsse:BinarySecurityToken> est opaque pour le client d’inscription, et le client

n’interprète pas la chaîne, et l’inclusion de l’élément est approuvée par le serveur

d’authentification de jeton de sécurité (comme identifié dans l’élément
<AuthenticationServiceUrl> et le serveur d’entreprise <DiscoveryResponse> ).

L’élément <wsse:BinarySecurityToken> contient une chaîne encodée en base64. Le client

d’inscription utilise le jeton de sécurité reçu du serveur d’authentification et encode en
base64 le jeton pour remplir l’élément <wsse:BinarySecurityToken> .
 wsse:BinarySecurityToken/attributes/ValueType : l’attribut
<wsse:BinarySecurityToken> ValueType doit être

[Link]
ollmentUserToken .

wsse:BinarySecurityToken/attributes/EncodingType : l’attribut
<wsse:BinarySecurityToken> EncodingType doit être [Link]
[Link]/wss/2004/01/[Link]\#base64binary .

L’exemple suivant est une demande de stratégie d’inscription avec un jeton de sécurité
reçu comme informations d’identification du client.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
</a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken
ValueType="[Link]
ent/DeviceEnrollmentUserToken" EncodingType="[Link]
[Link]/wss/2004/01/oasis-200401-wss-wssecurity-secext-
[Link]#base64binary"
xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
 <s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies
xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
</s:Body>
</s:Envelope>

Une fois l’utilisateur authentifié, le service web récupère le modèle de certificat avec
lequel l’utilisateur doit s’inscrire et crée des stratégies d’inscription basées sur les
propriétés du modèle de certificat. Vous trouverez un exemple de réponse sur MSDN.

MS-XCEP prend en charge les stratégies d’inscription flexibles à l’aide de différents types
complexes et attributs. Pour les appareils Windows, nous allons d’abord prendre en
charge les stratégies minimalKeyLength, hashAlgorithmOIDReference et
CryptoProviders. HashAlgorithmOIDReference a des OID et OIDReferenceID et
policySchema associés dans getPolicesResponse. PolicySchema fait référence à la
version du modèle de certificat. La version 3 de MS-XCEP prend en charge les
algorithmes de hachage.

７ Notes

La réponse du serveur HTTP ne doit pas définir Transfer-Encoding sur Segmenté ; il

doit être envoyé sous la forme d’un seul message.

L’extrait de code suivant montre la réponse du service web de stratégie.

XML

<s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
 <s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyID />
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<commonName>CEPUnitTest</commonName>
<policySchema>3</policySchema>
<certificateValidity>
<validityPeriodSeconds>1209600</validityPeriodSeconds>
<renewalPeriodSeconds>172800</renewalPeriodSeconds>
</certificateValidity>
<permission>
<enroll>true</enroll>
<autoEnroll>false</autoEnroll>
</permission>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
<keyUsageProperty xsi:nil="true" />
<permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
</privateKeyAttributes>
<revision>
<majorRevision>101</majorRevision>
<minorRevision>0</minorRevision>
</revision>
<supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />
<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
 <oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Service web d’inscription

Ce service web implémente le protocole MS-WSTEP. Il traite le message
RequestSecurityToken (RST) du client, authentifie le client, demande le certificat à
l’autorité de certification et le retourne au client dans le RequestSecurityTokenResponse
(RSTR). Outre le certificat émis, la réponse contient également les configurations
nécessaires à l’approvisionnement du client DM.

Le RequestSecurityToken (RST) doit avoir les informations d’identification de l’utilisateur

et une demande de certificat. Les informations d’identification de l’utilisateur dans une
enveloppe SOAP RST sont les mêmes que dans GetPolicies et peuvent varier selon que
la stratégie d’authentification est OnPremise ou Federated. BinarySecurityToken dans un
corps SOAP RST contient une demande de certificat PKCS#10 codée en Base64, qui est
générée par le client en fonction de la stratégie d’inscription. Le client aurait pu
demander une stratégie d’inscription à l’aide de MS-XCEP avant de demander un
certificat à l’aide de MS-WSTEP. Si la demande de certificat PKCS#10 est acceptée par
l’autorité de certification (ca) (la longueur de clé, l’algorithme de hachage, etc.,
correspond au modèle de certificat), le client peut s’inscrire correctement.

RequestSecurityToken utilise un TokenType personnalisé

( [Link]
entToken ), car notre jeton d’inscription est plus qu’un certificat X.509 v3. Pour plus

d’informations, consultez la section Réponse.

Le RST peut également spécifier de nombreux éléments AdditionalContext, tels que

DeviceType et Version. En fonction de ces valeurs, par exemple, le service web peut
retourner une configuration de DM spécifique à l’appareil et à la version.

７ Notes
 Le service de stratégie et le service d’inscription doivent se trouver sur le même
serveur ; autrement dit, ils doivent avoir le même nom d’hôte.

L’exemple suivant montre la demande de service web d’inscription pour

l’authentification fédérée.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-a2e5f6ea3749</a:MessageID>
<a:ReplyTo>
<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken

wsse:ValueType="[Link]
rollment/DeviceEnrollmentUserToken"
wsse:EncodingType="[Link]
[Link]#base64binary">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
</wst:RequestType>
<wsse:BinarySecurityToken
 ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding Insterted
Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition">
<ac:Value> 4</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="OSVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="IMEI">
<ac:Value>30215420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Full</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceType">
<ac:Value>CIMClient_Windows</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="ApplicationVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
</ac:ContextItem>
</ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

Après avoir validé la demande, le service web recherche le modèle de certificat attribué
pour le client, le met à jour si nécessaire, envoie les requêtes PKCS#10 à l’autorité de
certification, traite la réponse de l’autorité de certification, construit un format XML
d’approvisionnement du client OMA et le retourne dans le RSTR
(RequestSecurityTokenResponse).

７ Notes

La réponse du serveur HTTP ne doit pas définir Transfer-Encoding sur Segmenté ; il

doit être envoyé sous la forme d’un seul message.

À l’instar de TokenType dans le RST, le RSTR utilise un ValueType personnalisé dans

BinarySecurityToken
( [Link]
sionDoc ), car le jeton est plus qu’un certificat X.509 v3.

Le code XML d’approvisionnement contient :

Certificats demandés (obligatoires)

Configuration du client DM (obligatoire)

Le client installe le certificat client, le certificat racine d’entreprise et le certificat

d’autorité de certification intermédiaire, le cas échéant. La configuration de DM inclut le
nom et l’adresse du serveur DM, le certificat client à utiliser, et planifie quand le client
DM rappelle le serveur.

Le code XML d’approvisionnement de l’inscription doit contenir au maximum un

certificat racine et un certificat d’autorité de certification intermédiaire nécessaire pour
chaîner le certificat client MDM. D’autres certificats d’autorité de certification racine et
intermédiaires peuvent être provisionnés pendant une session OMA DM.

Lorsque les certificats d’autorité de certification racine et intermédiaires sont

approvisionnés, le chemin du nœud CSP pris en charge est :
CertificateStore/Root/System pour l’approvisionnement de certificats racine,
CertificateStore/My/User pour l’approvisionnement de certificats d’autorité de
certification intermédiaire.

Voici un exemple de message RSTR et un exemple de code XML d’approvisionnement

du client OMA dans RSTR. Pour plus d’informations sur les fournisseurs de services de
configuration (CSP) utilisés dans l’approvisionnement xml, consultez la section
Paramètres d’entreprise, stratégies et gestion des applications.

L’exemple suivant montre la réponse du service web d’inscription.

XML
<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1" >

[Link]
</a:Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
<RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<DispositionMessage
xmlns="[Link]
<RequestedSecurityToken>
<BinarySecurityToken

ValueType="[Link]
ent/DeviceEnrollmentProvisionDoc"
EncodingType="[Link]
[Link]/wss/2004/01/oasis-200401-wss-wssecurity-secext-
[Link]#base64binary"
xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
stID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>
Le code suivant montre un exemple de code XML d’approvisionnement (présenté dans
le package précédent sous forme de jeton de sécurité) :

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="Encoded Root Cert Hash Inserted Here">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="Encoded Root Cert Hash Inserted Here">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
<characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!-If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
<parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA"
value="Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&a
mp;amp;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
 <parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7
APPLICATION characteristics -->
<characteristic type="TestMDMServer">
<parm name="UPN" value="UserPrincipalName@[Link]"
datatype="string" />
<parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8"
datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5"
datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time
communication. The DM client long term polling schedule's retry waiting
interval should be more than 24 hours (1440) to reduce the impact to data
consumption and battery life. Refer to the DMClient Configuration Service
Provider section for information about polling schedule parameters.-->
<parm name="IntervalForRemainingScheduledRetries"
value="1560" datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<!-- For Windows 10, we removed EnterpriseAppManagement from the
enrollment protocol. -->
</wap-provisioningdoc>

７ Notes

<Parm name> les éléments et <characteristic type=> dans le xml csp w7

APPLICATION respectent la casse et doivent être tous en majuscules.

Dans la caractéristique w7 APPLICATION, les informations d’identification
CLIENT et APPSRV doivent être fournies au format XML.

Des descriptions détaillées de ces paramètres se trouvent dans la section

Paramètres d’entreprise, stratégies et gestion des applications de ce
document.

La caractéristique PrivateKeyContainer est obligatoire et doit être présente

dans le code XML d’approvisionnement de l’inscription par l’inscription. Les
autres paramètres importants sont les éléments de paramètre PROVIDER-ID,
NAME et ADDR , qui doivent contenir l’ID et le NOM uniques de votre
fournisseur DM et l’adresse où l’appareil peut se connecter pour
l’approvisionnement de la configuration. L’ID et le NOM peuvent être des
valeurs arbitraires, mais elles doivent être uniques.

SSLCLIENTCERTSEARCHCRITERIA est également important, qui est utilisé pour

sélectionner le certificat à utiliser pour l’authentification du client. La
recherche est basée sur l’attribut subject du certificat utilisateur signé.

CertificateStore/WSTEP active le renouvellement des certificats. Si le serveur

ne le prend pas en charge, ne le définissez pas.
Inscription d'appareils à
l'authentification par certificat
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cette section fournit un exemple de protocole d’inscription d’appareil mobile utilisant la

stratégie d’authentification par certificat. Pour plus d’informations sur le protocole
d’inscription des appareils mobiles Microsoft pour les appareils Windows, consultez
[MS-MDE2] : Protocole d’inscription des appareils mobiles version 2 .

７ Notes

Pour configurer des appareils afin qu’ils utilisent l’authentification par certificat
pour l’inscription, vous devez créer un package d’approvisionnement. Pour plus
d’informations sur l’approvisionnement des packages, consultez Générer et
appliquer un package d’approvisionnement.

７ Notes

Pour obtenir la liste des scénarios d’inscription non pris en charge dans Windows,
consultez Scénarios d’inscription non pris en charge.

Service de découverte
L’exemple suivant montre la demande de service de découverte.

XML

POST /EnrollmentServer/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: xxx
Cache-Control: no-cache
<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/Discover
</a:Action>
 <a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>101</OSEdition> <!--New in Windows 10-->
<OSVersion>[Link]</OSVersion> <!--New in Windows 10-->
<RequestVersion>3.0</RequestVersion> <!--Updated in Windows 10--
>
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>Certificate</AuthPolicies> <!--New in Windows 10--
>
</request>
</Discover>
</s:Body>
</s:Envelope>

L’exemple suivant montre la réponse du service de découverte.

XML

HTTP/1.1 200 OK
Content-Length: 865
Content-Type: application/soap+xml; charset=utf-8
Server: [Link]
Date: Tue, 02 Aug 2012 [Link] GMT
<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
[Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
</ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse
 xmlns="[Link]
<DiscoverResult>
<AuthPolicy>Certificate</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
</EnrollmentServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Service web de stratégie d’inscription

L’exemple suivant montre la demande de service web de stratégie.

XML

POST /ENROLLMENTSERVER/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: xxxx
Cache-Control: no-cache
<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
</a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:BinarySecurityToken wsse:ValueType="X509v3"
wsse:Id="mytoken" wsse:EncodingType=
[Link]
[Link]#base64binary"
xmlns="[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken>
</wsse:Security>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies

xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSPlatform">
<ac:Value>WindowsMobile</ac:Value>
<ac:ContextItem Name="OSEdition">
<ac:Value>Core</ac:Value>
<ac:ContextItem Name="OSVersion">
<ac:Value>9.0.9999.0</ac:Value>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
<ac:ContextItem Name="MACAddress">
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Lite</ac:Value>
<ac:ContextItem Name="DeviceType">
<ac:Value>WindowsPhone</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="ApplicationVersion">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
</ac:AdditionalContext>
</s:Body>
</s:Envelope>
L’extrait de code suivant montre la réponse du service web de stratégie.

XML

HTTP/1.1 200 OK
Date: Fri, 03 Aug 2012 [Link] GMT
Server: <server name here>
Content-Type: application/soap+xml
Content-Length: xxxx

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<ActivityId CorrelationId="08d2997e-e8ac-4c97-a4ce-d263e62186ab"

xmlns="[Link]
d4335d7c-e192-402d-b0e7-f5d550467e3c</ActivityId>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<policySchema>3</policySchema>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
<keyUsageProperty xsi:nil="true" />
<permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
 </privateKeyAttributes>
<supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />

<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
<oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Service web d’inscription

L’exemple suivant montre la demande de service web d’inscription.

XML

POST /EnrollmentServer/[Link] HTTP/1.1

Content-Type: application/soap+xml; charset=utf-8
User-Agent: Windows Enrollment Client
Host: [Link]
Content-Length: 3242
Cache-Control: no-cache

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">
[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsu:Timestamp>
<wsu:Created>2014-10-16T[Link]Z</wsu:Created> <!-- Start time
in UTC -->
<wsu:Expires>2014-10-16T[Link]Z </wsu:Expires> <!-- Expiration
time in UTC -->
</wsu:Timestamp>
<wsse:BinarySecurityToken wsse:ValueType=
[Link]
nrollmentUserToken
wsse:EncodingType=
[Link]
[Link]#base64binary"
xmlns=
[Link]
[Link]
wsu:Id="29801C2F-F26B-46AD-984B-AFAEFB545FF8">
B64EncodedSampleBinarySecurityToken
</wsse:BinarySecurityToken> <!-X509v3 Exported Public Cert, B64
Encoded, includes ID reference value to reference -->
<ds:Signature xmlns:ds="[Link]
<ds:SignedInfo xmlns:SOAP-
ENV="[Link]
xmlns:ds="[Link]
xmlns:wsu="[Link]
200401-wss-wssecurity-utility- [Link]">

<ds:SignatureMethodAlgorithm="[Link]
<ds:Reference URI="#envelop">
<ds:DigestMethod
Algorithm="[Link]
<ds:DigestValue>MessageDigestValue</ds:DigestValue>
<!-- Digest value of message using digest method -->
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>SignedMessageBlob/ds:SignatureValue>
<!-- Digest value of message signed with the user's private
key using RSA-SHA256 -->
<ds:KeyInfo>
<wsse:SecurityTokenReference>
<wsse:Reference URI="29801C2F-F26B-46AD-984B-AFAEFB545FF8"
 ValueType="[Link]
[Link]/wss/2004/01/
oasis-200401-wss-x509-token-profile-
1.0#X509"/>
<!-- References BinarySecurityToken that contains public
key to verify signature -->
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
trust/200512/Issue</wst:RequestType>
<wsse:BinarySecurityToken

ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding
Insterted Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition"> <!--New in Windows 10-->
<ac:Value></ac:Value>
<ac:ContextItem Name="OSVersion"> <!--New in Windows 10-->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="DeviceName"> <!--New in Windows 10-->
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
<ac:ContextItem Name="MAC"> <!--New in Windows 10 -->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="MAC"> <!--New in Windows 10 -->
<ac:Value>[Link]</ac:Value>
<ac:ContextItem Name="IMEI"> <!--New in Windows 10-->
<ac:Value>49015420323756</ac:Value>
<ac:ContextItem Name="EnrollmentType"> <!--New in Windows 10-->
<ac:Value>Full</ac:Value>
</ac:ContextItem>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID"> <!--From Handheld 8.1 -->
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
<ac:ContextItem Name="EnrollmentData">

<ac:Value>3J4KLJ9SDJFAL93JLAKHJSDFJHAO83HAKSHFLAHSKFNHNPA2934342</ac:Value>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
 </ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

L’exemple suivant montre la réponse du service web d’inscription.

XML

HTTP/1.1 200 OK
Cache-Control: private
Content-Length: 10231
Content-Type: application/soap+xml; charset=utf-8
Server: Microsoft-IIS/7.0
Date: Fri, 03 Aug 2012 [Link] GMT

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<Action s:mustUnderstand="1" >

[Link]
</Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
<RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<RequestedSecurityToken>
<BinarySecurityToken
ValueType=
"[Link]
EnrollmentProvisionDoc"
EncodingType=
"[Link]
 [Link]#base64binary"
xmlns=
"[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
</RequestID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>

L’exemple suivant montre le code XML d’approvisionnement encodé.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="031336C933CC7E228B88880D78824FB2909A0A2F">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="F9A4F20FC50D990FDD0E3DB9AFCBF401818D5462">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
<characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!--If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
 <parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
<parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA" value=

"Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&amp;amp
;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
<parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7 APPLICATION
characteristics -->
<characteristic type="TestMDMServer">
<parm name="UPN" value="UserPrincipalName" datatype="string" />
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8"
datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5"
datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time communication. The DM client
long term polling schedule's retry waiting interval should be more than 24
hours (1440) to reduce the impact to data consumption and battery life.
Refer to the DMClient Configuration Service Provider section for information
about polling schedule parameters.-->
<parm name="IntervalForRemainingScheduledRetries" value="1560"
datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
 <parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
</characteristic>
</characteristic>
</characteristic>
<!-- For Windows 10, we have removed EnterpriseAppManagement from the
enrollment
protocol. This configuration service provider is being deprecated
for Windows 10. -->
</wap-provisioningdoc>
Inscription d'appareils à
l'authentification sur site
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cette section fournit un exemple de protocole d’inscription d’appareil mobile utilisant

une stratégie d’authentification locale. Pour plus d’informations sur le protocole
d’inscription des appareils mobiles Microsoft pour Windows, consultez [MS-MDE2] :
Protocole d’inscription des appareils mobiles version 2 .

７ Notes

Pour obtenir la liste des scénarios d’inscription non pris en charge dans Windows,
consultez Scénarios d’inscription non pris en charge.

Service de découverte
Le service web de découverte fournit les informations de configuration nécessaires à un
utilisateur pour inscrire un appareil auprès d’un service de gestion. Le service est un
service web reposant sur HTTPS (authentification serveur uniquement).

７ Notes

L’administrateur du service de découverte doit créer un hôte avec l’adresse

enterpriseenrollment.<domain_name>.com .

Le flux de découverte automatique de l’appareil utilise le nom de domaine de l’adresse

e-mail qui a été envoyée à l’écran paramètres de l’espace de travail lors de la connexion.
Le système de découverte automatique construit un URI qui utilise ce nom d’hôte en
ajoutant le sous-domaine enterpriseenrollment au domaine de l’adresse e-mail et en
ajoutant le chemin d’accès /EnrollmentServer/[Link] . Par exemple, si l’adresse
e-mail est sample@[Link] , l’URI obtenu pour la première requête Get serait :
[Link] .

La première requête est une requête HTTP GET standard.

L’exemple suivant montre une requête via HTTP GET au serveur de découverte donné
user@[Link] comme adresse e-mail.
 HTTP

Request Full Url:

[Link]
Content Type: unknown
Header Byte Count: 153
Body Byte Count: 0

HTTP

GET /EnrollmentServer/[Link] HTTP/1.1

User-Agent: Windows Phone 8 Enrollment Client
Host: [Link]
Pragma: no-cache

HTTP

Request Full Url:

[Link]
Content Type: text/html
Header Byte Count: 248
Body Byte Count: 0

HTTP

HTTP/1.1 200 OK
Connection: Keep-Alive
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 0

Une fois que l’appareil reçoit une réponse du serveur, il envoie une requête POST à
enterpriseenrollment.<domain_name>/EnrollmentServer/[Link] . Une fois qu’il a

reçu une autre réponse du serveur (qui doit indiquer à l’appareil où se trouve le serveur
d’inscription), le message suivant envoyé à partir de l’appareil est au
enterpriseenrollment.<domain_name> serveur d’inscription.

La logique suivante est appliquée :

1. L’appareil tente d’abord le protocole HTTPS. Si l’appareil n’approuve pas le

certificat de serveur, la tentative HTTPS échoue.
2. En cas d’échec, l’appareil tente http pour voir s’il est redirigé :

Si l’appareil n’est pas redirigé, l’utilisateur est invité à entrer l’adresse du

serveur.
 Si l’appareil est redirigé, l’utilisateur est invité à autoriser la redirection.

L’exemple suivant montre une requête via une commande HTTP POST au service web de
découverte donné user@[Link] en tant qu’adresse e-mail :

HTTP

[Link]

L’exemple suivant montre la demande de service de découverte.

XML

<?xml version="1.0"?>
<s:Envelope xmlns:a="[Link]
xmlns:s="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/Discover
</a:Action>
<a:MessageID>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
[Link]
</a:To>
</s:Header>
<s:Body>
<Discover
xmlns="[Link]
<request xmlns:i="[Link]
<EmailAddress>user@[Link]</EmailAddress>
<OSEdition>3</OSEdition> <!--New -->
<RequestVersion>3.0</RequestVersion> <!-- Updated -->
<DeviceType>WindowsPhone</DeviceType> <!--Updated -->
<ApplicationVersion>[Link]</ApplicationVersion>
<AuthPolicies>
<AuthPolicy>OnPremise</AuthPolicy>
</AuthPolicies>
</request>
</Discover>
</s:Body>
</s:Envelope>
Si un domaine et un nom d’utilisateur sont fournis par l’utilisateur au lieu d’une adresse
e-mail, la <balise EmailAddress> doit contenir domaine\username. Dans ce cas,
l’utilisateur doit entrer directement l’adresse du serveur.

<EmailAddress>contoso\user</EmailAddress> Response

La réponse de découverte est au format XML et inclut les champs suivants :

URL du service d’inscription (EnrollmentServiceUrl) : spécifie l’URL du point de

terminaison d’inscription exposé par le service de gestion. L’appareil doit appeler
cette URL une fois que l’utilisateur a été authentifié. Ce champ est obligatoire.
Stratégie d’authentification (AuthPolicy) : indique le type d’authentification requis.
Pour le serveur MDM, OnPremise est la valeur prise en charge, ce qui signifie que
l’utilisateur est authentifié lors de l’appel de l’URL du service de gestion. Ce champ
est obligatoire.
Federated est ajouté comme autre valeur prise en charge. Il permet au serveur
d’utiliser le service Broker d’authentification web pour effectuer une
authentification utilisateur personnalisée et l’acceptation de la durée d’utilisation.

７ Notes

La réponse du serveur HTTP ne doit pas être segmentée ; il doit être envoyé sous la
forme d’un seul message.

L’exemple suivant montre une réponse reçue du service web de découverte pour
l’authentification OnPremise :

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
yService/DiscoverResponse
</a:Action>
<ActivityId>
d9eb2fdd-e38a-46ee-bd93-aea9dc86a3b8
</ActivityId>
<a:RelatesTo>urn:uuid: 748132ec-a575-4329-b01b-
6171a9cf8478</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<DiscoverResponse
 xmlns="[Link]
<DiscoverResult>
<AuthPolicy>OnPremise</AuthPolicy>
<EnrollmentVersion>3.0</EnrollmentVersion>
<EnrollmentPolicyServiceUrl>

[Link]
VC
</EnrollmentPolicyServiceUrl>
<EnrollmentServiceUrl>

[Link]
VC
</EnrollmentServiceUrl>
</DiscoverResult>
</DiscoverResponse>
</s:Body>
</s:Envelope>

Service web de stratégie d’inscription

Pour la stratégie d’authentification OnPremise, usernameToken dans GetPolicies contient
les informations d’identification de l’utilisateur, dont la valeur est basée sur la stratégie
d’authentification dans la découverte. L’exemple suivant montre la demande de service
web de stratégie et utilise user@[Link] comme nom d’utilisateur et mypassword
comme mot de passe.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPolicies
</a:Action>
<a:MessageID>urn:uuid:72048B64-0F19-448F-8C2E-
B4C661860AA0</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">
 [Link]
VC
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:UsernameToken u:Id="uuid-cc1ccc1f-2fba-4bcf-b063-
ffc0cac77917-4">
<wsse:Username>user@[Link]</wsse:Username>
<wsse:Password wsse:Type="[Link]
[Link]/wss/2004/01/oasis-200401-wss-username-token-profile-
1.0#PasswordText">mypassword</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPolicies

xmlns="[Link]
<client>
<lastUpdate xsi:nil="true"/>
<preferredLanguage xsi:nil="true"/>
</client>
<requestFilter xsi:nil="true"/>
</GetPolicies>
</s:Body>
</s:Envelope>

Une fois l’utilisateur authentifié, le service web récupère le modèle de certificat avec
lequel l’utilisateur doit s’inscrire et crée des stratégies d’inscription basées sur les
propriétés du modèle de certificat. Vous trouverez un exemple de réponse sur MSDN.

MS-XCEP prend en charge les stratégies d’inscription flexibles à l’aide de différents types
complexes et attributs qui incluent les stratégies minimalKeyLength,
hashAlgorithmOIDReference et CryptoProviders. HashAlgorithmOIDReference a des OID
et OIDReferenceID et policySchema associés dans getPolicesResponse. PolicySchema fait
référence à la version du modèle de certificat. La version 3 de MS-XCEP prend en charge
les algorithmes de hachage.

７ Notes

La réponse du serveur HTTP ne doit pas être segmentée ; il doit être envoyé sous la
forme d’un seul message.

L’extrait de code suivant montre la réponse du service web de stratégie.

XML
 <s:Envelope
xmlns:u="[Link]
[Link]"
xmlns:s="[Link]
xmlns:a="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
tPoliciesResponse
</a:Action>
<a:RelatesTo>urn:uuid: 69960163-adad-4a72-82d2-
bb0e5cff5598</a:RelatesTo>
</s:Header>
<s:Body xmlns:xsi="[Link]
xmlns:xsd="[Link]
<GetPoliciesResponse

xmlns="[Link]
<response>
<policyID />
<policyFriendlyName xsi:nil="true"
xmlns:xsi="[Link]
<nextUpdateHours xsi:nil="true"
xmlns:xsi="[Link]
<policiesNotChanged xsi:nil="true"
xmlns:xsi="[Link]
<policies>
<policy>
<policyOIDReference>0</policyOIDReference>
<cAs xsi:nil="true" />
<attributes>
<commonName>CEPUnitTest</commonName>
<policySchema>3</policySchema>
<certificateValidity>
<validityPeriodSeconds>1209600</validityPeriodSeconds>
<renewalPeriodSeconds>172800</renewalPeriodSeconds>
</certificateValidity>
<permission>
<enroll>true</enroll>
<autoEnroll>false</autoEnroll>
</permission>
<privateKeyAttributes>
<minimalKeyLength>2048</minimalKeyLength>
<keySpec xsi:nil="true" />
<keyUsageProperty xsi:nil="true" />
<permissions xsi:nil="true" />
<algorithmOIDReference xsi:nil="true" />
<cryptoProviders xsi:nil="true" />
</privateKeyAttributes>
<revision>
<majorRevision>101</majorRevision>
<minorRevision>0</minorRevision>
</revision>
 <supersededPolicies xsi:nil="true" />
<privateKeyFlags xsi:nil="true" />
<subjectNameFlags xsi:nil="true" />
<enrollmentFlags xsi:nil="true" />
<generalFlags xsi:nil="true" />
<hashAlgorithmOIDReference>0</hashAlgorithmOIDReference>
<rARequirements xsi:nil="true" />
<keyArchivalAttributes xsi:nil="true" />
<extensions xsi:nil="true" />
</attributes>
</policy>
</policies>
</response>
<cAs xsi:nil="true" />
<oIDs>
<oID>
<value>[Link].2.29</value>
<group>1</group>
<oIDReferenceID>0</oIDReferenceID>
<defaultName>szOID_OIWSEC_sha1RSASign</defaultName>
</oID>
</oIDs>
</GetPoliciesResponse>
</s:Body>
</s:Envelope>

Service web d’inscription

Ce service web implémente le protocole MS-WSTEP. Il traite le message
RequestSecurityToken (RST) du client, authentifie le client, demande le certificat à
l’autorité de certification et le retourne au client dans le RequestSecurityTokenResponse
(RSTR). Outre le certificat émis, la réponse contient également les configurations
nécessaires à l’approvisionnement du client DM.

Le RequestSecurityToken (RST) doit avoir les informations d’identification de l’utilisateur

et une demande de certificat. Les informations d’identification de l’utilisateur dans une
enveloppe SOAP RST sont les mêmes que dans GetPolicies et peuvent varier selon que
la stratégie d’authentification est OnPremise ou Federated. BinarySecurityToken dans un
corps SOAP RST contient une demande de certificat PKCS#10 codée en Base64, qui est
générée par le client en fonction de la stratégie d’inscription. Le client aurait pu
demander une stratégie d’inscription à l’aide de MS-XCEP avant de demander un
certificat à l’aide de MS-WSTEP. Si la demande de certificat PKCS#10 est acceptée par
l’autorité de certification (ca) (la longueur de clé, l’algorithme de hachage, etc.,
correspond au modèle de certificat), le client peut s’inscrire correctement.

RequestSecurityToken utilise un TokenType personnalisé

( [Link]
entToken ), car notre jeton d’inscription est plus qu’un certificat X.509 v3. Pour plus

d’informations, consultez la section Réponse.

Le RST peut également spécifier un certain nombre d’éléments AdditionalContext, tels

que DeviceType et Version. En fonction de ces valeurs, par exemple, le service web peut
retourner une configuration de DM spécifique à l’appareil et à la version.

７ Notes

Le service de stratégie et le service d’inscription doivent se trouver sur le même

serveur ; autrement dit, ils doivent avoir le même nom d’hôte.

L’exemple suivant montre la demande de service web d’inscription pour

l’authentification OnPremise.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]"
xmlns:wsse="[Link]
[Link]"
xmlns:wst="[Link]
xmlns:ac="[Link]
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
</a:Action>
<a:MessageID>urn:uuid:0d5a1441-5891-453b-becf-
a2e5f6ea3749</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
[Link]
</a:To>
<wsse:Security s:mustUnderstand="1">
<wsse:UsernameToken u:Id="uuid-cc1ccc1f-2fba-4bcf-b063-
ffc0cac77917-4">
<wsse:Username>user@[Link]</wsse:Username>
<wsse:Password wsse:Type=
"[Link]
username-token-profile-1.0#PasswordText">mypassword
</wsse:Password>
</wsse:UsernameToken>
 </wsse:Security>
</s:Header>
<s:Body>
<wst:RequestSecurityToken>
<wst:TokenType>

[Link]
nrollmentToken
</wst:TokenType>
<wst:RequestType>
[Link]
trust/200512/Issue</wst:RequestType>
<wsse:BinarySecurityToken

ValueType="[Link]
0"
EncodingType="[Link]
[Link]#base64binary">
DER format PKCS#10 certificate request in Base64 encoding
Insterted Here
</wsse:BinarySecurityToken>
<ac:AdditionalContext
xmlns="[Link]
<ac:ContextItem Name="OSEdition">
<ac:Value> 4</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="OSVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceName">
<ac:Value>MY_WINDOWS_DEVICE</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="MAC">
<ac:Value>[Link]</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="IMEI">
<ac:Value>49015420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="IMEI">
<ac:Value>30215420323756</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="EnrollmentType">
<ac:Value>Full</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceType">
<ac:Value>CIMClient_Windows</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="ApplicationVersion">
<ac:Value>10.0.9999.0</ac:Value>
</ac:ContextItem>
<ac:ContextItem Name="DeviceID">
<ac:Value>7BA748C8-703E-4DF2-A74A-92984117346A</ac:Value>
 </ac:ContextItem>
<ac:ContextItem Name="TargetedUserLoggedIn">
<ac:Value>True</ac:Value>
</ac:ContextItem>
</ac:AdditionalContext>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>

L’exemple suivant montre la réponse du service web d’inscription.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link]
xmlns:u="[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1" >

[Link]
</a:Action>
<a:RelatesTo>urn:uuid:81a5419a-496b-474f-a627-
5cdd33eed8ab</a:RelatesTo>
<o:Security s:mustUnderstand="1" xmlns:o=
"[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2012-08-02T[Link].420Z</u:Created>
<u:Expires>2012-08-02T[Link].420Z</u:Expires>
</u:Timestamp>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityTokenResponseCollection
xmlns="[Link]
<RequestSecurityTokenResponse>
<TokenType>

[Link]
nrollmentToken
</TokenType>
<DispositionMessage
xmlns="[Link]
<RequestedSecurityToken>
<BinarySecurityToken
ValueType=

"[Link]
EnrollmentProvisionDoc"
EncodingType=
"[Link]
[Link]#base64binary"
 xmlns=
"[Link]
[Link]">
B64EncodedSampleBinarySecurityToken
</BinarySecurityToken>
</RequestedSecurityToken>
<RequestID
xmlns="[Link]
</RequestID>
</RequestSecurityTokenResponse>
</RequestSecurityTokenResponseCollection>
</s:Body>
</s:Envelope>

L’exemple suivant montre le code XML d’approvisionnement encodé.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<characteristic type="Root">
<characteristic type="System">
<characteristic type="031336C933CC7E228B88880D78824FB2909A0A2F">
<parm name="EncodedCertificate" value="B64 encoded cert
insert here" />
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="CertificateStore">
<characteristic type="My" >
<characteristic type="User">
<characteristic type="F9A4F20FC50D990FDD0E3DB9AFCBF401818D5462">
<parm name="EncodedCertificate"
value="B64EncodedCertInsertedHere" />
</characteristic>
<characteristic type="PrivateKeyContainer"/>
<!-- This tag must be present for XML syntax correctness. -->
</characteristic>
<characteristic type="WSTEP">
<characteristic type="Renew">
<!--If the datatype for ROBOSupport, RenewPeriod, and
RetryInterval tags exist, they must be set explicitly. -->
<parm name="ROBOSupport" value="true" datatype="boolean"/>
<parm name="RenewPeriod" value="60" datatype="integer"/>
<parm name="RetryInterval" value="4" datatype="integer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="TestMDMServer"/>
 <parm name="NAME" value="Microsoft"/>
<parm name="ADDR"
value="[Link]
<parm name="CONNRETRYFREQ" value="6" />
<parm name="INITIALBACKOFFTIME" value="30000" />
<parm name="MAXBACKOFFTIME" value="120000" />
<parm name="BACKCOMPATRETRYDISABLED" />
<parm name="DEFAULTENCODING" value="application/[Link]+wbxml"
/>
<parm name="SSLCLIENTCERTSEARCHCRITERIA" value=

"Subject=DC%3dcom%2cDC%3dmicrosoft%2cCN%3dUsers%2cCN%3dAdministrator&amp;amp
;Stores=My%5CUser"/>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="CLIENT"/>
<parm name="AAUTHTYPE" value="DIGEST"/>
<parm name="AAUTHSECRET" value="password1"/>
<parm name="AAUTHDATA" value="B64encodedBinaryNonceInsertedHere"/>
</characteristic>
<characteristic type="APPAUTH">
<parm name="AAUTHLEVEL" value="APPSRV"/>
<parm name="AAUTHTYPE" value="BASIC"/>
<parm name="AAUTHNAME" value="testclient"/>
<parm name="AAUTHSECRET" value="password2"/>
</characteristic>
</characteristic>
<characteristic type="DMClient"> <!-- In Windows 10, an enrollment server
should use DMClient CSP XML to configure DM polling schedules. -->
<characteristic type="Provider">
<!-- ProviderID in DMClient CSP must match to PROVIDER-ID in w7 APPLICATION
characteristics -->
<characteristic type="TestMDMServer">
<characteristic type="Poll">
<parm name="NumberOfFirstRetries" value="8" datatype="integer" />
<parm name="IntervalForFirstSetOfRetries" value="15"
datatype="integer" />
<parm name="NumberOfSecondRetries" value="5" datatype="integer" />
<parm name="IntervalForSecondSetOfRetries" value="3"
datatype="integer" />
<parm name="NumberOfRemainingScheduledRetries" value="0"
datatype="integer" />
<!-- Windows 10 supports MDM push for real-time communication. The DM client
long term polling schedule's retry waiting interval should be more than 24
hours (1440) to reduce the impact to data consumption and battery life.
Refer to the DMClient Configuration Service Provider section for information
about polling schedule parameters.-->
<parm name="IntervalForRemainingScheduledRetries" value="1560"
datatype="integer" />
<parm name="PollOnLogin" value="true" datatype="boolean" />
</characteristic>
<parm name="EntDeviceName" value="Administrator_Windows"
datatype="string" />
</characteristic>
</characteristic>
</characteristic>
 <!-- For Windows 10, we removed EnterpriseAppManagement from the
enrollment
protocol. This configuration service provider is being deprecated
for Windows 10. -->
</wap-provisioningdoc>
Gestion des stratégies et des paramètres
d’entreprise
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

L’interaction de gestion réelle entre l’appareil et le serveur s’effectue via le client DM. Le
client DM communique avec le serveur d’administration d’entreprise via la syntaxe
SyncML DM v1.2. La description complète du protocole OMA DM v1.2 est disponible sur
le site web d’OMA .

Les paramètres GPM d’entreprise sont exposés via différents fournisseurs de services de
configuration au client DM. Pour obtenir la liste des fournisseurs de services de
configuration disponibles, consultez Informations de référence sur les fournisseurs de
services de configuration.

Windows prend actuellement en charge un serveur MDM. Le client DM configuré via le

processus d’inscription se voit accorder l’accès aux paramètres d’entreprise. Pendant le
processus d’inscription, le planificateur de tâches est configuré pour appeler le client
DM afin d’interroger régulièrement le serveur MDM.

Le diagramme suivant montre le flux de travail entre le serveur et le client.

Flux de travail de gestion

Ce protocole définit une communication client/serveur basée sur HTTPS avec DM
SyncML XML comme charge utile de package qui transporte les demandes de gestion et
les résultats d’exécution. La demande de configuration est traitée via un objet managé
(MO). Les paramètres pris en charge par l’objet managé sont représentés dans une
arborescence conceptuelle. Cette vue logique des paramètres d’appareil configurables
simplifie la façon dont le serveur traite les paramètres de l’appareil en isolant les détails
de l’implémentation de l’arborescence conceptuelle.

Pour faciliter la communication renforcée avec le serveur distant pour la gestion

d’entreprise, Windows prend en charge l’authentification mutuelle basée sur les
certificats sur un canal HTTP TLS/SSL chiffré entre le client DM et le service de gestion.
Les certificats serveur et client sont provisionnés pendant le processus d’inscription.

La configuration du client DM, l’application de la stratégie d’entreprise, la gestion des

applications métier et l’inventaire des appareils sont tous exposés ou exprimés via des
fournisseurs de services de configuration (CSP). Les fournisseurs de services cloud sont
le terme Windows pour les objets managés. Le client DM communique avec le serveur
et envoie une demande de configuration aux fournisseurs de services cloud. Le serveur
doit uniquement connaître les URI locaux logiques définis par ces nœuds CSP afin
d’utiliser le protocole XML du protocole DM pour gérer l’appareil.

Voici un résumé des tâches DM prises en charge pour la gestion d’entreprise :

Gestion des stratégies d’entreprise : les stratégies d’entreprise sont prises en

charge via le csp Policy permet à l’entreprise de gérer différents paramètres. Il
permet au service de gestion de configurer des stratégies liées au verrouillage de
l’appareil, de désactiver/activer le carte de stockage et d’interroger le status de
chiffrement de l’appareil. Le fournisseur de services de configuration RemoteWipe
permet aux professionnels de l’informatique de réinitialiser entièrement à distance
le stockage de données utilisateur interne.
Gestion des applications d’entreprise : cette tâche est traitée via le fournisseur de
services de configuration Enterprise ModernApp Management et plusieurs
stratégies liées à ApplicationManagement. Il est utilisé pour installer le jeton
d’entreprise, interroger les noms et les versions des applications métier installées,
etc. Ce fournisseur de solutions Cloud est accessible uniquement par le service
d’entreprise.
Gestion des certificats : Le fournisseur de services de configuration CertificateStore,
le fournisseur de services de configuration RootCACertificate et le fournisseur de
services de configuration ClientCertificateInstall sont utilisés pour installer les
certificats.
Inventaire des appareils de base et gestion des ressources : certaines
informations de base sur les appareils peuvent être récupérées via le csp DevInfo,
les csp DevDetail et le csp DeviceStatus. Ceux-ci fournissent des informations de
base sur l’appareil, telles que le nom OEM, le modèle d’appareil, la version du
matériel, la version du système d’exploitation, les types de processeurs, etc. Ces
informations concernent la gestion des ressources et le ciblage des appareils. Le
fournisseur de services de configuration NodeCache permet à l’appareil d’envoyer
uniquement les paramètres d’inventaire delta au serveur afin de réduire l’utilisation
des données ota. Le fournisseur de services de configuration NodeCache est
uniquement accessible par le service d’entreprise.
Gestion d'applications d'entreprise
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cet article décrit l’une des fonctionnalités clés des fonctionnalités de Windows Mobile
Gestion des appareils (MDM) : la possibilité de gérer le cycle de vie des applications sur
tous les appareils Windows. Cela inclut les applications du Windows Store et non-Store,
qui peuvent être gérées en mode natif via GPM.

En utilisant la gestion des appareils mobiles Windows pour gérer les cycles de vie des
applications, les administrateurs peuvent déployer et gérer les mises à jour, supprimer
les applications obsolètes ou inutilisées et s’assurer que tous les appareils disposent des
applications nécessaires pour répondre aux besoins de l’organization. Cette
fonctionnalité simplifie le processus de gestion des applications et fait gagner du temps
et des efforts aux professionnels de l’informatique.

Objectifs de gestion des applications

Windows offre aux serveurs d’administration la possibilité d’effectuer les opérations
suivantes :

Installer des applications directement à partir du Microsoft Store pour Entreprises

Déployer des applications et des licences du Store hors connexion
Déployer des applications métier (applications hors Windows Store)
Inventorier toutes les applications d’un utilisateur (applications du Windows Store
et non-Store)
Inventorier toutes les applications pour un appareil (applications du Windows
Store et non-Store)
Désinstaller toutes les applications d’un utilisateur (applications du Windows Store
et non-Store)
Approvisionner les applications afin qu’elles soient installées pour tous les
utilisateurs d’un appareil exécutant des éditions de bureau Windows (Famille,
Professionnel, Entreprise et Éducation)
Supprimer l’application provisionnée sur l’appareil exécutant des éditions de
bureau Windows

Applications d’inventaire
Windows vous permet d’inventorier toutes les applications déployées sur un utilisateur
et d’inventorier toutes les applications pour tous les utilisateurs d’un appareil Windows.
Le fournisseur de services de configuration EnterpriseModernAppManagement
inventorie les applications empaquetées et n’inclut pas les applications Win32
traditionnelles installées via MSI ou exécutables. Lorsque les applications sont
inventoriés, elles sont séparées en fonction des classifications d’applications suivantes :

Store : applications qui ont été acquises à partir du Microsoft Store, soit
directement, soit livrées avec l’entreprise à partir du Store pour Entreprises.
nonStore : applications qui n’ont pas été acquises à partir du Microsoft Store.
Système : applications qui font partie du système d’exploitation et ne peuvent pas
être désinstallées. Cette classification est en lecture seule et ne peut être inventorié
que.

Chaque application est identifiée par un nom de famille de packages et un ou plusieurs

noms complets de package, et les applications sont regroupées en fonction de leur
origine. Le csp EnterpriseModernAppManagement affiche ces classifications en tant que
nœuds.

L’inventaire peut être exécuté de manière récursive à n’importe quel niveau à partir du
nœud AppManagement via le nom complet du package. Vous pouvez également choisir
d’inventorier uniquement des attributs spécifiques. L’inventaire est spécifique au nom
complet du package et répertorie les packs groupés et de ressources, le cas échéant,
sous le nom de la famille de packages.

Pour plus d’informations sur chaque nœud, consultez les descriptions détaillées fournies
dans le fournisseur de services de configuration EnterpriseModernAppManagement.

Inventaire des applications

Vous pouvez utiliser le fournisseur de services de configuration
EnterpriseModernAppManagement pour rechercher toutes les applications installées
pour un utilisateur ou un appareil. La requête retourne toutes les applications, même si
elles ont été installées à l’aide de GPM ou d’autres méthodes. L’inventaire peut
s’exécuter au niveau de l’utilisateur ou de l’appareil. L’inventaire au niveau de l’appareil
retourne des informations pour tous les utilisateurs sur l’appareil.

L’inventaire complet d’un appareil peut être gourmand en ressources en fonction du

matériel et du nombre d’applications installées. Les données retournées peuvent
également être volumineuses. Vous souhaiterez peut-être segmenter ces demandes
pour réduire l’impact sur les clients et le trafic réseau.

Exemple de requête pour toutes les applications sur l’appareil.

XML
 <!-- Get all apps under AppManagement -->
<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t?list=StructData</LocURI>
</Target>
</Item>
</Get>

Exemple de requête pour une application spécifique pour un utilisateur.

XML

<!-- Get all information of a specific app for a user -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
AppStore/{PackageFamilyName}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Inventaire des licences du magasin

Vous pouvez utiliser le fournisseur de services de configuration
EnterpriseModernAppManagement pour rechercher toutes les licences d’application
installées pour un utilisateur ou un appareil. La requête retourne toutes les licences
d’application, événement si elles ont été installées via GPM ou d’autres méthodes.
L’inventaire peut s’exécuter au niveau de l’utilisateur ou de l’appareil. L’inventaire au
niveau de l’appareil retourne des informations pour tous les utilisateurs sur l’appareil.

Pour obtenir une description détaillée de chaque nœud, consultez

EnterpriseModernAppManagement CSP.

７ Notes

L’ID de licence dans le csp est l’ID de contenu de la licence.

Voici un exemple de requête pour toutes les licences d’application sur un appareil.
 XML

<!-- Get all app licenses for the device -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/
StoreLicenses?list=StructData</LocURI>
</Target>
</Item>
</Get>

Voici un exemple de requête pour toutes les licences d’application d’un utilisateur.

XML

<!-- Get a specific app license for a user -->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/St
oreLicenses/{license id}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Permettre à l’appareil d’installer des

applications non-Store
Il existe deux types d’applications de base que vous pouvez déployer :

Applications du Store.
Applications d’entreprise signées.

Pour déployer des applications d’entreprise signées, vous devez activer un paramètre
sur l’appareil afin d’autoriser les applications approuvées. Les applications peuvent être
signées par une racine approuvée par Microsoft (par exemple, Symantec), une racine
déployée par l’entreprise ou des applications auto-signées. Cette section décrit les
étapes de configuration de l’appareil pour le déploiement d’applications hors store.
Déverrouiller l’appareil pour les applications non-
Windows Store
Pour déployer des applications qui ne proviennent pas du Microsoft Store, vous devez
configurer la stratégie ApplicationManagement/AllowAllTrustedApps . Cette stratégie
permet l’installation d’applications non-Store sur l’appareil s’il existe une chaîne à un
certificat sur l’appareil. L’application peut être signée avec un certificat racine sur
l’appareil (par exemple, Symantec Enterprise), un certificat racine appartenant à
l’entreprise ou un certificat d’approbation de pair déployé sur l’appareil. Pour plus
d’informations sur le déploiement d’une licence utilisateur, consultez Déployer une
licence hors connexion sur un utilisateur.

La stratégie AllowAllTrustedApps permet l’installation d’applications approuvées par un

certificat dans le Personnes approuvé sur l’appareil, ou un certificat racine dans la racine
de confiance de l’appareil. La stratégie n’est pas configurée par défaut, ce qui signifie
que seules les applications du Microsoft Store peuvent être installées. Si le serveur
d’administration définit implicitement la valeur sur désactivé, le paramètre est désactivé
dans le panneau paramètres de l’appareil.

Voici un exemple :

XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowAllTrustedApp
s?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApp
s</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
 </Item>
</Replace>

Déverrouiller l’appareil pour le mode développeur

Le développement d’applications sur des appareils Windows ne nécessite plus de
licence spéciale. Vous pouvez activer le débogage et le déploiement d’applications non
empaquetées à l’aide de la stratégie ApplicationManagement/AllowDeveloperUnlock
dans le csp Policy.

La stratégie AllowDeveloperUnlock active le mode de développement sur l’appareil.

AllowDeveloperUnlock n’est pas configuré par défaut, ce qui signifie que seules les
applications du Microsoft Store peuvent être installées. Si le serveur d’administration
définit explicitement la valeur sur off, le paramètre est désactivé dans le panneau des
paramètres de l’appareil.

Le déploiement d’applications sur des appareils Windows nécessite la présence d’une

chaîne à un certificat sur l’appareil. L’application peut être signée avec un certificat
racine sur l’appareil (par exemple, Symantec Enterprise), un certificat racine appartenant
à l’entreprise ou un certificat d’approbation de pair déployé sur l’appareil.

Voici un exemple :

XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowDeveloperUnlo
ck?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowDeveloperUnlo
ck</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
 </Meta>
<Data>1</Data>
</Item>
</Replace>

Installation d’applications
Vous pouvez installer des applications sur un utilisateur spécifique ou sur tous les
utilisateurs d’un appareil. Les applications sont installées directement à partir du
Microsoft Store. Ou bien, ils sont installés à partir d’un emplacement hôte, tel qu’un
disque local, un chemin UNC ou un emplacement HTTPS. Utilisez le nœud
AppInstallation du fournisseur de services de configuration
EnterpriseModernAppManagement pour installer des applications.

Déployer des applications sur un utilisateur à partir du

Windows Store
Pour déployer une application sur un utilisateur directement à partir du Microsoft Store,
le serveur d’administration exécute une commande Add and Exec sur le nœud
AppInstallation du fournisseur de services de configuration
EnterpriseModernAppManagement. Cette fonctionnalité est uniquement prise en
charge dans le contexte utilisateur, et non dans le contexte de l’appareil.

Si vous avez acheté une application sur le Store pour Entreprises et que l’application est
spécifiée pour une licence en ligne, l’application et la licence doivent être acquises
directement auprès du Microsoft Store.

Voici les conditions requises pour ce scénario :

L’application est affectée à une identité Azure Active Directory (Azure AD)
d’utilisateur dans le Windows Store pour Entreprises. Vous pouvez attribuer
directement dans le Windows Store pour Entreprises ou via un serveur
d’administration.
L’appareil nécessite une connectivité au Microsoft Store.
Les services du Microsoft Store doivent être activés sur l’appareil. L’interface
utilisateur du Microsoft Store peut être désactivée par l’administrateur d’entreprise.
L’utilisateur doit être connecté avec son identité Azure AD.

Voici un exemple :

XML
 <Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallation/{Pa
ckageFamilyName}/StoreInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application id="{ProductID}" flags="0" skuid=" " />
</Data>
</Item>
</Exec>

Voici les modifications apportées à la version précédente :

1. La {CatID} référence doit être mise à jour vers {ProductID} . Cette valeur est
acquise dans le cadre de l’outil de gestion du Windows Store pour Entreprises.
2. La valeur des indicateurs peut être 0 ou 1.

0 : l’outil de gestion rappelle la synchronisation du Windows Store pour

Entreprises pour attribuer à un utilisateur un siège d’une application.
1 : L’outil de gestion ne rappelle pas la synchronisation du Windows Store
pour Entreprises pour attribuer à un utilisateur un siège d’une application. Le
csp revendique un siège s’il en existe un.

3. est skuid un nouveau paramètre obligatoire. Cette valeur est acquise dans le
cadre de la synchronisation de l’outil Windows Store pour Entreprises avec l’outil
de gestion.

Déployer une licence hors connexion sur un utilisateur

Si vous avez acheté une application à partir du Windows Store pour Entreprises, la
licence d’application doit être déployée sur l’appareil. La licence d’application doit
uniquement être déployée dans le cadre de l’installation initiale de l’application.
Pendant une mise à jour, seule l’application est déployée sur l’utilisateur.

Dans SyncML, vous devez spécifier les informations suivantes dans la Exec commande :

ID de licence : cet ID est spécifié dans le LocURI. L’ID de licence de la licence hors
connexion est appelé « ID de contenu » dans le fichier de licence. Vous pouvez
 récupérer ces informations à partir du téléchargement de licence encodé en
Base64 à partir du Store pour Entreprises.
Contenu de la licence : ce contenu est spécifié dans la section données. Le contenu
de la licence est l’objet blob codé en Base64 de la licence.

Voici un exemple d’installation de licence hors connexion.

XML

<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/StoreLi
censes/{LicenseID}/AddLicense</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><License Content="{LicenseBlob}"></Data>
</Item>
</Exec>

Déployer des applications sur un utilisateur à partir d’un

emplacement hébergé
Si vous avez acheté une application sur le Windows Store pour Entreprises et que
l’application est spécifiée pour une licence hors connexion ou que l’application est une
application non-Store, l’application doit être déployée à partir d’un emplacement
hébergé.

Voici les conditions requises pour ce scénario :

L’emplacement de l’application peut être un système de fichiers local

(C:\StagedApps\[Link]), un chemin UNC (\\server\share\[Link]) ou un
emplacement HTTPS ( [Link] ).
L’utilisateur doit avoir l’autorisation d’accéder à l’emplacement du contenu. Pour
les services HTTPs, vous pouvez utiliser l’authentification serveur ou
l’authentification par certificat à l’aide d’un certificat associé à l’inscription. Les
emplacements HTTP sont pris en charge, mais non recommandés en raison de
l’absence d’exigences d’authentification.
L’appareil n’a pas besoin d’être connecté au Microsoft Store, aux services du
magasin ou d’activer l’interface utilisateur du Microsoft Store.
 L’utilisateur doit être connecté, mais l’association avec l’identité Azure AD n’est pas
nécessaire.

７ Notes

Vous devez déverrouiller l’appareil pour déployer des applications non Store ou
vous devez déployer la licence d’application avant de déployer les applications hors
connexion. Pour plus d’informations, consultez Déployer une licence hors
connexion sur un utilisateur.

La commande Ajouter pour le nom de la famille de packages est nécessaire pour

garantir la suppression correcte de l’application lors de la désinscription.

Voici un exemple d’installation d’application métier.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Add>
<!-- Install appx -->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><Application PackageUri="\\server\share\[Link]"
/></Data>
</Item>
</Exec>

Voici un exemple d’installation d’application avec des dépendances.

XML
 <!-- Add PackageFamilyName -->
<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Install appx with deployment options and framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application PackageUri="\\server\share\[Link]"
DeploymentOptions="0" >
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]" />
</Dependencies>
</Application>
</Data>
</Item>
</Exec>

Voici un exemple d’installation d’application avec des dépendances et des

packages facultatifs.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName</LocURI>
</Target>
</Item>
 </Add>
<!-- Install appx with deployment options and framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
<Application PackageUri="\\server\share\[Link]"
DeploymentOptions="0" >
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]" />
</Dependencies>
<OptionalPackages>
<Package
PackageUri="\\server\share\[Link]"
PackageFamilyName="/{PackageFamilyName}" />
<Package
PackageUri="\\server2\share\[Link]"
PackageFamilyName="/{PackageFamilyName}" />
</OptionalPackages>
</Application>
</Data>
</Item>
</Exec>

Provisionner des applications pour tous les utilisateurs

d’un appareil
L’approvisionnement vous permet d’effectuer une phase intermédiaire de l’application
sur l’appareil et tous les utilisateurs de l’appareil peuvent faire inscrire l’application lors
de leur prochaine connexion. Cette fonctionnalité est uniquement prise en charge pour
les applications achetées dans le Windows Store pour Entreprises, et l’application est
spécifiée pour une licence hors connexion ou l’application est une application non-
Store. L’application doit être proposée à partir d’un emplacement hébergé. L’application
est installée en tant que système local. Pour effectuer l’installation sur un partage de
fichiers local, le « système local » de l’appareil doit avoir accès au partage.

Voici les conditions requises pour ce scénario :

 L’emplacement de l’application peut être le système de fichiers local
(C:\StagedApps\[Link]), un chemin UNC (\\server\share\[Link]) ou un
emplacement HTTPS ( [Link] )
L’utilisateur doit avoir l’autorisation d’accéder à l’emplacement du contenu. Pour
les services HTTPs, vous pouvez utiliser l’authentification serveur ou
l’authentification par certificat à l’aide d’un certificat associé à l’inscription. Les
emplacements HTTP sont pris en charge, mais non recommandés en raison de
l’absence d’exigences d’authentification.
L’appareil n’a pas besoin d’avoir une connectivité au Microsoft Store ou aux
services du magasin activés.
L’appareil n’a pas besoin d’identité Azure AD ou d’appartenance au domaine.
Pour l’application nonStore, votre appareil doit être déverrouillé.
Pour les applications hors connexion du Windows Store, les licences requises
doivent être déployées avant de déployer les applications.

Pour approvisionner l’application pour tous les utilisateurs d’un appareil à partir d’un
emplacement hébergé, le serveur d’administration exécute une commande Add and
Exec sur le nœud AppInstallation dans le contexte de l’appareil. La commande Ajouter
pour le nom de la famille de packages est nécessaire pour garantir la suppression
correcte de l’application lors de la désinscription.

７ Notes

Lorsque vous supprimez l’application provisionnée, elle ne la supprime pas des

utilisateurs qui ont déjà installé l’application.

Voici un exemple d’installation d’application :

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Provision appx to device -->
<Exec>
<CmdID>1</CmdID>
<Item>
 <Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data><Application PackageUri="\\server\share\[Link]"
/></Data>
</Item>
</Exec>

La commande HostedInstall Exec contient un nœud Données qui nécessite un

code XML incorporé. Voici les conditions requises pour le xml de données :
Le nœud d’application a un paramètre obligatoire, PackageURI, qui peut être un
emplacement de fichier local, UNC ou HTTPS.
Les dépendances peuvent être spécifiées si nécessaire pour être installées avec
le package. Cette option est facultative.

Le paramètre DeploymentOptions est disponible uniquement dans le contexte

utilisateur.

Voici un exemple d’installation d’application avec des dépendances.

XML

<!-- Add PackageFamilyName -->

<Add>
<CmdID>0</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName</LocURI>
</Target>
</Item>
</Add>
<!-- Provision appx with framework dependencies-->
<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallat
ion/{PackageFamilyName}/HostedInstall</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">xml</Format>
</Meta>
<Data>
 <Application PackageUri="\\server\share\[Link]" />
<Dependencies>
<Dependency
PackageUri="\\server\share\[Link]" />
<Dependency
PackageUri="\\server2\share\[Link]"/>
</Dependencies>
</Application>
</Data>
</Item>
</Exec>

Obtenir status des installations d’applications

Une fois l’installation d’une application terminée, une notification Windows est envoyée.
Vous pouvez également interroger les status de l’utilisation du nœud AppInstallation.
Voici la liste des informations que vous pouvez récupérer dans la requête :

État : indique la status de l’installation de l’application.

NOT_INSTALLED (0) : le nœud a été ajouté, mais l’exécution n’a pas été
terminée.
INSTALLATION (1) : l’exécution a démarré, mais le déploiement n’est pas
terminé. Si le déploiement se termine indépendamment de la réussite, cette
valeur est mise à jour.
FAILED (2) - Échec de l’installation. Les détails de l’erreur se trouvent sous
LastError et LastErrorDescription.
INSTALLÉ (3) : une fois l’installation réussie, ce nœud est nettoyé. Si l’action de
propre n’est pas terminée, cet état peut apparaître brièvement.
LastError : dernière erreur signalée par le serveur de déploiement d’applications.
LastErrorDescription : décrit la dernière erreur signalée par le serveur de
déploiement d’applications.
État : entier qui indique la progression de l’installation de l’application. Dans le cas
d’un emplacement HTTPS, cette status indique la progression estimée du
téléchargement. L’état n’est pas disponible pour l’approvisionnement et utilisé
uniquement pour les installations basées sur l’utilisateur. Pour
l’approvisionnement, la valeur est toujours 0.

Lorsqu’une application est installée avec succès, le nœud est nettoyé et n’est plus
présent. Les status de l’application peuvent être signalées sous le nœud
AppManagement.

Voici un exemple de requête pour une installation d’application spécifique.

XML
 <!-- Get all app status under AppInstallation for a specific app-->
<Get>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n/{PackageFamilyName}?list=StructData</LocURI>
</Target>
</Item>
</Get>

Voici un exemple de requête pour toutes les installations d’applications.

XML

<!-- Get all app status under AppInstallation-->

<Get>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallatio
n?list=StructData</LocURI>
</Target>
</Item>
</Get>

Alerte pour la fin de l’installation

L’installation de l’application peut prendre un certain temps. Donc, elles sont effectuées
de manière asynchrone. Une fois la commande Exec terminée, le client envoie une
notification au serveur d’administration avec un status, qu’il s’agisse d’un échec ou
d’une réussite.

Voici un exemple d’alerte.

XML

<Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
<Source>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppInstallation/{Pa
ckageFamilyName}/HostedInstall</LocURI>
</Source>
 <Meta>
<Type xmlns="syncml:metinf">Reversed-Domain-
Name:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Alert>

Pour l’installation basée sur l’utilisateur, utilisez le ./User chemin et pour

l’approvisionnement des applications, utilisez le ./Device chemin.

La valeur 0 (zéro) du champ Données indique la réussite. Sinon, il s’agit d’un code
d’erreur. En cas d’échec, vous pouvez obtenir plus de détails à partir du nœud
AppInstallation.

７ Notes

À ce stade, l’alerte pour l’installation de l’application du Windows Store n’est pas

disponible.

Désinstaller vos applications

Vous pouvez désinstaller des applications d’utilisateurs à partir d’appareils Windows.
Pour désinstaller une application, vous la supprimez du nœud AppManagement du csp.
Dans le nœud AppManagement, les packages sont organisés en fonction de leur origine
en fonction des nœuds suivants :

AppStore : ces applications sont destinées au Microsoft Store. Les applications

peuvent être installées directement à partir du Store ou livrées à l’entreprise à
partir du Store pour Entreprises.
nonStore : applications qui n’ont pas été acquises à partir du Microsoft Store.
Système : ces applications font partie du système d’exploitation. Vous ne pouvez
pas désinstaller ces applications.

Pour désinstaller une application, vous la supprimez sous le nœud d’origine, le nom de
la famille de packages et le nom complet du package. Pour désinstaller un XAP, utilisez
l’ID de produit à la place du nom de la famille de packages et du nom complet du
package.

Voici un exemple de désinstallation de toutes les versions d’une application pour un

utilisateur.
 XML

<!-- Uninstall App for a Package Family-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/AppSt
ore/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Delete>

- Voici un exemple de désinstallation d’une version spécifique de l’application pour un

utilisateur.

XML

<!-- Uninstall App for a specific package full name-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/AppSt
ore/{PackageFamilyName}/{PackageFullName}</LocURI>
</Target>
</Item>
</Delete>

Suppression des applications approvisionnées d’un

appareil
Vous pouvez supprimer des applications approvisionnées d’un appareil pour une version
spécifique ou pour toutes les versions d’une famille de packages. Lorsqu’une application
provisionnée est supprimée, elle n’est pas disponible pour les futurs utilisateurs de
l’appareil. Les utilisateurs connectés auxquels l’application est inscrite continuent d’avoir
accès à l’application. Si vous souhaitez supprimer l’application pour ces utilisateurs, vous
devez désinstaller explicitement l’application pour ces utilisateurs.

７ Notes

Vous pouvez uniquement supprimer une application qui a une valeur d’inventaire
IsProvisioned = 1.
La suppression de l’application provisionnée se produit dans le contexte de l’appareil.

Voici un exemple de suppression d’une application provisionnée d’un appareil.

XML

<!- Remove Provisioned App for a Package Family-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t/AppStore/{PackageFamilyName}</LocURI>
</Target>
</Item>
</Delete>

Voici un exemple de suppression d’une version spécifique d’une application

provisionnée d’un appareil :

XML

<!-- Remove Provisioned App for a specific package full name-->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagemen
t/AppStore/{PackageFamilyName}/{PackageFullName}</LocURI>
</Target>
</Item>
</Delete>

Supprimer une licence d’application du Store

Vous pouvez supprimer des licences d’application d’un appareil par application en
fonction de l’ID de contenu.

Voici un exemple de suppression d’une licence d’application pour un utilisateur.

XML

<!-- Remove App License for a User-->

<Delete>
<CmdID>1</CmdID>
<Item>
 <Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/St
oreLicenses/{license id}</LocURI>
</Target>
</Item>
</Delete>

Voici un exemple de suppression d’une licence d’application pour un package

provisionné (contexte d’appareil).

XML

<!-- Remove App License for a provisioned package (device) -->

<Delete>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppLicenses/
StoreLicenses/{license id}</LocURI>
</Target>
</Item>
</Delete>

Alerte pour la désinstallation de l’application

La désinstallation d’une application peut prendre un certain temps. Par conséquent, la
désinstallation est exécutée de manière asynchrone. Une fois la commande Exec
terminée, le client envoie une notification au serveur d’administration avec un status,
qu’il s’agisse d’un échec ou d’une réussite.

Pour la désinstallation basée sur l’utilisateur, utilisez ./User dans le LocURI, et pour
l’approvisionnement, utilisez ./Device dans le LocURI.

Voici un exemple : Il n’y a qu’une seule désinstallation pour les applications hébergées et
du Store.

XML

<Alert>
<Data>1226</Data>
<Item>
<Source>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/{Pack
ageFamilyName}</LocURI>
</Source>
 <Meta>
<Type xmlns="syncml:metinf">Reversed-Domain-
Name:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Alert>

Mettre à jour vos applications

Les applications installées sur un appareil peuvent être mises à jour à l’aide du serveur
d’administration. Les applications peuvent être mises à jour directement à partir du
Store ou installées à partir d’un emplacement hébergé.

Mettre à jour les applications directement à partir du

Store
Pour mettre à jour une application à partir du Microsoft Store, l’appareil nécessite un
contact avec les services du Store.

Voici un exemple d’analyse de mise à jour.

XML

<!- Initiate a update scan for a user-->

<Exec>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
UpdateScan</LocURI>
</Target>
</Item>
</Exec>

Voici un exemple de status case activée.

XML

<!- Get last error related to the update scan-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>
 <LocURI>./User/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/
LastScanError</LocURI>
</Target>
</Item>
</Get>

Mettre à jour des applications à partir d’un emplacement

hébergé
La mise à jour d’une application existante suit le même processus qu’une installation
initiale. Pour plus d’informations, consultez Déployer des applications sur un utilisateur à
partir d’un emplacement hébergé.

Mettre à jour les applications approvisionnées

Une application provisionnée se met automatiquement à jour lorsqu’une mise à jour
d’application est envoyée à l’utilisateur. Vous pouvez également mettre à jour une
application provisionnée à l’aide du même processus qu’un approvisionnement initial.
Pour plus d’informations sur l’approvisionnement initial, consultez Provisionner des
applications pour tous les utilisateurs d’un appareil.

Empêcher l’application de mettre à jour

automatiquement
Vous pouvez empêcher la mise à jour automatique d’applications spécifiques. Cette
fonctionnalité vous permet d’activer les mises à jour automatiques pour les applications,
avec des applications spécifiques exclues comme défini par l’administrateur
informatique.

La désactivation des mises à jour s’applique uniquement aux mises à jour du Microsoft
Store au niveau de l’appareil. Cette fonctionnalité n’est pas disponible au niveau de
l’utilisateur. Vous pouvez toujours mettre à jour une application si les packages hors
connexion sont envoyés à partir de l’emplacement d’installation hébergé.

Voici un exemple :

XML

<!- Prevent app from being automatically updated-->

<Replace>
<CmdID>1</CmdID>
<Item>
<Target>
 <LocURI>./Device/Vendor/MSFT/EnterpriseModernAppManagement/AppManagement/App
Store/{PackageFamilyName}/DoNotUpdate</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type xmlns="syncml:metinf">text/plain</Type>
</Meta>
<Data>1</Data></Item>
</Replace>

Autres scénarios de gestion des applications

Les sous-sections suivantes fournissent des informations sur d’autres configurations de
paramètres.

Activer les données d’application utilisateur partagées

L’application Windows universelle peut partager des données d’application entre les
utilisateurs de l’appareil. La possibilité de partager des données peut être définie au
niveau d’une famille de packages ou par appareil.

７ Notes

Cela s’applique uniquement aux appareils multi-utilisateurs.

La stratégie ApplicationManagement/AllowSharedUserAppData permet ou désactive les

packages d’application de partager des données entre les packages d’application
lorsqu’il y a plusieurs utilisateurs. Si vous activez cette stratégie, les applications peuvent
partager des données entre les packages de leur famille de packages. Les données
peuvent être partagées via le dossier ShareLocal pour cette famille de packages et cet
ordinateur local. Ce dossier est disponible via l’API [Link].

Si vous désactivez cette stratégie, les applications ne peuvent pas partager les données
d’application utilisateur entre plusieurs utilisateurs. Toutefois, les données partagées
préécrites sont conservées. Pour propre données partagées préécrites, utilisez DISM
( /Get-ProvisionedAppxPackage pour détecter s’il existe des données partagées et
/Remove-SharedAppxData les supprimer).

Les valeurs valides sont 0 (désactivé, valeur par défaut) et 1 (activé).

Voici un exemple :
XML

<!-- Get policy (Default)-->

<Get>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowSharedUserApp
Data?list=StructData</LocURI>
</Target>
</Item>
</Get>
<!-- Update policy -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowSharedUserApp
Data</LocURI>
</Target>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Replace>
Gestion des périphériques mobiles
(GPM) pour la mise à jour des appareils
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

 Conseil

Si vous n’êtes pas développeur ou administrateur, vous trouverez des informations

plus utiles dans la Windows Update : Forum aux questions .

Avec les PC, tablettes, téléphones et appareils IoT, les solutions de gestion des
périphériques mobiles (MDM) deviennent répandues en tant que technologie légère de
gestion des appareils. Dans Windows, nous investissons massivement dans l’extension
des fonctionnalités de gestion disponibles pour les MMM. L’une des fonctionnalités clés
que nous ajoutons est la possibilité pour les appareils mobiles de maintenir les appareils
à jour avec les dernières mises à jour de Microsoft Corporation.

En particulier, Windows fournit des API pour permettre aux mdms de :

Assurez-vous que les machines restent à jour en configurant des stratégies de mise
à jour automatique.
Testez les mises à jour sur un ensemble plus petit d’ordinateurs en configurant les
mises à jour approuvées pour un appareil donné. Ensuite, lancez un déploiement à
l’échelle de l’entreprise.
Obtenir l’état de conformité des appareils gérés Le système informatique peut
comprendre les ordinateurs qui ont encore besoin d’un correctif de sécurité ou le
niveau d’actualité d’un ordinateur particulier.
Configurez les stratégies de mise à jour automatique pour vous assurer que les
appareils restent à jour.
Obtenez les informations de compatibilité de l’appareil (la liste des mises à jour qui
sont nécessaires mais qui ne sont pas encore installées).
Entrez une liste d’approbation de mise à jour par appareil. La liste s’assure que les
appareils installent uniquement les mises à jour approuvées et testées.
Approuver les contrats de licence utilisateur final (EULA) pour l’utilisateur final afin
que le déploiement de la mise à jour puisse être automatisé, même pour les mises
à jour avec les EULA.

Cet article fournit aux éditeurs de logiciels indépendants (ISV) les informations dont ils
ont besoin pour implémenter la gestion des mises à jour dans Windows. Pour plus
d’informations, consultez Fournisseur de services de configuration de stratégie - Mise à
jour.

７ Notes

Les API DM OMA pour spécifier les approbations de mise à jour et obtenir l’état de
conformité font référence aux mises à jour à l’aide d’un ID de mise à jour. L’ID de
mise à jour est un GUID qui identifie une mise à jour particulière. La gestion des
appareils mobiles souhaite afficher des informations conviviales sur la mise à jour,
au lieu d’un GUID brut, y compris le titre, la description, la base de connaissances,
le type de mise à jour, comme une mise à jour de sécurité ou un Service Pack. Pour
plus d’informations, consultez [MS-WSUSSS] : Windows Update Services :
protocole Server-Server.

Le diagramme suivant fournit une vue d’ensemble conceptuelle du fonctionnement :

Le diagramme peut être divisé en trois parties :

Le service de gestion des appareils synchronise les informations de mise à jour

(titre, description, applicabilité) à partir de Microsoft Update à l’aide du protocole
de synchronisation Server-Server (haut du diagramme).
Le service de gestion des appareils définit les stratégies de mise à jour
automatique, obtient les informations de conformité des mises à jour et définit les
approbations via le DM OMA (partie gauche du diagramme).
L’appareil obtient les mises à jour de Microsoft Update à l’aide du protocole
client/serveur. Il télécharge et installe uniquement les mises à jour qui s’appliquent
à l’appareil et qui sont approuvées par l’équipe de la TI (partie droite du
diagramme).
Mise à jour des métadonnées à l’aide du
protocole de synchronisation Server-Server
Le catalogue Microsoft Update contient de nombreuses mises à jour qui ne sont pas
nécessaires pour les appareils gérés par la gestion des périphériques mobiles. Il inclut
des mises à jour pour les logiciels hérités, comme les mises à jour des serveurs, des
systèmes d’exploitation de bureau de bas niveau, & des applications héritées et un
grand nombre de pilotes. Nous recommandons à la gestion des périphériques mobiles
d’utiliser Server-Server de synchronisation pour obtenir les métadonnées de mise à jour
pour les mises à jour signalées par le client.

Cette section décrit cette configuration. Le diagramme suivant illustre le processus du

protocole de synchronisation serveur-serveur.

MSDN fournit de nombreuses informations sur le protocole de synchronisation Server-

Server. En particulier :

Il s’agit d’un protocole SOAP et vous pouvez obtenir le protocole WSDL dans le
service web de synchronisation de serveur. WSDL peut être utilisé pour générer
 des proxys appelants pour de nombreux environnements de programmation, afin
de simplifier le développement.
Vous trouverez des exemples de code dans les Exemples de protocole. L’exemple
de code affiche des commandes SOAP brutes qui peuvent être utilisées. Bien qu’il
soit encore plus simple d’effectuer l’appel à partir d’un langage de programmation
comme .NET (appel des proxys générés par WSDL). Le stub généré par le WSDL de
synchronisation de serveur génère une URL de liaison incorrecte. L’URL de liaison
doit être définie sur
[Link]

asmx .

Quelques points importants :

Le protocole possède une phase d’autorisation (en appelant GetAuthConfig,

GetAuthorizationCookie et GetCookie). Dans les exemples deprotocole, l’exemple 1
: code d’autorisation montre comment l’autorisation est effectuée. Même s’il s’agit
de la phase d’autorisation, le protocole est complètement ouvert (aucune
informations d’identification n’est nécessaire pour exécuter cette phase du
protocole). Cette séquence d’appels doit être exécutée pour obtenir un cookie
pour la partie principale du protocole de synchronisation. Dans le cadre d’une
optimisation, vous pouvez mettre en cache le cookie et n’appeler de nouveau cette
séquence que si votre cookie a expiré.
Le protocole permet à MDM de synchroniser les métadonnées de mise à jour
d’une mise à jour particulière en appelant GetUpdateData. Pour plus
d’informations, consultez GetUpdateData dans MSDN. LocURI pour obtenir les
mises à jour applicables avec leurs numéros de révision est
<LocURI>./Vendor/MSFT/Update/InstallableUpdates?list=StructData</LocURI> .

Étant donné que toutes les mises à jour ne sont pas disponibles via la
synchronisation S2S, assurez-vous de traiter les erreurs SOAP.
Pour les appareils mobiles, vous pouvez synchroniser les métadonnées pour une
mise à jour particulière en appelant GetUpdateData. Ou, pour une solution locale,
vous pouvez utiliser Windows Server Update Services (WSUS) et importer
manuellement les mises à jour mobiles à partir du site de catalogue Microsoft
Update. Pour plus d’informations, consultez l’article Schéma de processus de
synchronisation du serveur.

７ Notes

Au fil du temps, Microsoft Update modifie les métadonnées d’une mise à jour
donnée, par exemple en mettant à jour les informations descriptives, en corrigeant
les bogues dans les règles d’applicabilité, en apportant des modifications de
 localisation, etc. Chaque fois qu’une modification qui n’affecte pas la mise à jour
elle-même, une nouvelle révision de mise à jour est créée. Un UpdateID (GUID) et
un RevisionNumber (int) composent une clé d’identité pour une révision de mise à
jour. La gestion des appareils mobiles ne présente pas de révision de mise à jour
pour le service informatique. Au lieu de cela, pour chaque UpdateID (GUID), le GPM
conserve les métadonnées pour la révision ultérieure de cette mise à jour, qui est
celle avec le numéro de révision le plus élevé.

Voici quelques exemples de descriptions de structure et

de structure XML de métadonnées de mise à jour
La réponse de l’appel GetUpdateData retourne un tableau de ServerSyncUpdateData qui
contient les métadonnées de mise à jour de l’élément XmlUpdateBlob. Le schéma du
XML Update est disponible dans les Exemples de protocole. Certains des éléments clés
sont décrits ici :

UpdateID : identificateur unique d’une mise à jour

RevisionNumber : numéro de révision de la mise à jour si la mise à jour a été
modifiée.
CreationDate : date à laquelle cette mise à jour a été créée.
UpdateType : type de mise à jour, qui peut inclure les éléments suivants :
Detectoid : si cette identité de mise à jour représente une logique de
compatibilité
Category : cet élément peut représenter l’un des éléments suivants :
Catégorie de produit à laquelle la mise à jour appartient. Par exemple,
Windows, MS office, etc.
Classification à laquelle appartient la mise à jour. Par exemple, les pilotes, la
sécurité, etc.
Logiciel : si la mise à jour est une mise à jour logicielle.
Pilote : si la mise à jour est une mise à jour du pilote.
LocalizedProperties : représente la langue dans laquelle la mise à jour est
disponible, son titre et sa description. Il contient les champs suivants :
Language : identificateur de code de langue (LCID). Par exemple, en ou es.
Titre : titre de la mise à jour. Par exemple, « Windows SharePoint Services 3.0
Service Pack 3 x64 Edition (KB2526305) »
Description : description de la mise à jour. Par exemple, « Windows SharePoint
Services 3.0 Service Pack 3 (KB2526305) fournit les dernières mises à jour de
Windows SharePoint Services 3.0. Après l'installation, vous devrez peut-être
redémarrer votre ordinateur. Une fois que vous avez installé cet élément, il ne
peut pas être supprimé. »
 KBArticleID : numéro d’article de la base de connaissances pour cette mise à jour
qui contient des détails sur la mise à jour particulière. Exemple :
[Link] .

Flux recommandé pour l’utilisation du protocole de

synchronisation Server-Server
Cette section décrit un algorithme possible d’utilisation du protocole de synchronisation
serveur-serveur pour extraire les métadonnées de mise à jour vers la gestion des
périphériques mobiles.

Voici quelques informations :

Si vous avez un modèle de gestion des données multi-locataires, les métadonnées

de mise à jour peuvent être conservées dans une partition partagée, car elle est
commune à tous les locataires.
Un service de synchronisation des métadonnées peut ensuite être implémenté. Le
service appelle périodiquement la synchronisation serveur-serveur pour obtenir les
métadonnées des mises à jour qui intéressent le service informatique.
Le composant de la gestion des périphériques mobiles qui utilise OMA DM pour
contrôler les périphériques (décrit dans la section suivante) doit envoyer au service
de synchronisation des métadonnées la liste des mises à jour nécessaires qu’il
obtient de chaque client, si ces mises à jour ne sont pas déjà connues de l’appareil.

La procédure suivante décrit un algorithme de base pour un service de synchronisation

des métadonnées :

1. Créez une liste vide d'« ID de mise à jour nécessaires à l’erreur ». Cette liste est
mise à jour par le composant de service MDM qui utilise OMA DM. Nous vous
recommandons de ne pas ajouter de mises à jour de définitions à cette liste, car
elles sont temporaires. Par exemple, Defender peut publier de nouvelles mises à
jour de définitions plusieurs fois par jour, chacune d’entre elles est cumulative.
2. Synchronisez périodiquement (nous recommandons une fois toutes les 2 heures –
pas plus d'une fois par heure).
a. Implémentez la phase d’autorisation du protocole pour obtenir un cookie si
vous n’avez pas encore de cookie non expiré. Voir Exemple 1 : autorisation dans
les Exemples de protocole.
b. Implémentez la partie métadonnées du protocole. Consultez l’exemple 2 :
Synchronisation des métadonnées et des déploiements dans exemples de
protocole) et appelez GetUpdateData pour toutes les mises à jour dans la liste «
ID de mise à jour nécessaires à l’erreur » si les métadonnées de mise à jour
n’ont pas déjà été extraites dans la base de données.
 S’il s’agit d’une nouvelle version de la mise à jour d’une mise à jour
existante (même UpdateID, numéro de révision supérieur), remplacez les
métadonnées de mise à jour précédentes par la nouvelle.
Supprimez les mises à jour de la liste « ID de mise à jour nécessaires à
l’erreur » une fois qu’elles ont été apportées.

Ces étapes obtiennent des informations sur l’ensemble des mises à jour Microsoft
Corporation que le secteur de l’information doit gérer, de sorte que les informations
peuvent être utilisées dans différents scénarios de gestion des mises à jour. Par exemple,
au moment de l’approbation de la mise à jour, vous pouvez obtenir des informations
pour que le gouvernement puisse voir les mises à jour qu’il approuve. Ou, pour que les
rapports de conformité voient quelles mises à jour sont nécessaires, mais pas encore
installées.

Gestion des mises à jour à l’aide du DM OMA

Un GPM peut gérer les mises à jour via le DM OMA. Les détails sur l’utilisation et
l’intégration d’une gestion des périphériques mobiles avec le protocole DM Windows
OMA et la façon d’inscrire des appareils pour la gestion de la gestion des appareils
mobiles sont documentés dans la gestion des appareils mobiles. Cette section décrit la
façon d’étendre cette intégration pour prendre en charge la gestion des mises à jour.
Les principaux aspects de la gestion des mises à jour incluent les informations suivantes
:

Configurez les stratégies de mise à jour automatique pour vous assurer que les
appareils restent à jour.
Obtenez les informations de compatibilité de l’appareil (la liste des mises à jour qui
sont nécessaires mais qui ne sont pas encore installées).
Spécifiez une liste d’approbation de mise à jour par périphérique. La liste s’assure
que les appareils installent uniquement les mises à jour approuvées et testées.
Approuvez les CLUF pour l’utilisateur final afin que le déploiement des mises à jour
puisse être automatisé, même pour les mises à jour avec des CLUF.

La liste suivante décrit un modèle suggéré pour l’application des mises à jour.

1. Avoir un « groupe test » et un « groupe général ».

2. Dans le groupe Test, laissez toutes les mises à jour circuler.
3. Dans le groupe Tous, définissez le report de mise à jour de la qualité pendant sept
jours, puis les Mises à jour qualité sont automatiquement approuvées après sept
jours. Les reports de mise à jour qualité excluent les Mises à jour de définition. Les
Mises à jour de définition sont donc automatiquement approuvées lorsqu’elles
sont disponibles. Faites correspondre la planification de definition Mises à jour à la
 planification du report de mise à jour qualité en définissant
Update/DeferQualityUpdatesPeriodInDays sur sept. Laissez les mises à jour
s’écouler après sept jours ou en suspendant si des problèmes se produisent.

Mises à jour sont configurés à l’aide du fournisseur de services de configuration de

stratégie de mise à jour.

Capture d’écran de l’interface utilisateur gestion des

mises à jour
Les captures d’écran suivantes de la console administrateur montrent la liste des titres
de mise à jour, les status d’approbation et d’autres champs de métadonnées.

Exemple de SyncML
Définissez la mise à jour automatique pour notifier et différer.

XML

<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
<Replace xmlns="">
<CmdID>1</CmdID>
<Item>
<Meta>
<Format>int</Format>
 <Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/AllowUpdateService</LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireDeferUpgrade </LocURI>
</Target>
<Data>0</Data>
</Item>
<CmdID>3</CmdID>
<Item>
<Meta>
<Format>int</Format>
<Type>text/plain</Type>
</Meta>
<Target>

<LocURI>./Vendor/MSFT/Policy/Config/Update/RequireUpdateApproval </LocURI>
</Target>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

Diagramme de flux de processus et captures

d’écran du processus de synchronisation du
serveur
Le diagramme et les captures d’écran suivants montrent le flux de processus du
processus de mise à jour de l’appareil avec Windows Server Update Services et du
catalogue Microsoft Update.
Articles connexes
Fournisseur de services de configuration de stratégie – Mettre à jour
Fournisseur de services de configuration de stratégie
Gérer Copilot dans Windows
Article • 09/02/2024 • S’applique à: ✅ Windows 11, version 22H2 or later

Vous recherchez des informations destinées aux utilisateurs ? Consultez Bienvenue

dans Copilot dans Windows .

Copilot dans Windows fournit une assistance d’IA générative centralisée à vos
utilisateurs directement à partir du bureau Windows. Copilot dans Windows apparaît
sous la forme d’une barre latérale ancrée sur le bureau Windows et est conçu pour aider
les utilisateurs à accomplir leurs tâches dans Windows. Copilot dans Windows peut
effectuer des tâches courantes dans Windows, telles que la modification des paramètres
Windows, ce qui le rend différent du copilot basé sur un navigateur dans Edge.
Toutefois, les deux expériences utilisateur, Copilot dans Windows et Copilot dans Edge,
peuvent partager la même plateforme de fournisseur de conversation sous-jacente. Il
est important pour les organisations de configurer correctement la plateforme de
fournisseur de conversation utilisée par Copilot dans Windows, car il est possible pour
les utilisateurs de copier et coller des informations sensibles dans la conversation.

７ Notes

Copilot dans Windows est actuellement disponible en préversion. Nous

continuerons à expérimenter de nouvelles idées et méthodes à l’aide de vos
commentaires.
Copilot dans Windows (en préversion) est disponible sur certains marchés
mondiaux et sera déployé sur d’autres marchés au fil du temps. Si vous
souhaitez en savoir plus .

Configurer Copilot dans Windows pour les

environnements commerciaux
À un niveau élevé, la gestion et la configuration de Copilot dans Windows pour votre
organization impliquent les étapes suivantes :

1. Comprendre les plateformes de fournisseurs de conversation disponibles pour

Copilot dans Windows
2. Configurer la plateforme de fournisseur de conversation utilisée par Copilot dans
Windows
 3. Vérifier que l’expérience utilisateur Copilot dans Windows est activée
4. Vérifier les autres paramètres susceptibles d’affecter Copilot dans Windows et son
fournisseur de conversation sous-jacent

Les organisations qui ne sont pas prêtes à utiliser Copilot dans Windows peuvent le
désactiver jusqu’à ce qu’elles soient prêtes avec la stratégie Désactiver Windows
Copilot . Ce paramètre de stratégie vous permet de désactiver Copilot dans Windows. Si
vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser Copilot
dans Windows et l’icône n’apparaît pas non plus dans la barre des tâches. Si vous
désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent
utiliser Copilot dans Windows lorsqu’il est disponible.

ﾉ Agrandir le tableau

Paramètre

CSP ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot

Stratégie Configuration > utilisateur Modèles d’administration > Composants > Windows
de groupe Copilot >Désactiver Windows Copilot

Plateformes de fournisseur de conversation

pour Copilot dans Windows
Copilot dans Windows peut utiliser Microsoft Copilot, Copilot avec protection des
données commerciales, ou Copilot avec la conversation graphe comme plateforme de
fournisseur de conversation. La plateforme du fournisseur de conversation est le service
sous-jacent utilisé par Copilot dans Windows pour communiquer avec l’utilisateur. La
plateforme du fournisseur de conversation est importante, car il est possible pour les
utilisateurs de copier et coller des informations sensibles dans la conversation. Chaque
plateforme de fournisseur de conversation a des protections de confidentialité et de
sécurité différentes.

Copilot
Copilot est une expérience consommateur et a une limite quotidienne sur le nombre de
requêtes de conversation par utilisateur lorsqu’il n’est pas connecté avec un compte
Microsoft. Il n’offre pas la même protection des données que Copilot avec la protection
des données commerciales.

Copilot dans Windows : vos données et confidentialité

 La déclaration de confidentialité pour l’utilisation de Copilot suit la déclaration de
confidentialité de Microsoft , y compris les conseils spécifiques au produit dans
la déclaration de confidentialité microsoft pour Bing sous la section Recherche,
Microsoft Edge et intelligence artificielle .

７ Notes

Copilot n’a pas accès aux données Microsoft 365 Apps, telles que les e-mails,
le calendrier ou les fichiers à l’aide de Microsoft Graph, contrairement à
Microsoft Copilot avec la conversation avec Graph.

Copilot avec protection des données commerciales

Copilot avec protection des données commerciales est destiné aux scénarios
d’utilisation commerciale et offre une protection des données commerciales. Les
protections de confidentialité et de sécurité suivantes s’appliquent à Copilot avec
protection des données commerciales :

Les données utilisateur et organisationnelles sont protégées, les données de

conversation ne sont pas enregistrées et vos données ne sont pas utilisées pour
entraîner les modèles de langage volumineux (LLM) sous-jacents. En raison de
cette protection, l’historique des conversations, les plug-ins tiers et l’application
Bing pour iOS ou Android ne sont pas pris en charge actuellement. Copilot avec
protection des données commerciales est accessible à partir de navigateurs
mobiles, y compris Edge mobile sur iOS et Android. Passez en revue la déclaration
de confidentialité de Copilot avec la protection des données commerciales.

Copilot avec protection des données commerciales est disponible, sans coût
supplémentaire, pour les licences suivantes :
Microsoft 365 E3 ou E5
Microsoft 365 F3
Microsoft 365 A1, A3 ou A5
Copilot avec la protection des données commerciales est limité aux
enseignants et aux étudiants de l’enseignement supérieur de plus de 18 ans
Office 365 A1, A3 ou A5
Copilot avec la protection des données commerciales est limité aux
enseignants et aux étudiants de l’enseignement supérieur de plus de 18 ans
Microsoft 365 Business Standard
Microsoft 365 Business Premium
 ７ Notes

Copilot avec protection des données commerciales n’a pas accès aux données
Microsoft 365 Apps, telles que les e-mails, le calendrier ou les fichiers à l’aide
de Microsoft Graph, contrairement à Microsoft Copilot avec la conversation
graphée.

Microsoft Copilot avec conversation ancrée sur Graph

Copilot avec la conversation ancrée sur Graph vous permet d’utiliser votre contenu
professionnel et votre contexte dans Copilot pour Windows. Avec la conversation ancrée
sur Graph, vous pouvez rédiger du contenu et obtenir des réponses aux questions,
toutes ancrées en toute sécurité dans vos données Microsoft Graph, telles que les
documents utilisateur, les e-mails, le calendrier, les conversations, les réunions et les
contacts. Lorsque vous utilisez le bouton bascule Travailler dans Copilot dans Windows
pour interroger la conversation graphée, les protections de confidentialité et de sécurité
de haut niveau suivantes s’appliquent :

Les invites, les réponses et les données accessibles par le biais de Microsoft Graph
ne sont pas utilisés pour former des llms de base.
Il expose uniquement les données organisationnelles sur lesquelles les utilisateurs
individuels ont au moins des autorisations d’affichage.
Les informations contenues dans vos invites, les données récupérées et les
réponses générées restent dans la limite de service de votre locataire. Pour plus
d’informations sur la confidentialité et la sécurité de la conversation fondée sur
Graph, consultez Données, confidentialité et sécurité pour Microsoft Copilot pour
Microsoft 365
Copilot avec la conversation avec Graph-grounded fait partie de Copilot pour
Microsoft 365. Copilot pour Microsoft 365 est un plan d’extension. Pour plus
d’informations sur les conditions préalables et les conditions requises pour les
licences, consultez Microsoft Copilot pour Microsoft 365 conditions requises.

Configurer la plateforme de fournisseur de

conversation utilisée par Copilot dans Windows
La configuration de la plateforme de fournisseur de conversation appropriée pour
Copilot dans Windows est importante, car il est possible pour les utilisateurs de copier
et coller des informations sensibles dans la conversation. Chaque plateforme de
fournisseur de conversation a des protections de confidentialité et de sécurité
différentes. Une fois que vous avez sélectionné la plateforme de fournisseur de
conversation que vous souhaitez utiliser pour Copilot dans Windows, vérifiez qu’elle est
configurée pour les utilisateurs de votre organization. Les sections suivantes décrivent
comment configurer la plateforme de fournisseur de conversation utilisée par Copilot
dans Windows.

Microsoft Copilot en tant que plateforme de fournisseur

de conversation
Copilot est utilisé comme plateforme de fournisseur de conversation par défaut pour
Copilot dans Windows lorsque l’une des conditions suivantes se produit :

La protection des données commerciales n’est pas configurée pour l’utilisateur.

La protection des données commerciales est désactivée.
L’utilisateur ne dispose pas d’une licence qui inclut Copilot avec protection des
données commerciales.
L’utilisateur n’est pas connecté avec un compte Microsoft Entra sous licence
Copilot avec protection des données commerciales.

Copilot avec protection des données commerciales

comme plateforme de fournisseur de conversation
(recommandé pour les environnements commerciaux)
Pour vérifier que Copilot avec protection des données commerciales est activé pour
l’utilisateur en tant que plateforme de fournisseur de conversation pour Copilot dans
Windows, suivez les instructions suivantes :

1. Connectez-vous au Centre d'administration Microsoft 365 .

2. Dans le centre d’administration, sélectionnez Utilisateurs>Utilisateurs utilisateurs

actifs et vérifiez que les utilisateurs disposent d’une licence qui inclut Copilot.
Copilot avec protection des données commerciales est inclus et activé par défaut
pour les utilisateurs auxquels l’une des licences suivantes est affectée :

Microsoft 365 E3 ou E5
Microsoft 365 F3
Microsoft 365 A1, A3 ou A5
Copilot avec la protection des données commerciales est limité aux
enseignants et aux étudiants de l’enseignement supérieur de plus de 18
ans
Office 365 A1, A3 ou A5
 Copilot avec la protection des données commerciales est limité aux
enseignants et aux étudiants de l’enseignement supérieur de plus de 18
ans
Microsoft 365 Business Standard
Microsoft 365 Business Premium

3. Pour vérifier que la protection des données commerciales est activée pour
l’utilisateur, sélectionnez le nom d’affichage de l’utilisateur pour ouvrir le menu
volant.

4. Dans le menu volant, sélectionnez l’onglet Licences & applications , puis

développez la liste Applications .

5. Vérifiez que Copilot est activé pour l’utilisateur.

6. Si vous préférez afficher les licences d’un utilisateur à partir du Portail Azure ,
vous les trouverez sous Microsoft Entra ID>Utilisateurs. Sélectionnez le nom de
l’utilisateur, puis Licences. Sélectionnez une licence qui inclut Copilot, puis vérifiez
qu’elle est répertoriée sur Activé.

７ Notes

Si vous avez précédemment désactivé Copilot avec la protection des données

commerciales (anciennement Bing Chat Enterprise) à l’aide de l’URL ,
[Link] consultez Gérer Copilot pour vérifier que la

protection des données commerciales est activée pour vos utilisateurs.

L’exemple de script PowerShell suivant se connecte à Microsoft Graph et répertorie les

utilisateurs sur lesquels Copilot a activé et désactivé la protection des données
commerciales :

PowerShell

# Install Microsoft Graph module

if (-not (Get-Module [Link])) {
Install-Module [Link]
}

# Connect to Microsoft Graph

Connect-MgGraph -Scopes '[Link]'

# Get all users

$users = Get-MgUser -All -ConsistencyLevel eventual -Property Id,
DisplayName, Mail, UserPrincipalName, AssignedPlans

# Users with Copilot with commercial data protection enabled

 $users | Where-Object { $_.AssignedPlans -and $_.[Link] -eq
"Bing" -and $_.[Link] -eq "Enabled" } | Format-Table

# Users without Copilot with commercial data protection enabled

$users | Where-Object { -not $_.AssignedPlans -or ($_.[Link]
-eq "Bing" -and $_.[Link] -ne "Enabled") } | Format-
Table

Lorsque Copilot avec protection des données commerciales est la plateforme du

fournisseur de conversation, l’expérience utilisateur indique clairement que vos données
personnelles et d’entreprise sont protégées dans cette conversation. Il existe
également un symbole de bouclier intitulé Protégé en haut du Copilot dans la barre
latérale Windows et le fournisseur est répertorié sous le logo Copilot lorsque la barre
latérale est ouverte pour la première fois. L’image suivante montre le message affiché
dans ce scénario :
 

Copilote avec la conversation fondée sur Graph comme

plateforme de fournisseur de conversation
Lorsque les utilisateurs se voient attribuer des licences Microsoft Copilot pour Microsoft
365, un bouton bascule Travail s’affiche automatiquement dans Copilot pour Windows.
Lorsque l’option Travailler est sélectionnée, Copilot avec conversation ancrée sur Graph
est la plateforme de fournisseur de conversation utilisée par Copilot dans Windows. Lors
de l’utilisation d’une conversation ancrée sur Graph, les invites utilisateur peuvent
accéder en toute sécurité au contenu Microsoft Graph, tel que des e-mails, des
conversations et des documents.
 

Vérifier que l’expérience utilisateur Copilot

dans Windows est activée
Une fois que vous avez configuré la plateforme de fournisseur de conversation utilisée
par Copilot dans Windows, vous devez vous assurer que l’expérience utilisateur Copilot
dans Windows est activée. Le fait de s’assurer que Copilot dans l’expérience utilisateur
windows est activé varie selon la version de Windows.

Activer l’expérience utilisateur Copilot dans Windows

pour les clients Windows 11, version 22H2
Copilot dans Windows n’est pas techniquement activé par défaut pour les appareils
Windows 11 managés version 22H2, car il se trouve derrière un contrôle d’entreprise
temporaire. Pour les besoins du contrôle d’entreprise temporaire, un système est
considéré comme géré s’il est configuré pour obtenir des mises à jour à partir de
Windows Update entreprise ou Windows Server Update Services (WSUS). Les clients qui
obtiennent des mises à jour de Microsoft Configuration Manager, Microsoft Intune et
Windows Autopatch sont considérés comme gérés, car leurs mises à jour proviennent
finalement de WSUS ou de Windows Mises à jour entreprise.

Pour activer Copilot dans Windows pour les appareils Windows 11 managés, version
22H2, vous devez activer les fonctionnalités sous contrôle d’entreprise temporaire pour
ces appareils. Étant donné que l’activation des fonctionnalités derrière le contrôle
d’entreprise temporaire peut avoir un impact, vous devez tester cette modification avant
de la déployer à grande échelle. Pour activer Copilot dans Windows pour les appareils
Windows 11 managés, version 22H2, suivez les instructions suivantes :

1. Vérifiez que les comptes d’utilisateur disposent de la plateforme de fournisseur de

conversation appropriée configurée pour Copilot dans Windows. Pour plus
d’informations, consultez la section Configurer la plateforme de fournisseur de
conversation utilisée par Copilot dans Windows .

2. Appliquez une stratégie pour activer les fonctionnalités sous contrôle d’entreprise
temporaire pour les clients gérés. Les stratégies suivantes s’appliquent à Windows
11 version 22H2 avec KB5022845 et versions ultérieures :
 stratégie de groupe : Configuration d’ordinateur\Modèles
d'administration\Composants Windows\Windows Update\Gérer l’expérience
utilisateur final\Activer les fonctionnalités introduites via la maintenance qui
sont désactivées par défaut

Fournisseur de solutions Cloud :

./Device/Vendor/MSFT/Policy/Config/Update/AllowTemporaryEnterpriseFeatu
reControl
Dans le catalogue de paramètres Intune, ce paramètre est nommé
Autoriser le contrôle des fonctionnalités d’entreprise temporaires sous la
catégorie Windows Update pour Entreprise .

） Important

Pour les besoins du contrôle d’entreprise temporaire, un système est

considéré comme géré s’il est configuré pour obtenir des mises à jour à partir
de Windows Update entreprise ou Windows Server Update Services (WSUS).
Les clients qui obtiennent des mises à jour de Microsoft Configuration
Manager, Microsoft Intune et Windows Autopatch sont considérés comme
gérés, car leurs mises à jour proviennent finalement de WSUS ou de Windows
Mises à jour entreprise.

3. Copilot dans Windows sera initialement déployé sur les appareils à l’aide d’un
déploiement de fonctionnalité contrôlé (CFR). Selon le moment où vous
commencez à déployer Copilot dans Windows, vous devrez peut-être également
activer les mises à jour facultatives avec l’une des stratégies suivantes :

stratégie de groupe : Configuration ordinateur\Modèles

d’administration\Composants Windows\Windows Update\Windows Update
entreprise\Autoriser les mises à jour des fonctionnalités facultatives de
Windows
CSP : ./Device/Vendor/MSFT/Policy/Config/Update/AllowOptionalUpdates
Dans le catalogue de paramètres Intune, ce paramètre est nommé
Autoriser les mises à jour facultatives sous la catégorie Windows Update
entreprise.

La stratégie de mises à jour facultatives s’applique à Windows 11, version 22H2

avec KB5029351 et versions ultérieures. Lorsque vous définissez une stratégie
pour les mises à jour facultatives, veillez à sélectionner l’une des options suivantes
qui inclut les cfr :

Recevoir automatiquement les mises à jour facultatives (y compris les cfr)

 Cette sélection place les appareils dans une phase cfR précoce
Les utilisateurs peuvent sélectionner les mises à jour facultatives à recevoir

4. Windows 11, les appareils version 22H2 affichent Copilot dans Windows lorsque le
CFR est activé pour l’appareil. Les CFR sont activés pour les appareils en phases,
parfois appelées ondes.

Activer l’expérience utilisateur Copilot dans Windows

pour les clients Windows 11, version 23H2
Une fois qu’un appareil géré a installé la mise à jour de la version 23H2, le contrôle
d’entreprise temporaire pour Copilot dans Windows est supprimé. Cela signifie que
Copilot dans Windows est activé par défaut pour ces appareils.

Bien que l’expérience utilisateur de Copilot dans Windows soit activée par défaut, vous
devez toujours vérifier que la plateforme de fournisseur de conversation appropriée est
configurée pour Copilot dans Windows. Bien que tous les efforts soient faits pour
s’assurer que Copilot avec protection des données commerciales est le fournisseur de
conversation par défaut pour les organisations commerciales, il est toujours possible
que Copilot soit toujours utilisé si la configuration est incorrecte ou si d’autres
paramètres affectent Copilot dans Windows. Pour plus d’informations, voir :

Configurer la plateforme de fournisseur de conversation utilisée par Copilot dans

Windows
Autres paramètres susceptibles d’affecter Copilot dans Windows et son fournisseur
de conversation sous-jacent

Les organisations qui ne sont pas prêtes à utiliser Copilot dans Windows peuvent le
désactiver jusqu’à ce qu’elles soient prêtes à l’aide de la stratégie suivante :

CSP : ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot
stratégie de groupe : Configuration utilisateur\Modèles
d’administration\Composants Windows\Windows Copilot\Désactiver Windows
Copilot

Autres paramètres susceptibles d’affecter

Copilot dans Windows et son fournisseur de
conversation sous-jacent
Copilot dans Windows et Copilot dans Edge peuvent partager la même plateforme de
fournisseur de conversation sous-jacente. Cela signifie également que certains
paramètres qui affectent Copilot, Copilot avec protection des données commerciales et
Copilot dans Edge peuvent également affecter Copilot dans Windows. Les paramètres
courants suivants peuvent affecter Copilot dans Windows et son fournisseur de
conversation sous-jacent :

Paramètres Bing
Si SafeSearch est activé pour Bing, il peut bloquer les fournisseurs de
conversation pour Copilot dans Windows. Les modifications réseau suivantes
bloquent les fournisseurs de conversation pour Copilot dans Windows et Edge :
Mappage [Link] à [Link]
Mappage [Link] à [Link]
Blocage [Link]

Si Copilot avec protection des données commerciales est activé pour votre
organization, les utilisateurs peuvent y accéder via Edge Mobile lorsqu’ils sont
connectés avec leur compte professionnel. Si vous souhaitez supprimer le bouton
Bing Chat de l’interface mobile Edge, vous pouvez utiliser une stratégie de gestion
des applications mobiles (GAM) Intune pour Microsoft Edge pour le supprimer :

ﾉ Agrandir le tableau

Clé Valeur

[Link] true (valeur par défaut) indique que

l’interface
false masque l’interface

Stratégies Microsoft Edge

Si HubsSidebarEnabled a la valeur disabled , l’affichage de Copilot dans Edge est
bloqué.
Si DiscoverPageContextEnabled est défini sur disabled , cela empêche Copilot de
lire le contexte de page web actuel. Les fournisseurs de conversation doivent
accéder au contexte de page web actuel pour fournir des résumés de page et
envoyer les chaînes sélectionnées par l’utilisateur à partir de la page web vers le
fournisseur de conversation.

Paramètres de recherche
 La définition de ConfigureSearchOnTaskbarMode Hide sur peut interférer avec
l’expérience utilisateur de Copilot dans Windows.
La définition de AllowSearchHighlights disabled sur peut interférer avec les
expériences utilisateur Copilot dans Windows et Copilot dans Edge.

Paramètres de compte
Le paramètre AllowMicrosoftAccountConnection peut permettre aux utilisateurs
d’utiliser leur compte Microsoft personnel avec Copilot dans Windows et Copilot
dans Edge.
Le paramètre RestrictToEnterpriseDeviceAuthenticationOnly peut empêcher l’accès
aux fournisseurs de conversation, car il bloque l’authentification utilisateur.

Engagement de Microsoft envers l’IA

responsable
Microsoft est sur un parcours d’IA responsable depuis 2017, lorsque nous avons défini
nos principes et notre approche pour garantir que cette technologie est utilisée d’une
manière qui est pilotée par des principes éthiques qui mettent les personnes au premier
plan. Pour plus d’informations sur notre parcours d’IA responsable, les principes
éthiques qui nous guident, ainsi que les outils et les fonctionnalités que nous avons
créés pour nous assurer que nous développons une technologie d’IA responsable,
consultez IA responsable .

Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Gérer le rappel
Article • 21/05/2024 • S’applique à: ✅ Copilot+ PCs

Vous recherchez des informations destinées aux utilisateurs ? Consultez Retracer

vos étapes avec Rappel .

Rappel vous permet d’effectuer des recherches dans le temps pour trouver le contenu
dont vous avez besoin. Décrivez simplement comment vous vous en souvenez, et
Rappel récupère le moment où vous l’avez vu. Rappel prend des instantanés de votre
écran et les stocke dans un chronologie. Les captures instantanées sont prises toutes les
cinq secondes, tandis que le contenu affiché à l’écran est différent du instantané
précédent. Les instantanés sont stockés localement et analysés localement sur votre PC.
L’analyse de Recall vous permet de rechercher du contenu, y compris des images et du
texte, en langage naturel.

Lorsque Rappel ouvre le instantané un utilisateur sélectionné, il active la capture d’écran,

qui s’exécute sur le instantané enregistré. Screenray analyse ce qui se trouve dans le
instantané et permet aux utilisateurs d’interagir avec des éléments individuels dans le
instantané. Par instance, les utilisateurs peuvent copier du texte à partir du instantané ou
envoyer des images à partir du instantané à une application qui prend en charge des
jpeg fichiers.

Configuration requise
La configuration minimale requise pour Recall est la suivante :
 Un PC Copilot+
16 Go de RAM
8 processeurs logiques
Capacité de stockage de 256 Go
Pour activer le rappel, vous avez besoin d’au moins 50 Go d’espace libre
La capture d’instantané s’interrompt automatiquement une fois que l’appareil
dispose de moins de 25 Go d’espace disque

Navigateurs pris en charge

Les utilisateurs ont besoin d’un navigateur pris en charge pour rappel afin de filtrer les
sites web et de filtrer automatiquement l’activité de navigation InPrivate. Les navigateurs
pris en charge et leurs fonctionnalités sont les suivants :

Microsoft Edge : bloque les sites web et filtre l’activité de navigation privée
navigateurs basés sur Chromium : filtre uniquement l’activité de navigation privée,
ne bloque pas les sites web spécifiques

Configurer des stratégies pour le rappel

Par défaut, Rappel aide les utilisateurs à prendre en compte leurs comportements
historiques et leurs données. Les organisations qui ne sont pas prêtes à utiliser l’IA pour
l’analyse historique peuvent la désactiver jusqu’à ce qu’elles soient prêtes avec la
stratégie Désactiver l’enregistrement des instantanés pour Windows . La stratégie
suivante vous permet de désactiver l’analyse des données utilisateur :

ﾉ Agrandir le tableau

Paramètre

CSP ./User/Vendor/MSFT/Policy/Config/WindowsAI/DisableAIDataAnalysis

Stratégie Configuration > utilisateur Modèles > d’administration Composants > Windows
de groupe Copilot >Désactiver l’enregistrement des instantanés pour Windows

Limitations
Dans deux scénarios spécifiques, Recall capture des instantanés qui incluent des fenêtres
InPrivate, des applications bloquées et des sites web bloqués. Si Rappel est lancé ou si
l’option Maintenant est sélectionnée dans Rappel, une instantané est effectuée même
lorsque des fenêtres InPrivate, des applications bloquées et des sites web bloqués sont
affichés. Toutefois, Rappel n’enregistre pas ces instantanés. Si vous choisissez d’envoyer
les informations de cette instantané à une autre application, un fichier temporaire est
créé dans C:\Users\[username]\AppData\Local\Temp pour partager le contenu. Le fichier
temporaire est supprimé une fois que le contenu est transféré sur l’application que vous
avez sélectionnée pour l’utiliser.

Paramètres contrôlés par l’utilisateur pour le

rappel
Les options suivantes sont contrôlées par l’utilisateur dans Rappel à partir de la page
Paramètres> Confidentialité& Rappel de sécurité>& Instantanés :

Filtrage de sites web

Filtrage des applications
Allocation de stockage
Lorsque la limite de stockage est atteinte, les captures instantanées les plus
anciennes sont supprimées en premier.
Suppression d’instantanés
Supprimer tous les instantanés
Supprimer des instantanés dans un laps de temps spécifique

Allocation de stockage
La quantité d’espace disque que les utilisateurs peuvent allouer au rappel varie en
fonction de la quantité de stockage dont dispose l’appareil. Le graphique suivant
montre les options d’espace de stockage pour rappel :

ﾉ Agrandir le tableau

Capacité de stockage de l’appareil Options d’allocation de stockage pour le rappel

256 Go 25 Go (par défaut), 10 Go

512 Go 75 Go (valeur par défaut), 50 Go, 25 Go

1 To ou plus 150 Go (par défaut), 100 Go, 75 Go, 50 Go, 25 Go

Engagement de Microsoft envers l’IA

responsable
Microsoft est sur un parcours d’IA responsable depuis 2017, lorsque nous avons défini
nos principes et notre approche pour garantir que cette technologie est utilisée d’une
manière qui est pilotée par des principes éthiques qui mettent les personnes au premier
plan. Pour plus d’informations sur notre parcours d’IA responsable, les principes
éthiques qui nous guident, ainsi que les outils et les fonctionnalités que nous avons
créés pour nous assurer que nous développons une technologie d’IA responsable,
consultez IA responsable .

Rappel utilise la reconnaissance optique de caractères (OCR), locale sur le PC, pour
analyser les instantanés et faciliter la recherche. Pour plus d’informations sur la
reconnaissance optique de caractères, consultez Note de transparence et cas d’usage
pour OCR. Pour plus d’informations sur la confidentialité et la sécurité, consultez
Confidentialité et sécurité pour Rappel & écran .

Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Verrouillage de configuration du PC à
cœur sécurisé
Article • 08/07/2024 • S’applique à: ✅ Windows 11

Dans une organisation d’entreprise, les administrateurs informatiques appliquent des

stratégies sur leurs appareils d’entreprise pour maintenir les appareils dans un état
conforme et protéger le système d’exploitation en empêchant les utilisateurs de
modifier les configurations et de créer une dérive de configuration. La dérive de la
configuration se produit lorsque les utilisateurs disposant de droits d’administrateur
local modifient les paramètres et mettent l’appareil hors synchronisation avec les
stratégies de sécurité. Les appareils dans un état non conforme peuvent être vulnérables
jusqu’à la prochaine réinitialisation de la synchronisation et de la configuration avec la
gestion des appareils mobiles. Windows 11 avec verrou de configuration permet aux
administrateurs informatiques d’empêcher la dérive de la configuration et de conserver
la configuration du système d’exploitation dans l’état souhaité. Avec le verrouillage de
configuration, le système d’exploitation surveille les clés de Registre qui configurent
chaque fonctionnalité et, lorsqu’il détecte une dérive, revient à l’état souhaité par le
service informatique en quelques secondes.

Le verrou de configuration à cœur sécurisé (verrou de configuration) est une nouvelle

fonctionnalité SCPC (Secured-Core PC) qui empêche la dérive de configuration des
fonctionnalités de PC à cœur sécurisé causée par une mauvaise configuration
involontaire. En bref, cela garantit qu’un appareil destiné à être un PC à cœur sécurisé
reste un PC à cœur sécurisé.

Pour résumer, verrou de configuration :

Permet au service informatique de « verrouiller » les fonctionnalités de PC de base

sécurisées lorsqu’elles sont gérées via GPM
Détecte les corrections de dérive en quelques secondes
N’empêche pas les attaques malveillantes

Conditions d'octroi de licence d'édition

Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge le
verrouillage de configuration à cœur sécurisé :

ﾉ Agrandir le tableau
 Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation

Oui Oui Oui Oui

Les droits de licence de verrouillage de configuration à cœur sécurisé sont accordés par
les licences suivantes :

ﾉ Agrandir le tableau

Windows Windows Windows Windows Windows

Pro/Professionnel Entreprise E3 Entreprise E5 Éducation A3 Éducation A5
Éducation/SE

Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des
licences Windows.

Flux de configuration
Une fois qu’un PC à cœur sécurisé atteint le bureau, le verrouillage de configuration
empêche la dérive de la configuration en détectant si l’appareil est un PC à cœur
sécurisé ou non. Lorsque l’appareil n’est pas un PC à cœur sécurisé, le verrou ne
s’applique pas. Si l’appareil est un PC à cœur sécurisé, le verrouillage de configuration
verrouille les stratégies répertoriées sous Liste des stratégies verrouillées.

Activation du verrouillage de configuration à

l’aide de Microsoft Intune
Le verrouillage de configuration n’est pas activé par défaut ou activé par le système
d’exploitation pendant le démarrage. Au lieu de cela, vous devez l’activer.

Les étapes pour activer le verrouillage de configuration à l’aide de Microsoft Intune sont
les suivantes :

1. Vérifiez que l’appareil à activer le verrouillage de configuration est inscrit dans

Microsoft Intune.

2. Dans le Centre d’administration Intune , sélectionnez Appareils> Profils >de

configurationCréer un profil.

3. Sélectionnez ce qui suit, puis appuyez sur Créer :

 Plateforme : Windows 10 and later
Type de profil : Templates
Nom du modèle : Personnalisé

4. Nommez votre profil.

5. Lorsque vous atteignez l’étape Paramètres de configuration, sélectionnez « Ajouter

» et ajoutez les informations suivantes :

OMA-URI :
./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock

Type de données : Integer

Valeur : 1

Pour désactiver le verrou de configuration, remplacez la valeur par 0.

6. Sélectionnez les appareils à activer le verrouillage de configuration. Si vous utilisez
un locataire de test, vous pouvez sélectionner « + Ajouter tous les appareils ».

7. Vous n’avez pas besoin de définir de règles d’applicabilité à des fins de test.

8. Passez en revue la configuration et sélectionnez « Créer » si tout est correct.

9. Une fois l’appareil synchronisé avec le serveur Microsoft Intune, vous pouvez
vérifier si le verrou de configuration a été correctement activé.
Configuration des fonctionnalités de PC à cœur
sécurisé
Le verrou de configuration est conçu pour garantir qu’un PC à cœur sécurisé n’est pas
mal configuré par inadvertance. Vous conservez la possibilité d’activer ou de désactiver
les fonctionnalités SCPC, par exemple la protection du microprogramme. Vous pouvez
apporter ces modifications avec des stratégies de groupe ou des services GPM comme
Microsoft Intune.
Forum Aux Questions
Puis-je désactiver le verrouillage de configuration ? Oui. Vous pouvez utiliser GPM
pour désactiver complètement le verrouillage de configuration ou le placer en
mode de déverrouillage temporaire pour les activités du support technique.

Liste des stratégies verrouillées

ﾉ Agrandir le tableau

Fournisseurs de services de configuration

BitLocker

PassportForWork

WindowsDefenderApplicationGuard

ApplicationControl

ﾉ Agrandir le tableau

Stratégies GPM Pris en

charge par
la stratégie
de groupe

DataProtection/AllowDirectMemoryAccess Non
Stratégies GPM Pris en
charge par
la stratégie
de groupe

DataProtection/LegacySelectiveWipeID Non

DeviceGuard/ConfigureSystemGuardLaunch Oui

DeviceGuard/EnableVirtualizationBasedSecurity Oui

DeviceGuard/LsaCfgFlags Oui

DeviceGuard/RequirePlatformSecurityFeatures Oui

DeviceInstallation/AllowInstallationOfMatchingDeviceIDs Oui

DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs Oui

DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses Oui

DeviceInstallation/PreventDeviceMetadataFromNetwork Oui

DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings Oui

DeviceInstallation/PreventInstallationOfMatchingDeviceIDs Oui

DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs Oui

DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses Oui

DmaGuard/DeviceEnumerationPolicy Oui

WindowsDefenderSecurityCenter/CompanyName Oui

WindowsDefenderSecurityCenter/DisableAccountProtectionUI Oui

WindowsDefenderSecurityCenter/DisableAppBrowserUI Oui

WindowsDefenderSecurityCenter/DisableClearTpmButton Oui

WindowsDefenderSecurityCenter/DisableDeviceSecurityUI Oui

WindowsDefenderSecurityCenter/DisableEnhancedNotifications Oui

WindowsDefenderSecurityCenter/DisableFamilyUI Oui

WindowsDefenderSecurityCenter/DisableHealthUI Oui

WindowsDefenderSecurityCenter/DisableNetworkUI Oui

WindowsDefenderSecurityCenter/DisableNotifications Oui
 Stratégies GPM Pris en
charge par
la stratégie
de groupe

WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning Oui

WindowsDefenderSecurityCenter/DisableVirusUI Oui

WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride Oui

WindowsDefenderSecurityCenter/Email Oui

WindowsDefenderSecurityCenter/EnableCustomizedToasts Oui

WindowsDefenderSecurityCenter/EnableInAppCustomization Oui

WindowsDefenderSecurityCenter/HideRansomwareDataRecovery Oui

WindowsDefenderSecurityCenter/HideSecureBoot Oui

WindowsDefenderSecurityCenter/HideTPMTroubleshooting Oui

WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl Oui

WindowsDefenderSecurityCenter/Phone Oui

WindowsDefenderSecurityCenter/URL Oui

SmartScreen/EnableAppInstallControl Oui

SmartScreen/EnableSmartScreenInShell Oui

SmartScreen/PreventOverrideForFilesInShell Oui

Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Renouvellement du certificat
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Le certificat client inscrit expire après une période d’utilisation. La date d’expiration du
certificat est spécifiée par le serveur. Pour garantir un accès continu aux applications
d’entreprise, Windows prend en charge un processus de renouvellement de certificat
déclenché par l’utilisateur. L’utilisateur est invité à fournir le mot de passe actuel pour le
compte d’entreprise. Le client d’inscription obtient un nouveau certificat client du
serveur d’inscription et supprime l’ancien certificat. Le client génère une nouvelle paire
de clés privée/publique, génère une requête PKCS#7 et signe la demande PKCS#7 avec
le certificat existant. Dans Windows, le renouvellement automatique du certificat client
MDM est également pris en charge.

７ Notes

Assurez-vous que l’EntDMID dans le fournisseur de services de configuration

DMClient est défini avant le déclenchement de la demande de renouvellement de
certificat.

Demande de renouvellement automatique de

certificat
Windows prend en charge le renouvellement automatique des certificats, également
appelé Robo (Renew On Behalf Of), qui ne nécessite aucune interaction de l’utilisateur.
Pour le renouvellement automatique, le client d’inscription utilise le certificat client
MDM existant pour effectuer le protocole TLS (Transport Layer Security) du client. Le
jeton de sécurité utilisateur n’est pas nécessaire dans l’en-tête SOAP. Par conséquent, le
serveur d’inscription de certificat MDM est requis pour prendre en charge le protocole
TLS client pour l’authentification cliente basée sur les certificats pour le renouvellement
automatique des certificats.

７ Notes

Le renouvellement du certificat d’inscription via ROBO est pris en charge

uniquement avec l’infrastructure À clé publique Microsoft.

Le renouvellement automatique de certificat est la seule méthode de renouvellement de

certificat client MDM prise en charge pour l’appareil inscrit à l’aide de l’authentification
WAB. Cela signifie que la stratégie AuthPolicy est définie sur Fédérée. Cela signifie
également que si le serveur prend en charge l’authentification WAB, le serveur
d’inscription de certificat MDM DOIT également prendre en charge le protocole TLS
client pour renouveler le certificat client MDM.

Pour les appareils Windows, pendant la phase d’inscription du certificat client MDM ou
pendant la section gestion MDM, le serveur d’inscription ou le serveur MDM peut
configurer l’appareil pour prendre en charge le renouvellement automatique du
certificat client MDM à l’aide du nœud ROBOSupport du fournisseur de services de
configuration CertificateStore sous CertificateStore/My/WSTEP/Renew l’URL.

Avec le renouvellement automatique, le contenu du message PKCS#7 n’est pas codé en

base64 séparément. Avec le renouvellement manuel du certificat, l’encodage en base64
pour le contenu des messages PKCS#7 est requis.

Pendant le processus de renouvellement automatique du certificat, si l’appareil

n’approuve pas le certificat racine, l’authentification échoue. Utilisez l’un des certificats
racines préinstallés de l’appareil ou configurez le certificat racine sur une session DM à
l’aide du fournisseur csp CertificateStore.

Pendant le processus de renouvellement automatique du certificat, l’appareil refuse la

demande de redirection HTTP du serveur. Il ne refuse pas la demande si la même URL
de redirection que celle acceptée par l’utilisateur lors du processus d’inscription mdm
initial est utilisée.

L’exemple suivant montre les détails d’une demande de renouvellement automatique.

XML

<s:Envelope xmlns:s="[Link]
xmlns:a="[Link] xmlns:u=
"[Link]
[Link]">
<s:Header>
<a:Action s:mustUnderstand="1">

[Link]
ion>
<a:MessageID>urn:uuid:61a17f2c-42e9-4a45-9c85-
f15c1c8baee8</a:MessageID>
<a:ReplyTo>

<a:Address>[Link]
</a:ReplyTo>
<a:To s:mustUnderstand="1">

[Link]
<o:Security s:mustUnderstand="1" xmlns:o=
 "[Link]
[Link]">
<u:Timestamp u:Id="_0">
<u:Created>2011-07-11T[Link].579Z</u:Created>
<u:Expires>2011-07-11T[Link].579Z</u:Expires>
</u:Timestamp>
<o:UsernameToken u:Id="uuid-2a734df6-b227-4e60-82a8-ed53c574b718-
5">
<o:Username>user@[Link]</o:Username>
<o:Password o:Type=
"[Link]
username-token-profile-1.0#PasswordText">
</o:Password>
</o:UsernameToken>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityToken xmlns="[Link]
trust/200512">
<TokenType>

[Link]
nrollmentToken
</TokenType>
<RequestType>[Link]
trust/200512/Renew</RequestType>
<BinarySecurityToken
ValueType="[Link]
[Link]#PKCS7"
EncodingType="[Link]
[Link]#base64binary"
xmlns="[Link]
[Link]">
BinarySecurityTokenInsertedHere
</BinarySecurityToken>
<AdditionalContext
xmlns="[Link]
<ContextItem Name="DeviceType">
<Value>WindowsPhone</Value>
</ContextItem>
<ContextItem Name="ApplicationVersion">
<Value>5.0.7616.0</Value>
</ContextItem>
</AdditionalContext>
</RequestSecurityToken>
</s:Body>
</s:Envelope>

Configuration de la planification de
renouvellement de certificat
Dans Windows, la période de renouvellement ne peut être définie que pendant la phase
d’inscription mdm. Windows prend en charge une période de renouvellement de
certificat et une nouvelle tentative de renouvellement. Elles sont configurables à la fois
par le serveur d’inscription MDM et ultérieurement par le serveur d’administration MDM
à l’aide des nœuds RenewPeriod et RenewInterval du csp CertificateStore. L’appareil
peut réessayer de renouveler le certificat automatique plusieurs fois jusqu’à ce que le
certificat expire. Pour le renouvellement manuel du certificat, l’appareil Windows
rappelle à l’utilisateur une boîte de dialogue à chaque nouvelle tentative de
renouvellement jusqu’à l’expiration du certificat.

Pour plus d’informations sur les paramètres, consultez le fournisseur de services de

configuration CertificateStore.

Contrairement au renouvellement de certificat manuel, l’appareil n’effectue pas de

renouvellement automatique de certificat client MDM si le certificat a déjà expiré. Pour
vous assurer que l’appareil dispose de suffisamment de temps pour se renouveler
automatiquement, nous vous recommandons de définir une période de renouvellement
de quelques mois (40 à 60 jours) avant l’expiration du certificat. Et définissez l’intervalle
de nouvelle tentative de renouvellement sur tous les quelques jours, comme tous les 4 à
5 jours au lieu de tous les sept jours (hebdomadaire). Cette modification augmente le
risque que l’appareil tente de se connecter à différents jours de la semaine.

Réponse de renouvellement de certificat

Lorsque RequestType est défini sur Renouveler, le service web vérifie les éléments
suivants (en plus de l’inscription initiale) :

La signature du binarysecurityToken PKCS#7 est correcte

Le certificat du client est dans la période de renouvellement
Le certificat est émis par le service d’inscription
Le demandeur est identique au demandeur pour l’inscription initiale
Pour la requête du client standard, le client n’a pas été bloqué

Une fois la validation terminée, le service web récupère le contenu PKCS#10 à partir de
PKCS#7 BinarySecurityToken. Le reste est identique à l’inscription initiale, sauf que le
code XML d’approvisionnement doit uniquement avoir le nouveau certificat émis par
l’autorité de certification.

７ Notes
 La réponse du serveur HTTP ne doit pas être segmentée ; il doit être envoyé sous la
forme d’un seul message.

L’exemple suivant montre les détails d’une réponse de renouvellement de certificat.

XML

<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<!-- Root certificate provision is only needed here if it is not in the
device already -->
<characteristic type="Root">
<characteristic type="System">
<characteristic type="EncodedRootCertHashInsertedHere ">
<parm name="EncodedCertificate"
value="EncodedCertInsertedHere" />
</characteristic>
</characteristic>
</characteristic>
<characteristic type="My" >
<characteristic type="User">
<characteristic type="EncodedClientCertHashInsertedHere">
<parm name="EncodedCertificate"
value="EncodedCertInsertedHere" />
<characteristic type="PrivateKeyContainer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="PROVIDER-ID" value="TestMDMServer"/>
</characteristic>
</wap-provisioningdoc>

７ Notes

Le client reçoit un nouveau certificat, au lieu de renouveler le certificat initial.

L’administrateur contrôle le modèle de certificat que le client doit utiliser. Les
modèles peuvent être différents au moment du renouvellement de l’inscription
initiale.

Fournisseurs de services de configuration pris

en charge lors de l’inscription mdm et du
renouvellement de certificat
Les fournisseurs de services de configuration suivants sont pris en charge pendant le
processus d’inscription mdm et de renouvellement de certificat.

CertificateStore
application w7
DMClient
EnterpriseAppManagement
Comment les fournisseurs de Gestion
des appareils mobiles prennent en
charge la gestion eSIM sur Windows
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

La solution de gestion des profils eSIM place le fournisseur mobile Gestion des appareils
(MDM) au premier plan et au centre. L’idée est d’utiliser une solution déjà existante que
les clients connaissent et utiliser pour gérer les appareils.

Les attentes d’un GPM sont qu’il utilise le même mécanisme de synchronisation que
celui utilisé pour les stratégies d’appareil pour envoyer (push) n’importe quelle stratégie
au profil eSIM, et utiliser les groupes et les utilisateurs de la même façon. De cette façon,
le téléchargement du profil eSIM et l’installation se produisent en arrière-plan sans
impact sur l’utilisateur final. De même, l’administrateur informatique utilise la même
méthode de gestion des profils eSIM (affectation/annulation d’affectation, etc.) de la
même façon qu’il gère actuellement les appareils.

Si vous êtes un fournisseur mobile Gestion des appareils (GPM) et que vous souhaitez
prendre en charge la gestion eSIM sur Windows, procédez comme suit :

Intégration à Azure Active Directory

Contactez directement les opérateurs mobiles ou contactez les fournisseurs

d’orchestrateur. Windows permet aux fournisseurs GPM de gérer les profils eSIM
pour les cas d’usage d’entreprise. Toutefois, Windows ne limite pas la façon dont
les partenaires de l’écosystème offrent ce service à leurs propres partenaires et/ou
clients. Par conséquent, la fonctionnalité de gestion des profils eSIM peut être
prise en charge par l’intégration à Windows OMA-DM. Cette caractéristique
permet de gérer à distance les profils eSIM en fonction des stratégies de
l’entreprise.

En tant que fournisseur GPM, si vous souhaitez intégrer/intégrer un opérateur

mobile sur une base 1:1, contactez-le et en savoir plus sur son intégration. Si vous
souhaitez intégrer et utiliser un seul fournisseur GPM, contactez ce fournisseur
directement. Si vous souhaitez proposer la gestion eSIM aux clients utilisant
différents fournisseurs GPM, contactez un fournisseur d’orchestrateur. Les
fournisseurs d’orchestrateurs agissent en tant que proxy gérant l’intégration MDM
et en tant qu’intégration d’opérateur mobile. Leur rôle est de rendre le processus
aussi indolore et évolutif que possible pour toutes les parties.
 Les fournisseurs d’orchestrateurs potentiels que vous pouvez contacter sont les
suivants :
Passerelle de droits d’appareil HPE
IDEMIA The Smart Connect - Hub
Nokia IMPACT Mobile Gestionnaire de périphériques

Évaluer le type de solution que vous souhaitez fournir à vos clients

Solution batch/hors connexion

Les Administration informatiques peuvent importer manuellement un fichier plat

contenant la liste des codes d’activation eSIM et provisionner eSIM sur des
appareils compatibles LTE.

L’opérateur n’a pas de visibilité sur status des profils eSIM et l’appareil eSIM a été
téléchargé et installé sur

Solution en temps réel

GPM se synchronise automatiquement avec le système principal opérateur pour la

gestion du pool d’abonnements et eSIM, via le composant de solution fournisseur
de cartes SIM. Les Administration informatiques peuvent afficher le pool
d’abonnements et provisionner eSIM en temps réel.

L’opérateur est averti de la status de chaque profil eSIM et dispose d’une visibilité
sur les appareils utilisés

７ Notes

Les utilisateurs finaux ne remarquent pas le type de solution. Le choix entre les
deux est fait entre la GPM et l’opérateur mobile.
Collecter les journaux MDM
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Pour faciliter le diagnostic des problèmes d’inscription ou de gestion des appareils dans
les appareils Windows gérés par un serveur MDM, vous pouvez examiner les journaux
GPM collectés à partir du bureau. Les sections suivantes décrivent les procédures de
collecte des journaux GPM.

Télécharger le journal des informations de

diagnostic MDM à partir d’appareils Windows
1. Sur votre appareil géré, accédez à Paramètres>Comptes>Accès professionnel ou
scolaire.

2. Sélectionnez votre compte professionnel ou scolaire, puis sélectionnez

Informations.

3. En bas de la page Paramètres , sélectionnez Créer un rapport.

 4. Une fenêtre s’ouvre et affiche le chemin des fichiers journaux. Sélectionnez
Exporter.

5. Dans Explorateur de fichiers, accédez à C:\Users\Public\Documents\MDMDiagnostics

pour afficher le rapport.

Utiliser la commande pour collecter des

journaux directement à partir d’appareils
Windows
Vous pouvez également collecter les journaux d’informations de diagnostic MDM à
l’aide de la commande suivante :

XML

[Link] -area "DeviceEnrollment;DeviceProvisioning;Autopilot"

-zip "c:\users\public\documents\[Link]"

Dans Explorateur de fichiers, accédez à

c:\Users\Public\Documents\MDMDiagnostics pour afficher le rapport.

Présentation de la structure zip

Le fichier zip contient des journaux en fonction des zones utilisées dans la commande .
Cette explication est basée sur les zones DeviceEnrollment, DeviceProvisioning et
Autopilot. Elle s’applique aux fichiers zip collectés via la ligne de commande ou le Hub
de commentaires

DiagnosticLogCSP_Collector_Autopilot_*: Autopilot etls

DiagnosticLogCSP_Collector_DeviceProvisioning_*: Provisioning etls (Microsoft-
Windows-Provisioning-Diagnostics-Provider)
[Link] : résumé instantané des configurations et stratégies
MDM. Inclut, l’URL de gestion, l’ID d’appareil du serveur MDM, les certificats et les
stratégies.
[Link] : fichier de métadonnées mdmdiagnosticstool qui
contient les arguments de ligne de commande utilisés pour exécuter l’outil.
[Link] : contient une vue plus détaillée des configurations GPM,
telles que les variables d’inscription, les packages d’approvisionnement, les
conditions multivariantes, etc. Pour plus d’informations sur le diagnostic des
packages d’approvisionnement, consultez Diagnostiquer les packages
d’approvisionnement.
MdmDiagReport_RegistryDump.reg : contient des vidages à partir d’emplacements
de registre GPM courants
[Link] : journaux de l’outil mdmdiagnosticslog à partir de
l’exécution de la commande
*.evtx : journaux courants de l’observateur d’événements microsoft-windows-
[Link] main un qui
contient des événements GPM.
Collecter les journaux directement à partir
d’appareils Windows
Les journaux GPM sont capturés dans le observateur d'événements à l’emplacement
suivant :

Journaux > des applications et des services Microsoft > Windows >
DeviceManagement-Enterprise-Diagnostic-Provider

Voici une capture d’écran :

À cet emplacement, le canal Administration journalise les événements par défaut.

Toutefois, si vous avez besoin de journaux plus détaillés, vous pouvez activer Journaux
de débogage en choisissant l’option Afficher les journaux d’analyse et de débogage
dans le menu Affichage dans observateur d'événements.

Collecter les journaux d’activité d’administration

1. Cliquez avec le bouton droit sur le nœud Administration.
2. Sélectionnez Enregistrer tous les événements sous.
3. Choisissez un emplacement et entrez un nom de fichier.
4. Sélectionnez Enregistrer.
5. Choisissez Afficher les informations pour ces langues , puis sélectionnez Anglais.
6. Sélectionnez OK.

Pour une journalisation plus détaillée, vous pouvez activer les journaux de débogage .
Cliquez avec le bouton droit sur le nœud Déboguer , puis sélectionnez Activer le
journal.

Collecter les journaux de débogage

1. Cliquez avec le bouton droit sur le nœud Déboguer .
2. Sélectionnez Enregistrer tous les événements sous.
3. Choisissez un emplacement et entrez un nom de fichier.
4. Sélectionnez Enregistrer.
5. Choisissez Afficher les informations pour ces langues , puis sélectionnez Anglais.
 6. Sélectionnez OK.

Vous pouvez ouvrir les fichiers journaux (fichiers .evtx) dans le observateur
d'événements sur un appareil Windows.

Collecter les journaux à distance à partir

d’appareils Windows
Lorsque le PC est déjà inscrit à GPM, vous pouvez collecter à distance des journaux à
partir du PC via le canal MDM si votre serveur GPM prend en charge cette
fonctionnalité. Le fournisseur de services de configuration DiagnosticLog peut être
utilisé pour activer un canal d’observateur d’événements par nom complet. Voici les
noms observateur d'événements pour les canaux Administration et Déboguer :

Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-
Provider%2FAdmin
Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-
Provider%2FDebug

Exemple : Activer la journalisation du canal de débogage

XML

<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-
DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/State</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
</Meta>
<Data>true</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

Exemple : Exporter les journaux de débogage

XML
 <?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Channels/Microsoft-Windows-
DeviceManagement-Enterprise-Diagnostics-Provider%2FDebug/Export</LocURI>
</Target>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>

Collecter les journaux à distance à partir de

Windows Holographic
Pour les appareils holographiques déjà inscrits dans GPM, vous pouvez collecter à
distance les journaux MDM via le canal MDM à l’aide du fournisseur de services de
configuration DiagnosticLog.

Vous pouvez utiliser le fournisseur csp DiagnosticLog pour activer le fournisseur ETW.
L’ID du fournisseur est 3DA494E4-0FE2-415C-B895-FB5265C5C83B. Les exemples
suivants montrent comment activer le fournisseur ETW :

Ajouter un nœud de collecteur

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">node</Format>
</Meta>
</Item>
</Add>
<Final/>
 </SyncBody>
</SyncML>

Ajouter le fournisseur ETW à la trace

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdID>1</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/Providers/3DA494E4
-0FE2-415C-B895-FB5265C5C83B</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">node</Format>
</Meta>
</Item>
</Add>
<Final/>
</SyncBody>
</SyncML>

Démarrer la journalisation des traces du collecteur

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl</LocU
RI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>START</Data>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>
Arrêter la journalisation des traces du collecteur

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/EtwLog/Collectors/MDM/TraceControl</LocU
RI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>STOP</Data>
</Item>
</Exec>
<Final/>
</SyncBody>
</SyncML>

Une fois les journaux collectés sur l’appareil, vous pouvez récupérer les fichiers via le
canal MDM à l’aide de la partie FileDownload du fournisseur de services de
configuration DiagnosticLog. Pour plus d’informations, consultez Fournisseur de services
de configuration DiagnosticLog.

Afficher les journaux

Pour de meilleurs résultats, assurez-vous que le PC ou la machine virtuelle sur lequel
vous affichez les journaux correspond à la build du système d’exploitation à partir
duquel les journaux ont été collectés.

1. Ouvrez [Link].

2. Cliquez avec le bouton droit sur observateur d'événements (Local) et sélectionnez

Ouvrir le journal enregistré.
3. Accédez au fichier etl que vous avez obtenu à partir de l’appareil, puis ouvrez le
fichier.

4. Sélectionnez Oui lorsque vous êtes invité à l’enregistrer dans le nouveau format de
journal.

5. La nouvelle vue contient les traces du canal. Sélectionnez Filtrer le journal actuel
dans le menu Actions .
6. Ajoutez un filtre aux sources d’événements en sélectionnant DeviceManagement-
EnterpriseDiagnostics-Provider , puis sélectionnez OK.

7. Vous êtes maintenant prêt à commencer à examiner les journaux.

Collecter les données d’état de l’appareil
Voici un exemple montrant comment collecter des données d’état d’appareil GPM
actuelles à l’aide du fournisseur de services de configuration DiagnosticLog. Vous
pouvez collecter le fichier à partir de l’appareil à l’aide du même nœud FileDownload
dans le csp que vous le faites pour les fichiers etl.

XML

<?xml version="1.0"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Exec>
<CmdID>2</CmdID>
<Item>
<Target>

<LocURI>./Vendor/MSFT/DiagnosticLog/DeviceStateData/MdmConfiguration</LocURI
>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>SNAP</Data>
</Item>
</Exec>
<Final/>
 </SyncBody>
</SyncML>
Diagnostiquer l’inscription MDM
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Cet article fournit des suggestions pour résoudre les problèmes d’inscription des
appareils pour GPM.

Vérifier les exigences et les paramètres de

l’inscription automatique
Pour vous assurer que la fonctionnalité d’inscription automatique fonctionne comme
prévu, vous devez vérifier que les différentes exigences et paramètres sont correctement
configurés. Les étapes suivantes illustrent les paramètres requis à l’aide du service
Intune :

1. Vérifiez que l’utilisateur qui va inscrire l’appareil dispose d’une licence Intune
valide.

2. Vérifiez que l’inscription automatique est activée pour les utilisateurs qui vont
inscrire les appareils dans mobile Gestion des appareils (GPM) avec Intune. Pour
plus d’informations, consultez Azure AD et Microsoft Intune : Inscription GPM
automatique dans le nouveau portail.
 ） Important

Pour les appareils BYOD (Apportez votre propre appareil), l’étendue utilisateur
gestion des applications mobiles (GAM) est prioritaire si l’étendue utilisateur
MAM et l’étendue utilisateur MDM (inscription GPM automatique) sont
activées pour tous les utilisateurs (ou les mêmes groupes d’utilisateurs).
L’appareil utilisera des stratégies Windows Information Protection (WIP) (si
vous les avez configurées) plutôt que d’être inscrit à la gestion des appareils
mobiles.

Pour les appareils appartenant à l’entreprise, l’étendue utilisateur MDM est

prioritaire si les deux étendues sont activées. Les appareils sont inscrits à la
gestion des appareils mobiles.

3. Vérifiez que l’appareil exécute une version prise en charge de Windows.

4. L’inscription automatique dans Intune via stratégie de groupe est valide

uniquement pour les appareils joints à Azure AD hybride. Cette condition signifie
que l’appareil doit être joint à la fois à Active Directory local et à Azure Active
Directory. Pour vérifier que l’appareil est joint à Azure AD hybride, exécutez
dsregcmd /status à partir de la ligne de commande.
 Vous pouvez vérifier que l’appareil est correctement joint à un hybride si
AzureAdJoined et DomainJoined sont définis sur OUI.

En outre, vérifiez que la section État de l’authentification unique affiche

AzureAdPrt comme OUI.

Vous trouverez également ces informations dans la liste des appareils Azure AD.

5. Vérifiez que l’URL de découverte MDM pendant l’inscription automatique est

[Link] .
6. Certains locataires peuvent avoir une inscription Microsoft Intune et Microsoft
Intune sous Mobilité. Assurez-vous que vos paramètres d’inscription automatique
sont configurés sous Microsoft Intune au lieu de Microsoft Intune Inscription.

7. Lorsque vous utilisez la stratégie de groupe pour l’inscription, vérifiez que la

stratégie de groupe Activer l’inscription GPM automatique à l’aide des informations
d’identification Azure AD par défaut (Local stratégie de groupe Editor > Computer
Configuration > Policies > Administrative Templates > Windows Components >
MDM) est correctement déployée sur tous les appareils qui doivent être inscrits
 dans Intune. Vous pouvez contacter vos administrateurs de domaine pour vérifier
si la stratégie de groupe a été déployée avec succès.

8. Vérifiez que Microsoft Intune autorise l’inscription des appareils Windows.

Résoudre les problèmes d’inscription de

stratégie de groupe
Examinez les journaux si vous rencontrez des problèmes même après avoir effectué
toutes les étapes de vérification. Le premier fichier journal à examiner est le journal des
événements, sur l’appareil Windows cible. Pour collecter les journaux observateur
d'événements :

1. Ouvrez l’observateur d’événements.

2. Accédezà Journaux >des applications et des servicesMicrosoft

>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Administration.

 Conseil

Pour obtenir des conseils sur la façon de collecter des journaux d’événements
pour Intune, consultez la vidéo Collecter les journaux d’activité mdm
observateur d'événements YouTube .

3. Recherchez l’ID d’événement 75, qui représente une inscription automatique

réussie. Voici un exemple de capture d’écran montrant que l’inscription
automatique s’est terminée avec succès :
 

Si vous ne trouvez pas l’ID d’événement 75 dans les journaux, cela indique que
l’inscription automatique a échoué. Cet échec peut se produire pour les raisons
suivantes :

L’inscription a échoué avec une erreur. Dans ce cas, recherchez l’ID d’événement
76, qui représente l’échec de l’inscription automatique. Voici un exemple de
capture d’écran montrant que l’inscription automatique a échoué :

Pour résoudre les problèmes, case activée le code d’erreur qui apparaît dans
l’événement. Pour plus d’informations, consultez Résolution des problèmes
d’inscription d’appareils Windows dans Microsoft Intune.

L’inscription automatique ne s’est pas déclenchée du tout. Dans ce cas, vous ne

trouverez ni l’ID d’événement 75 ni l’ID d’événement 76. Pour en connaître la
raison, vous devez comprendre les mécanismes internes qui se produisent sur
l’appareil, comme décrit ici :

Le processus d’inscription automatique est déclenché par une tâche

(Microsoft>Windows>EnterpriseMgmt) dans le planificateur de tâches. Cette
tâche s’affiche si la stratégie de groupe Activer l’inscription GPM automatique à
l’aide des informations d’identification Azure AD par défaut (Stratégies de
configuration>> ordinateurModèles> d’administrationWindows
Composants>MDM) est correctement déployée sur l’ordinateur cible, comme
illustré dans la capture d’écran suivante :
 

７ Notes

Cette tâche n’est pas visible par les utilisateurs standard. Exécutez tâches
planifiées avec des informations d’identification d’administration pour
rechercher la tâche.

Cette tâche s’exécute toutes les 5 minutes pendant une journée. Pour vérifier si la
tâche a réussi, case activée les journaux des événements du planificateur de tâches
: Journaux des applications et des > services Microsoft > Windows > Task
Scheduler > Operational. Recherchez une entrée dans laquelle le planificateur de
tâches créé par le client d’inscription pour l’inscription automatique à la gestion
des appareils mobiles à partir d’Azure Active Directory est déclenché par l’ID
d’événement 107.

Une fois la tâche terminée, un nouvel ID d’événement 102 est enregistré.


Le journal du planificateur de tâches affiche l’ID d’événement 102 (tâche terminée)
indépendamment de la réussite ou de l’échec de l’inscription automatique. Cet
affichage status signifie que le journal du planificateur de tâches n’est utile que
pour confirmer si la tâche d’inscription automatique est déclenchée ou non. Elle
n’indique pas la réussite ou l’échec de l’inscription automatique.

Si vous ne voyez pas dans le journal que la planification des tâches créée par le
client d’inscription pour l’inscription automatique à la gestion des appareils
mobiles à partir d’Azure AD est lancée, il existe peut-être un problème avec la
stratégie de groupe. Exécutez immédiatement la commande gpupdate /force dans
une invite de commandes pour obtenir l’objet de stratégie de groupe appliqué. Si
cette étape ne vous aide toujours pas, un dépannage supplémentaire sur Active
Directory est nécessaire. Une erreur fréquemment rencontrée est liée à certaines
entrées d’inscription obsolètes dans le Registre sur l’appareil client cible (HKLM >
Software > Microsoft > Enrollments). Si un appareil a été inscrit (il peut s’agir de
n’importe quelle solution MDM et non seulement Intune), certaines informations
d’inscription ajoutées au registre sont affichées :

Par défaut, ces entrées sont supprimées lorsque l’appareil est désinscrit, mais
parfois la clé de Registre reste même après la désinscription. Dans ce cas, gpupdate
/force ne parvient pas à lancer la tâche d’inscription automatique et le code

d’erreur 2149056522 est affiché dans le fichier journal des

événementsopérationnels duPlanificateur> de tâchesMicrosoft>Windows> des
journaux > des applications et des servicessous l’ID d’événement 7016.

Une solution à ce problème consiste à supprimer la clé de Registre manuellement.

Si vous ne savez pas quelle clé de Registre supprimer, accédez à la clé qui affiche la
plupart des entrées, comme le montre la capture d’écran précédente. Toutes les
 autres clés affichent moins d’entrées, comme illustré dans la capture d’écran
suivante :

Codes d’erreur
Code ID Message
d’erreur

0x80180001 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180002 « idErrorAuthenticationFailure », // Un problème

MENROLL_E_DEVICE_AUTHENTICATION_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Code ID Message
d’erreur

0x80180003 « idErrorAuthorizationFailure », // Cet utilisateur

MENROLL_E_DEVICE_AUTHORIZATION_ERROR n’est pas
autorisé à
s’inscrire. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180004 « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180005 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180006 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}
Code ID Message
d’erreur

0x80180007 « idErrorAuthenticationFailure », // Un problème

MENROLL_E_DEVICE_INVALIDSECURITY_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180008 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_DEVICE_UNKNOWN_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x80180009 « idErrorAlreadyInProgress », // Une autre

MENROLL_E_ENROLLMENT_IN_PROGRESS inscription est
en cours. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000A « idErrorMDMAlreadyEnrolled », // Cet appareil est

MENROLL_E_DEVICE_ALREADY_ENROLLED déjà inscrit.
Vous pouvez
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Code ID Message
d’erreur

0x8018000D « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000E « idErrorAuthenticationFailure », // Un problème

MENROLL_E_PASSWORD_NEEDED s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x8018000F « idErrorAuthenticationFailure », // Un problème

MENROLL_E_WAB_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180010 « idErrorServerConnectivity », // Une erreur s’est

MENROLL_E_CONNECTIVITY produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
Code ID Message
d’erreur

administrateur
système avec le
code d’erreur {0}

0x80180012 « idErrorMDMCertificateError », // Une erreur de

MENROLL_E_INVALIDSSLCERT certificat s’est
produite. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180013 « idErrorDeviceLimit », // Il semble qu’il y

MENROLL_E_DEVICECAPREACHED ait trop
d’appareils ou
d’utilisateurs
pour ce compte.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x80180014 « idErrorMDMNotSupported », // Cette

MENROLL_E_DEVICENOTSUPPORTED fonctionnalité
n’est pas prise
en charge.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x80180015 « idErrorMDMNotSupported », // Cette

MENROLL_E_NOTSUPPORTED fonctionnalité
n’est pas prise
en charge.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x80180016 « idErrorMDMRenewalRejected », // Le serveur n’a

MENROLL_E_NOTELIGIBLETORENEW pas accepté la
Code ID demande.
Message Vous
pouvez
d’erreur
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180017 « idErrorMDMAccountMaintenance », // Le service est en

MENROLL_E_INMAINTENANCE maintenance.
Vous pouvez
réessayer
ultérieurement
ou contacter
votre
administrateur
système avec le
code {0}d’erreur
.

0x80180018 « idErrorMDMLicenseError », // Une erreur s’est

MENROLL_E_USERLICENSE produite avec
votre licence.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x80180019 « idErrorInvalidServerConfig », // Il semble que le

MENROLL_E_ENROLLMENTDATAINVALID serveur n’est pas
correctement
configuré. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

« rejectedTermsOfUse » « idErrorRe éjectéTermsOfUse » Votre

organization
exige que vous
acceptiez les
conditions
d’utilisation.
Code ID Message
d’erreur

Réessayez ou
demandez à
votre support
technique
d’obtenir plus
d’informations.

0x801c0001 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c0002 « idErrorAuthenticationFailure », // Un problème

DSREG_E_DEVICE_AUTHENTICATION_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0003 « idErrorAuthorizationFailure », // Cet utilisateur

DSREG_E_DEVICE_AUTHORIZATION_ERROR n’est pas
autorisé à
s’inscrire. Vous
pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0006 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DEVICE_INTERNALSERVICE_ERROR produite lors de
Code ID Message
d’erreur

la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c000B « idErrorUntrustedServer », // Le serveur

DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED contacté n’est
pas approuvé.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c000C « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DISCOVERY_FAILED produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c000E « idErrorDeviceLimit », // Il semble qu’il y

DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED ait trop
d’appareils ou
d’utilisateurs
pour ce compte.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c000F « idErrorDeviceRequiresReboot », // Un redémarrage

DSREG_E_DEVICE_REQUIRES_REBOOT est nécessaire
pour terminer
l’inscription de
l’appareil.
Code ID Message
d’erreur

0x801c0010 « idErrorInvalidCertificate », // Il semble que

DSREG_E_DEVICE_AIK_VALIDATION_ERROR vous ayez un
certificat non
valide.
Contactez votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0011 « idErrorAuthenticationFailure », // Un problème

DSREG_E_DEVICE_ATTESTATION_ERROR s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.

0x801c0012 « idErrorServerConnectivity », // Une erreur s’est

DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR produite lors de
la
communication
avec le serveur.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code d’erreur {0}

0x801c0013 « idErrorAuthenticationFailure », // Un problème

DSREG_E_TENANTID_NOT_FOUND s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
Code ID Message
d’erreur

code {0}d’erreur
.

0x801c0014 « idErrorAuthenticationFailure », // Un problème

DSREG_E_USERSID_NOT_FOUND s’est produit lors
de
l’authentification
de votre compte
ou appareil.
Vous pouvez
réessayer ou
contacter votre
administrateur
système avec le
code {0}d’erreur
.
Problèmes connus
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

La commande Obtenir à l’intérieur d’une

commande atomique n’est pas prise en charge
Une commande Get à l’intérieur d’une commande atomique n’est pas prise en charge.

Les applications installées à l’aide de classes

WMI ne sont pas supprimées
Les applications installées à l’aide de classes WMI ne sont pas supprimées lorsque le
compte GPM est supprimé de l’appareil.

Le passage de CDATA dans SyncML ne

fonctionne pas
Le passage de CDATA dans les données de SyncML à ConfigManager et aux fournisseurs
de services cloud ne fonctionne pas.

Les paramètres SSL du serveur IIS pour SCEP

doivent être définis sur « Ignorer »
Le paramètre de certificat sous « Paramètres SSL » dans le serveur IIS pour SCEP doit
être défini sur « Ignore ».
L’inscription GPM échoue sur l’appareil
Windows lorsque le trafic passe par le proxy
Lorsque l’appareil Windows est configuré pour utiliser un proxy qui nécessite une
authentification, l’inscription échoue. Pour contourner ce problème, l’utilisateur peut
utiliser un proxy qui ne nécessite pas d’authentification ou supprimer le paramètre de
proxy du réseau connecté.

Échec de désinscription lancé par le serveur

La désinscription lancée par le serveur pour un appareil inscrit en ajoutant un compte
professionnel ne parvient pas à laisser le compte GPM actif en mode silencieux. Les
stratégies et les ressources MDM sont toujours en place et le client peut continuer à se
synchroniser avec le serveur.

La désinscription du serveur distant est désactivée pour les appareils mobiles inscrits via
Azure Active Directory Join. Il retourne un message d’erreur au serveur. La seule façon
de supprimer l’inscription d’un appareil mobile joint à Azure AD consiste à effacer
l’appareil à distance.

Certificats à l’origine de problèmes avec Wi-Fi

et VPN
Lorsque vous utilisez ClientCertificateInstall pour installer des certificats dans le magasin
d’appareils et le magasin de l’utilisateur, et que les deux certificats sont envoyés à
l’appareil dans la même charge utile MDM, le certificat destiné au magasin d’appareils
est également installé dans le magasin d’utilisateurs. Cette double installation peut
entraîner des problèmes de Wi-Fi ou de VPN lors du choix du certificat approprié pour
établir une connexion. Nous nous efforçons de résoudre ce problème.

Informations de version pour Windows 11

Les informations de version logicielle de DevDetail/Ext/Microsoft/OSPlatform ne
correspondent pas à la version dans Paramètres sous Système/À propos de.

Plusieurs certificats peuvent entraîner des

instabilités de connexion Wi-Fi
Dans votre déploiement, si plusieurs certificats sont provisionnés sur l’appareil et que le
profil Wi-Fi approvisionné n’a pas de critères de filtrage stricts, vous pouvez voir des
échecs de connexion lors de la connexion au Wi-Fi. La solution consiste à s’assurer que
le profil Wi-Fi approvisionné a des critères de filtrage stricts, de sorte qu’il ne
correspond qu’à un seul certificat.

Les entreprises qui déploient une authentification EAP basée sur des certificats pour
VPN/Wi-Fi peuvent faire face à une situation où plusieurs certificats répondent aux
critères d’authentification par défaut. Cette situation peut entraîner des problèmes tels
que :

L’utilisateur peut être invité à sélectionner le certificat.

Le mauvais certificat peut être sélectionné automatiquement et provoquer un
échec d’authentification.

Un déploiement prêt pour la production doit avoir les détails de certificat appropriés
dans le cadre du profil en cours de déploiement. Les informations suivantes expliquent
comment créer ou mettre à jour un xml de configuration EAP afin que les certificats
superflus soient filtrés et que le certificat approprié puisse être utilisé pour
l’authentification.

Le code XML EAP doit être mis à jour avec des informations pertinentes pour votre
environnement. Cette tâche peut être effectuée manuellement en modifiant l’exemple
XML ci-dessous ou en utilisant le guide de l’interface utilisateur pas à pas. Une fois le
code XML EAP mis à jour, reportez-vous aux instructions de votre GPM pour déployer la
configuration mise à jour comme suit :
 Pour Wi-Fi, recherchez la <section EAPConfig> de votre fichier XML de profil
WLAN actuel (ce détail correspond à ce que vous spécifiez pour le nœud WLanXml
dans le fournisseur de services de configuration Wi-Fi). Dans ces balises, vous
trouverez la configuration EAP complète. Remplacez la section sous <EAPConfig>
par votre code XML mis à jour et mettez à jour votre profil Wi-Fi. Vous devrez
peut-être consulter les conseils de votre GPM sur la façon de déployer un nouveau
profil Wi-Fi.
Pour VPN, configuration EAP est un champ distinct dans la configuration MDM.
Collaborez avec votre fournisseur GPM pour identifier et mettre à jour le champ
approprié.

Pour plus d’informations sur les paramètres EAP, consultez Protocole EAP (Extensible
Authentication Protocol) pour l’accès réseau.

Pour plus d’informations sur la génération d’un xml EAP, consultez Configuration EAP.

Pour plus d’informations sur l’utilisation étendue des clés, consultez

[Link] .

Pour plus d’informations sur l’ajout d’une utilisation étendue de clé (EKU) à un certificat,
consultez [Link] .

La liste suivante décrit les conditions préalables à l’utilisation d’un certificat avec EAP :

Le certificat doit avoir au moins l’une des propriétés EKU (Extended Key Usage)
suivantes :
Authentification du client.
Comme défini par RFC 5280, cette propriété est un OID bien défini avec la
valeur [Link].[Link].2.
N’importe quel but.
Une référence EKU, définie et publiée par Microsoft, est un OID bien défini avec
la valeur [Link].[Link].12.1. L’inclusion de cet OID implique que le certificat
peut être utilisé à n’importe quelle fin. L’avantage de cette référence EKU par
rapport à la référence EKU Tout usage est que d’autres EKU non critiques ou
personnalisées peuvent toujours être ajoutées au certificat pour un filtrage
efficace.
Tout usage.
Comme défini par la RFC 5280, si une autorité de certification inclut des
utilisations de clé étendues pour répondre à certains besoins de l’application,
mais ne souhaite pas restreindre l’utilisation de la clé, l’autorité de certification
peut ajouter une valeur d’utilisation de clé étendue de 0. Un certificat avec une
telle référence EKU peut être utilisé à toutes fins.
 L’utilisateur ou le certificat d’ordinateur sur le client est lié à une autorité de
certification racine approuvée.
L’utilisateur ou le certificat d’ordinateur n’échoue pas à l’une des vérifications
effectuées par le magasin de certificats CryptoAPI, et le certificat répond aux
exigences de la stratégie d’accès à distance.
L’utilisateur ou le certificat d’ordinateur n’échoue pas à l’une des vérifications de
l’identificateur d’objet de certificat spécifiées dans le service d’authentification
Internet (IAS)/Serveur Radius.
L’extension SubjectAltName (SubjectAltName) dans le certificat contient le nom
d’utilisateur principal (UPN) de l’utilisateur.

L’exemple XML suivant explique les propriétés du code XML TLS EAP, y compris le
filtrage de certificat.

７ Notes

Pour les profils PEAP ou TTLS, le xml TLS EAP est incorporé dans certains éléments
spécifiques peAP ou TTLS.

XML

<EapHostConfig xmlns="[Link]
<EapMethod>
<Type xmlns="[Link]
<!--The above property defines the Method type for EAP, 13 means EAP TLS -
->

<VendorId
xmlns="[Link]
<VendorType
xmlns="[Link]
<AuthorId
xmlns="[Link]
<!--The 3 properties above define the method publishers, this is seen
primarily in 3rd party Vendor methods.-->
<!-- For Microsoft EAP TLS the value of the above fields will always be 0
-->
</EapMethod>
<!-- Now that the EAP Method is Defined we will go into the Configuration -
->
<Config xmlns="[Link]
<Eap
xmlns="[Link]
<Type>13</Type>
<EapType
xmlns="[Link]
<CredentialsSource>
<!-- Credential Source can be either CertificateStore or SmartCard -->
 <CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
<!--SimpleCertSelection automatically selects a cert if there are
mutiple identical (Same UPN, Issuer, etc.) certs.-->
<!--It uses a combination of rules to select the right cert-->
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<!-- ServerValidation fields allow for checks on whether the server
being connected to and the server cert being used are trusted -->

<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValid
ation>
<ServerNames/>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation
xmlns="[Link]
alse</PerformServerValidation>
<AcceptServerName
xmlns="[Link]
alse</AcceptServerName>
<TLSExtensions
xmlns="[Link]
<!-- For filtering the relevant information is below -->
<FilteringInfo
xmlns="[Link]
<CAHashList Enabled="true">
<!-- The above implies that you want to filter by Issuer Hash -->
<IssuerHash>ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
ff
<!-- Issuing certs thumbprint goes here-->
</IssuerHash>
<!-- You can add multiple entries and it will find the list of certs
that have at least one of these certs in its chain-->
</CAHashList>
<EKUMapping>
<!-- This section defines Custom EKUs that you may be adding-->
<!-- You do not need this section if you do not have custom EKUs -->
<!-- You can have multiple EKUs defined here and then referenced
below as shown -->
<EKUMap>
<EKUName>
<!--Add a friendly Name for an EKU here for example --
>ContostoITEKU</EKUName>
<EKUOID>
<!--Add the OID Value your CA adds to the certificate here, for
example -->[Link].[Link].1.15</EKUOID>
</EKUMap>
<!-- All the EKU Names referenced in the example below must first be
defined here
<EKUMap>
<EKUName>Example1</EKUName>
<EKUOID>[Link].3</EKUOID>
 </EKUMap>
<EKUMap>
<EKUName>Example2</EKUName>
<EKUOID>[Link].[Link].2.1</EKUOID>
</EKUMap>
-->
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<!-- The above implies that you want certs with Client Authentication
EKU to be used for authentication -->
<EKUMapInList>
<!-- This section implies that the certificate should have the
following custom EKUs in addition to the Client Authentication EKU -->
<EKUName>
<!--Use the name from the EKUMap Field above--
>ContostoITEKU</EKUName>
</EKUMapInList>
<!-- You can have multiple Custom EKUs mapped here, Each additional
EKU will be processed with an AND operand -->
<!-- For example, Client Auth EKU AND ContosoITEKU AND Example1 etc.
-->
<EKUMapInList>
<EKUName>Example1</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
<AllPurposeEnabled>true</AllPurposeEnabled>
<!-- Implies that a certificate with the EKU field = 0 will be
selected -->
<AnyPurposeEKUList Enabled="true"/>
<!-- Implies that a certificate with the EKU oid Value of
[Link].[Link].12.1 will be selected -->
<!-- Like for Client Auth you can also add Custom EKU properties with
AnyPurposeEKUList (but not with AllPurposeEnabled) -->
<!-- So here is what the above policy implies.
The certificate selected will have
Issuer Thumbprint = ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
ff ff ff
AND
((Client Authentication EKU AND ContosoITEKU) OR (AnyPurposeEKU) OR
AllPurpose Certificate)

Any certificate(s) that match these criteria will be utilised for

authentication
-->
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>

７ Notes
 Le XSD TLS EAP se trouve dans
%systemdrive%\Windows\schemas\EAPMethods\eaptlsconnectionpropertiesv3.x
sd

Vous pouvez également utiliser la procédure suivante pour créer un xml de

configuration EAP.

1. Suivez les étapes 1 à 7 dans configuration EAP.

2. Dans la boîte de dialogue Propriétés de Microsoft VPN SelfHost, sélectionnez

Microsoft : Carte à puce ou autre certificat dans le menu déroulant (ce menu
déroulant sélectionne EAP TLS).

７ Notes

Pour PEAP ou TTLS, sélectionnez la méthode appropriée et continuez à suivre

cette procédure.

3. Sélectionnez le bouton Propriétés sous le menu déroulant.

4. Dans le menu De la carte à puce ou d’autres propriétés du certificat , sélectionnez

le bouton Avancé .
5. Dans le menu Configurer la sélection du certificat , ajustez les filtres en fonction
des besoins.
6. Sélectionnez OK pour fermer les fenêtres et revenir à la boîte de dialogue
main [Link] .

7. Fermez la boîte de dialogue rasphone.

8. Continuez à suivre la procédure décrite dans Configuration EAP à l’étape 9 pour

obtenir un profil TLS EAP avec un filtrage approprié.

７ Notes

Vous pouvez également définir toutes les autres propriétés EAP applicables via
cette interface utilisateur. Vous trouverez un guide sur la signification de ces
propriétés dans le protocole EAP (Extensible Authentication Protocol) pour l’accès
réseau.
Le client MDM case activée immédiatement
avec le serveur MDM après le renouvellement
de l’URI du canal WNS par le client
Une fois que le client MDM a renouvelé automatiquement l’URI du canal WNS, le client
MDM case activée immédiatement avec le serveur MDM. Désormais, pour chaque client
MDM case activée, le serveur MDM doit envoyer une requête GET pour «
ProviderID/Push/ChannelURI » pour récupérer l’URI de canal le plus récent et le
comparer à l’URI de canal existant, puis mettre à jour l’URI du canal si nécessaire.

Échec de l’approvisionnement d’utilisateurs

dans les appareils joints à Azure Active
Directory
Pour les appareils joints à Azure AD, l’approvisionnement des .\User ressources échoue
lorsque l’utilisateur n’est pas connecté en tant qu’utilisateur Azure AD. Si vous essayez
de rejoindre Azure AD à partir de Paramètres>Système>À propos de l’interface
utilisateur, veillez à vous déconnecter et à vous connecter avec les informations
d’identification Azure AD pour obtenir votre configuration organisationnelle à partir de
votre serveur MDM. Ce comportement est normal.

Exigences à noter pour les certificats VPN

également utilisés pour l’authentification
Kerberos
Si vous souhaitez utiliser également le certificat utilisé pour l’authentification VPN pour
l’authentification Kerberos (obligatoire si vous avez besoin d’accéder aux ressources
locales à l’aide de NTLM ou Kerberos), le certificat de l’utilisateur doit répondre aux
exigences pour le certificat smart carte, le champ Objet doit contenir le nom de
domaine DNS dans le nom de domaine ou le SAN doit contenir un UPN complet afin
que le contrôleur de domaine puisse être localisé à partir des inscriptions DNS. Si les
certificats qui ne répondent pas à ces exigences sont utilisés pour le VPN, les utilisateurs
risquent de ne pas pouvoir accéder aux ressources qui nécessitent une authentification
Kerberos.
L’agent de gestion des appareils pour la
réinitialisation rapide ne fonctionne pas
L’agent DM pour la réinitialisation rapide conserve les paramètres du Registre pour les
sessions DM OMA, mais supprime les planifications de tâches. L’inscription du client est
conservée, mais elle ne se synchronise jamais avec le service MDM.
Déconnexion de l'infrastructure de
gestion (désinscription)
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Le processus de déconnexion est effectué localement par l’utilisateur qui utilise un

téléphone ou à distance par l’administrateur informatique à l’aide du serveur
d’administration. Le processus de déconnexion initié par l’utilisateur est similaire à la
connexion initiale, où son initiation provient du même emplacement dans le paramètre
Panneau de configuration que la création du compte d’espace de travail. Les utilisateurs
choisissent de se déconnecter pour un certain nombre de raisons, telles que quitter
l’entreprise, obtenir un nouvel appareil ou ne plus avoir besoin d’accéder à leurs
applications métier sur l’ancien appareil. Lorsqu’un administrateur informatique lance
une déconnexion, le client d’inscription effectue la déconnexion au cours de la
prochaine session de maintenance régulière. Les administrateurs choisissent de
déconnecter l’appareil des utilisateurs après avoir quitté l’entreprise ou parce que
l’appareil ne respecte pas régulièrement la stratégie des paramètres de sécurité de
l’organization.

Pendant la déconnexion, le client exécute les tâches suivantes :

Supprime le jeton d’application d’entreprise qui permettait d’installer et d’exécuter

des applications métier. Toutes les applications métier associées à ce jeton
d’entreprise sont également supprimées.
Supprime les certificats configurés par le serveur GPM.
Cesse l’application des stratégies de paramètres appliquées par l’infrastructure de
gestion.
Supprime la configuration du client de gestion des appareils et d’autres
paramètres ajoutés par le serveur MDM, y compris la tâche de maintenance
planifiée. Le client reste dormant, sauf si l’utilisateur le reconnecte à l’infrastructure
de gestion.
Signale la dissociation initiée avec succès à l’infrastructure de gestion si
l’administrateur a lancé le processus. Dans Windows, une dissociation initiée par
l’utilisateur est signalée au serveur comme un effort optimal.

Déconnexion initiée par l’utilisateur

Dans Windows, une fois que l’utilisateur a confirmé la commande de suppression du
compte et avant que le compte soit supprimé, le client MDM informe le serveur GPM
que le compte sera supprimé. Cette notification est une action optimale, car aucune
nouvelle tentative n’est intégrée pour garantir que la notification est correctement
envoyée à l’appareil.

Cette action utilise la fonction 1226 d’alerte générique OMA DM pour envoyer à un
utilisateur une alerte utilisateur de désinscription MDM au serveur MDM après que
l’appareil a accepté la demande de désinscription de l’utilisateur, mais avant qu’il ne
supprime des données d’entreprise. Le serveur doit définir l’attente que la désinscription
peut réussir ou échouer, et le serveur peut case activée si l’appareil est désinscrit en
vérifiant si l’appareil rappelle à l’heure planifiée ou en envoyant une notification Push à
l’appareil pour voir s’il répond. Si le serveur prévoit d’envoyer une notification Push, il
doit prévoir un certain délai pour donner à l’appareil le temps d’effectuer le travail de
désinscription.

７ Notes

La désinscription de l’utilisateur est une norme OMA DM. Pour plus d’informations
sur l’alerte générique 1226, consultez la spécification du protocole OMA Gestion
des appareils (OMA-TS-DM_Protocol-V1_2_1-20080617-A), disponible sur le site
web de l’OMA .

Le fournisseur utilise l’attribut Type pour spécifier le type d’alerte générique qu’il s’agit.
Pour la désinscription MDM lancée par l’appareil, le type d’alerte est
[Link] :[Link].

Une fois que l’utilisateur choisit de se désinscrire, toutes les sessions GPM OMA DM
actives sont arrêtées. Après cela, le client DM démarre une session DM, y compris une
alerte générique de désinscription utilisateur dans le premier package qu’il envoie au
serveur.

L’exemple suivant montre un premier package DM OMA qui contient un message

d’alerte générique. Pour plus d’informations sur la prise en charge de WP OMA DM,
consultez l’article Prise en charge du protocole OMA DM .

XML

<SyncML xmlns=&#39;SYNCML:SYNCML1.2&#39;>
<SyncHdr>
<VerDTD>1.2</VerDTD>
<VerProto>DM/1.2</VerProto>
<SessionID>1</SessionID>
<MsgID>1</MsgID>
<Target>
<LocURI>{unique device ID}</LocURI>
</Target>
 <Source>
<LocURI>[Link]
</Source>
</SyncHdr>
<SyncBody>
<Alert>
<CmdID>2</CmdID>
<Data>1226</Data> <!-- generic alert -->
<Item>
<Meta>
<Type xmlns="syncml:metinfo">
[Link]:[Link]</Type>
<Format xmlns= "syncml:metinfo">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>

<!-- other device information -->

<Replace>
<CmdID>2</CmdID>
<Item>
<Source>
<LocURI>./DevInfo/DevID</LocURI>
</Source>
<Data>{unique device ID}</Data>
</Item>
<Item>
...
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

Une fois le package précédent envoyé, le processus de désinscription commence.

Déconnexion initiée par le serveur

Lorsque le serveur lance la déconnexion, toutes les sessions en cours pour l’ID
d’inscription sont abandonnées immédiatement pour éviter les interblocages. Le serveur
n’obtient pas de réponse pour la désinscription, mais une notification d’alerte générique
est envoyée avec messageid=1 .

XML

<Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
 <Meta>
<Type
xmlns="syncml:metinf">[Link]:[Link]</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>

Désinscription de la page des paramètres

d’accès professionnel
Si l’utilisateur est inscrit à la gestion des appareils mobiles à l’aide d’un ID de Microsoft
Entra (Microsoft Entra rejoindre ou en ajoutant un compte professionnel Microsoft), le
compte GPM s’affiche sous la page Accès professionnel. Toutefois, le bouton
Déconnecter est grisé et n’est pas accessible. Les utilisateurs peuvent supprimer ce
compte GPM en supprimant l’association Microsoft Entra à l’appareil.

Vous pouvez uniquement utiliser la page Accès professionnel pour vous désinscrire dans
les conditions suivantes :

L’inscription a été effectuée à l’aide de l’inscription en bloc.

L’inscription a été créée à l’aide de la page Accès professionnel.

Désinscription de Microsoft Entra jointure

Lorsqu’un utilisateur est inscrit à GPM via Microsoft Entra jonction et ultérieurement,
l’inscription se déconnecte, il n’y a aucun avertissement indiquant que l’utilisateur va
perdre des données Windows Information Protection (WIP). Le message de déconnexion
n’indique pas la perte de données WIP.

Pendant le processus dans lequel un appareil est inscrit à GPM via Microsoft Entra
jointure, puis désinscrit à distance, l’appareil peut passer à un état où il doit être
réimagené. Lorsque les appareils sont désinscrits à distance de mdm, l’association
Microsoft Entra est également supprimée. Cette protection est en place pour éviter de
laisser les appareils d’entreprise dans un état non managé.

Avant de désinscrire à distance les appareils d’entreprise, vous devez vous assurer qu’il y
a au moins un utilisateur administrateur sur l’appareil qui ne fait pas partie de Microsoft
Entra ID, sinon l’appareil n’aura pas d’utilisateur administrateur après l’opération.

Sur les appareils mobiles, la désinscription à distance des appareils joints Microsoft
Entra échoue. Pour supprimer le contenu d’entreprise de ces appareils, nous vous
recommandons de réinitialiser l’appareil à distance.

Déconnexion demandée par l’administrateur

informatique
Le serveur demande une déconnexion de la gestion d’entreprise en émettant une
commande Exec OMA DM SyncML XML à l’appareil, à l’aide du nœud Désinscription du
fournisseur de services de configuration DMClient lors de la prochaine session DM
lancée par le client. La balise Data à l’intérieur de la commande Exec doit être la valeur
de l’ID de fournisseur du serveur DM approvisionné. Pour plus d’informations, consultez
l’article Configuration DMClient spécifique à l’entreprise.

Une fois la déconnexion terminée, l’utilisateur est averti que l’appareil a été déconnecté
de la gestion d’entreprise.
Fournisseur de services de configuration
En savoir plus sur les stratégies de fournisseur de services de configuration (CSP)
disponibles sur les appareils Windows.

Informations de référence sur les fournisseurs de services de

configuration

ｉ RÉFÉRENCE

Scénarios de support

Fichiers DDF (Cadre de description de dispositif)

Fournisseur de services de configuration BitLocker

Protocole de configuration déclaré

Fournisseur de solutions Cloud de stratégie

ｉ RÉFÉRENCE

Fournisseur de services de configuration Policy

Fichier DDF de stratégie

Fournisseur de services de configuration de stratégie – Démarrer

Fournisseur de services de configuration de stratégie – Mettre à jour

Scénarios de support du fournisseur de services de configuration

ｉ RÉFÉRENCE

Stratégies ADMX

Stratégies prises en charge par la stratégie de groupe

Stratégies prises en charge par HoloLens 2

Stratégies prises en charge par Microsoft Surface Hub

Ajouter, supprimer ou masquer des
fonctionnalités Windows
Article • 13/03/2024 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows a des fonctionnalités facultatives qui ne sont pas incluses par défaut, mais
vous pouvez ajouter ultérieurement. Ces fonctionnalités sont appelées Fonctionnalités à
la demande et peuvent être ajoutées à tout moment. Certaines de ces fonctionnalités
sont des ressources linguistiques telles que les modules linguistiques ou la prise en
charge de l’écriture manuscrite. Sur les appareils appartenant à organization, vous
pouvez contrôler l’accès à ces autres fonctionnalités. Vous pouvez utiliser une stratégie
de groupe ou des stratégies de gestion des appareils mobiles (GPM) pour masquer
l’interface utilisateur aux utilisateurs, ou utiliser Windows PowerShell pour activer ou
désactiver des fonctionnalités spécifiques.

Utiliser l’application Paramètres Windows pour

ajouter ou supprimer des fonctionnalités
Ouvrez le volet Fonctionnalités facultatives dans l’application Paramètres en
sélectionnant le lien suivant :

Fonctionnalités facultatives

or

1. Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Exécuter.

2. Dans la fenêtre Exécuter , en regard de Ouvrir :, entrez :

Console

ms-settings:optionalfeatures

puis sélectionnez OK.

or

1. Cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Paramètres.

2. Dans le volet gauche de l’application Paramètres, sélectionnez Système.

3. Dans le volet système de droite, sélectionnez Fonctionnalités facultatives.

 ７ Notes

Les étapes de navigation, les éléments d’interface utilisateur et le texte de

l’interface utilisateur de cette section sont basés sur la dernière version de Windows
11 avec la dernière mise à jour cumulative installée. Pour les autres versions de
Windows 11 actuellement prises en charge ou qui ne disposent pas de la dernière
mise à jour cumulative, certaines étapes de navigation, éléments d’interface
utilisateur et texte de l’interface utilisateur peuvent être différents. Par exemple, le
volet Fonctionnalités facultatives peut se trouver sous Paramètres>Applications.

Ajouter une fonctionnalité

Une fois que le volet Fonctionnalités système > facultatives est ouvert, ajoutez une
fonctionnalité en procédant comme suit :

1. Sélectionnez le bouton Afficher les fonctionnalités en regard de Ajouter une

fonctionnalité facultative.

2. Dans la fenêtre Ajouter une fonctionnalité facultative qui s’ouvre :

a. Recherchez la fonctionnalité souhaitée à ajouter, puis cochez la case en regard

de la fonctionnalité pour l’ajouter. Plusieurs fonctionnalités peuvent être
sélectionnées.

b. Une fois toutes les fonctionnalités souhaitées sélectionnées, sélectionnez le

bouton Suivant .

c. Passez en revue la liste des fonctionnalités sélectionnées, puis sélectionnez le

bouton Installer pour ajouter les fonctionnalités sélectionnées.

） Important

Windows Update est utilisé pour ajouter les fonctionnalités facultatives. L’appareil
doit être en ligne pour Windows Update pouvez télécharger le contenu qu’il doit
ajouter.

Supprimer une fonctionnalité

Une fois le volet Fonctionnalités > système facultatives ouvert, supprimez une
fonctionnalité en procédant comme suit :
 1. Sous Fonctionnalités installées, recherchez la fonctionnalité qui doit être
supprimée dans la zone de recherche Rechercher les fonctionnalités installées ou
faites défiler la liste des fonctionnalités ajoutées jusqu’à ce que la fonctionnalité
qui doit être supprimée soit trouvée.

2. Une fois la fonctionnalité à supprimer trouvée, sélectionnez la fonctionnalité pour

la développer, puis sélectionnez le bouton Désinstaller .

Utiliser une stratégie de groupe ou des

stratégies GPM pour masquer les
fonctionnalités Windows
Par défaut, le système d’exploitation peut afficher les fonctionnalités Windows et
autoriser les utilisateurs à ajouter et supprimer ces applications et fonctionnalités
facultatives. Pour masquer les fonctionnalités Windows sur vos appareils utilisateur, vous
pouvez utiliser une stratégie de groupe ou un fournisseur GPM comme Microsoft
Intune.

Stratégie de groupe
Si vous utilisez une stratégie de groupe, utilisez la User Configuration\Administrative
Template\Control Panel\Programs\Hide "Windows Features" stratégie . Par défaut, cette

stratégie peut être définie sur Non configuré, ce qui signifie que les utilisateurs peuvent
ajouter ou supprimer des fonctionnalités. Lorsque ce paramètre est Activé, la page de
paramètres permettant d’ajouter des fonctionnalités facultatives est masquée sur
l’appareil.

Vous ne pouvez pas utiliser la stratégie de groupe pour désactiver des fonctionnalités
Windows spécifiques. Si vous souhaitez désactiver des fonctionnalités spécifiques,
utilisez Windows PowerShell.

Si vous souhaitez masquer l’intégralité de la fonctionnalité Applications dans

l’application Paramètres, utilisez la User Configuration\Administrative Template\Control
Panel\Programs\Hide "Programs and Features" page stratégie .

GPM
À l’aide de Microsoft Intune, vous pouvez utiliser des modèles d’administration ou le
catalogue de paramètres pour masquer les fonctionnalités Windows.
Si vous souhaitez masquer l’intégralité de la fonctionnalité Applications dans
l’application Paramètres, vous pouvez utiliser une stratégie de configuration sur Intune
appareils inscrits. Pour plus d’informations sur les paramètres que vous pouvez
configurer, consultez restrictions d’appareil Panneau de configuration et Paramètres
dans Microsoft Intune.

Utiliser Windows PowerShell pour désactiver

des fonctionnalités spécifiques
Pour désactiver des fonctionnalités spécifiques, utilisez l’applet de commande Disable-
WindowsOptionalFeature Windows PowerShell.

７ Notes

Il n’existe pas de stratégie de groupe qui désactive des fonctionnalités Windows

spécifiques.

Pour automatiser la désactivation de fonctionnalités spécifiques, créez une tâche

planifiée pour exécuter un script PowerShell. Pour plus d’informations sur le planificateur
de tâches Windows, consultez Planificateur de tâches pour les développeurs.

Microsoft Intune pouvez également exécuter des scripts PowerShell. Pour plus
d’informations, consultez Utiliser des scripts PowerShell sur des appareils clients
Windows dans Intune.

Pour activer des fonctionnalités spécifiques, utilisez l’applet de commande Enable-

WindowsOptionalFeature .

Une autre applet de commande PowerShell utile est Get-WindowsOptionalFeature.

Utilisez cette applet de commande pour afficher des informations sur les fonctionnalités
facultatives dans le système d’exploitation actuel ou une image montée. Cette applet de
commande retourne l’état actuel des fonctionnalités et indique si un redémarrage peut
être nécessaire lorsque l’état change.

Contenu associé
Vue d’ensemble des fonctionnalités à la demande.
Fonctionnalités disponibles à la demande.
Fonctionnalités à la demande (FOD) de la langue et de la région.
Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Windows Tools/Outils d’administration
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows Tools est un dossier dans le panneau de configuration de Windows 11. Outils
d’administration est un dossier dans le panneau de configuration de Windows 10. Ces
dossiers contiennent des outils pour les administrateurs système et les utilisateurs
avancés.

Dossier Outils Windows

Le graphique suivant montre le dossier Windows Tools dans Windows 11 :

Les outils du dossier peuvent varier en fonction de l’édition Windows que vous utilisez.
 

Dossier Outils d’administration

Le graphique suivant montre le dossier Outils d’administration dans Windows 10 :

Les outils du dossier peuvent varier en fonction de l’édition Windows que vous utilisez.
Outils
Les outils se trouvent dans le dossier C:\Windows\System32\ ou ses sous-dossiers.

Ces outils étaient inclus dans les versions précédentes de Windows. La documentation
associée à chaque outil peut vous aider à les utiliser. La liste suivante fournit des liens
vers des documents pour chaque outil.

Services de composants
Gestion de l'ordinateur
Défragmenter et optimiser les lecteurs
Nettoyage de disque
Observateur d’événements
Initiateur iSCSI
Stratégie de sécurité locale
Sources de données ODBC
Analyseur de performances
Gestion de l’impression
Lecteur de récupération
Éditeur du Registre
Moniteur de ressources
 Services
Configuration du système
Informations système
Planificateur de tâches
Pare-feu Windows avec Sécurité avancée
Diagnostic de mémoire Windows

 Conseil

Si le contenu lié dans cette liste ne fournit pas les informations dont vous avez
besoin pour utiliser cet outil, envoyez des commentaires avec le lien Cette page
dans la section Commentaires au bas de cet article.

Articles connexes
Visionneuse de données de diagnostic
Utiliser l’assistance rapide pour aider les
utilisateurs
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Assistance rapide est une application Microsoft Store qui permet de partager son
appareil avec une autre personne sur une connexion à distance. Votre personnel
d’assistance peut l’utiliser pour se connecter à distance à l’appareil d’un utilisateur, puis
afficher son affichage, faire des annotations ou prendre le contrôle total. De cette façon,
ils peuvent résoudre les problèmes, diagnostiquer les problèmes technologiques et
fournir des instructions aux utilisateurs directement sur leurs appareils.

Avant de commencer
Tout ce qui est nécessaire pour utiliser l’assistance rapide est une connectivité réseau et
Internet appropriée. Aucun rôle, aucune autorisation ou stratégie n’est impliqué. Aucune
des deux parties ne doit se trouver dans un domaine. L’utilisateur qui aide doit avoir un
compte Microsoft. Le partageur n’a pas à s’authentifier.

Authentification
L’assistance peut s’authentifier lorsqu’elle se connecte à l’aide d’un compte Microsoft
(MSA) ou d’un Azure Active Directory (Azure AD). L’authentification Active Directory
Domain Services locale n’est actuellement pas prise en charge.

Considérations relatives au réseau

L’assistance rapide communique via le port 443 (https) et se connecte au service
d’assistance à distance à [Link] à
l’aide du protocole RDP (Remote Desktop Protocol). Le trafic est chiffré avec TLS 1.2.
L’assistance et le partage doivent être en mesure d’atteindre ces points de terminaison
sur le port 443 :

Domaine/nom Description

*.[Link] Service ARIA (Accessible Rich Internet

Applications) pour fournir des expériences
accessibles aux utilisateurs.

*.[Link] Requis pour Azure Communication Service.

Domaine/nom Description

*.[Link] Données de diagnostic requises pour le

client et les services utilisés par Quick Assist.

*.[Link] Requis pour Azure Communication Service.

*.[Link] Requis pour la connexion à l’application

(MSA).

*.[Link] Requis pour la télémétrie et l’initialisation du

service distant.

*.[Link] Requis pour Azure Communication Service.

*.[Link] Point de terminaison principal utilisé pour

l’application d’assistance rapide

*.[Link] Utilisé pour Azure Communication Service

pour la conversation et la connexion entre
les parties.

[Link] Requis pour la connexion à l’application

(Azure AD).

[Link] Utilisé pour Azure Communication Service

pour la conversation et la connexion entre
les parties.

[Link] Requis pour le service de connexion

Microsoft.

[Link] Utilisé pour Azure Communication Service

pour la conversation et la connexion entre
les parties.

[Link] Requis pour Azure Communication Service.

） Important

Assistance rapide utilise le contrôle de navigateur Edge WebView2. Pour obtenir la

liste des URL de domaine que vous devez ajouter à la liste verte pour vous assurer
que le contrôle de navigateur Edge WebView2 peut être installé et mis à jour,
consultez Liste verte pour les points de terminaison Microsoft Edge.

Travailler avec l’assistance rapide

Le personnel de support technique ou un utilisateur peut démarrer une session
d’assistance rapide.

1. Le personnel de support (« helper ») et l’utilisateur (« partage ») peuvent

commencer Assistance rapide de plusieurs façons :

Tapez Assistance rapide dans la recherche Windows, puis appuyez sur Entrée.
Appuyez sur Ctrl + Windows + Q.
Pour Windows 10 utilisateurs, dans le menu Démarrer, sélectionnez
Accessoires Windows, puis Assistance rapide.
Pour Windows 11 utilisateurs, dans le menu Démarrer, sélectionnez Toutes les
applications, puis Assistance rapide.

2. Dans la section Aider quelqu’un , l’assistance sélectionne le bouton Aider

quelqu’un . L’utilisateur peut être invité à choisir son compte ou à se connecter.
L’assistance rapide génère un code de sécurité limité dans le temps.
3. L’utilisateur qui aide partage le code de sécurité avec l’utilisateur par téléphone ou
avec un système de messagerie.
4. Le partage entre le code fourni dans la zone Code de sécurité de l’Assistant sous
la section Obtenir de l’aide, puis sélectionne Envoyer.
5. Le partageur reçoit une boîte de dialogue demandant l’autorisation d’autoriser le
partage d’écran. Le partage donne l’autorisation en sélectionnant le bouton
Autoriser et la session de partage d’écran est établie.
6. Une fois la session de partage d’écran établie, l’assistance peut éventuellement
demander le contrôle de l’écran du partage en sélectionnant Demander le
contrôle. Le partage reçoit ensuite une boîte de dialogue lui demandant s’il
souhaite autoriser ou refuser la demande de contrôle.

７ Notes

Si l’aide et le partage utilisent des dispositions de clavier ou des paramètres de

souris différents, les paramètres de l’appareil qui partage seront utilisés durant la
session.

Fonctionnement
1. L’utilisateur qui aide et celui qui partage démarrent l’assistance rapide.
2. L’assistance sélectionne Aider quelqu’un. L'assistance rapide du côté de l'assistant
contacte le service d'assistance à distance pour obtenir un code de session. Une
session de conversation RCC est établie et le Assistance rapide instance de
 l’assistance la rejoint. L’utilisateur qui aide fournit ensuite le code à celui qui
partage.
3. Une fois que le code est saisi sur l’appareil qui partage, l’assistance rapide utilise ce
code pour contacter le service d'assistance à distance et rejoindre cette session
spécifique. L’instance d’assistance rapide de l’appareil qui partage rejoint la session
de conversation RCC.
4. L’utilisateur qui partage est invité à confirmer l’autoriser à partager son bureau
avec l’utilisateur qui aide.
5. L’assistance rapide démarre le contrôle RDP et se connecte au service de relais
RDP.
6. RDP partage la vidéo avec l’aide sur https (port 443) via le service de relais RDP
vers le contrôle RDP de l’utilisateur qui aide. Les entrées sont partagées entre l’aide
et le partage via le service de relais RDP.

Données et confidentialité
Microsoft enregistre une petite quantité de données de session pour surveiller l’état du
système de l’assistance rapide. Ces données incluent les informations suivantes :

Heure de début et de fin de la session

Erreurs résultant de l’assistance rapide elle-même, telles que des déconnexions
inattendues
Fonctionnalités utilisées à l’intérieur de l’application telles que l’affichage
uniquement, les annotations et la pause de session

７ Notes

Aucun journal n’est créé sur l’appareil de l’assistant ou du partageur. Microsoft ne

peut pas accéder à une session ou afficher les actions ou les frappes qui se
produisent dans la session.
 Le partageur ne voit qu’une version abrégée du nom de l’assistant (prénom, initiale)
et aucune autre information à son sujet. Microsoft ne stocke aucune donnée sur le
partage ou l’assistant pendant plus de trois jours.

Dans certains scénarios, l’utilisateur qui aide exige que le partage réponde aux invites
d’autorisation de l’application (contrôle de compte d’utilisateur), mais dans le cas
contraire, il dispose des mêmes autorisations que le partageur sur l’appareil.

Installer Assistance rapide

Installer Assistance rapide à partir du Microsoft Store

1. Téléchargez la nouvelle version de Assistance rapide en visitant le Microsoft
Store .
2. Dans le Microsoft Store, sélectionnez Obtenir dans l’application du Windows
Store. Ensuite, accordez l’autorisation d’installer Assistance rapide. Une fois
l’installation terminée, obtenez les modifications apportées à Ouvrir.

Pour plus d’informations, consultez Installer Assistance rapide .

Installer Assistance rapide avec Intune

Avant d’installer Assistance rapide, vous devez configurer la synchronisation entre
Intune et Microsoft Store pour Entreprises. Si vous avez déjà configuré la
synchronisation, connectez-vous à Microsoft Store pour Entreprises et passez à l’étape
5.

1. Dans le centre d’administration Intune , accédez à Administration du locataire /

Connecteurs et jetons / Microsoft Store pour Entreprises et vérifiez que Microsoft
 Store pour Entreprises synchronisation est définie sur Activer.
2. À l’aide de votre compte Global Administration, connectez-vous à Microsoft Store
pour Entreprises .
3. Sélectionnez Gérer les / paramètres et activez Afficher les applications hors
connexion.
4. Choisissez l’onglet Distribuer et vérifiez que Microsoft Intune est Actif. Si ce n’est
pas le cas, vous devrez peut-être utiliser le lien +Ajouter un outil de gestion .
5. Recherchez Assistance rapide et sélectionnez-la dans les résultats de la recherche.
6. Choisissez la licence hors connexion , puis sélectionnez Obtenir l’application.
7. Dans le centre d’administration Intune, choisissez Synchroniser.
8. Accédez à Applications / Windows et vous devez voir Assistance rapide (hors
connexion) dans la liste.
9. Sélectionnez-la pour afficher ses propriétés.
10. Par défaut, l’application n’est affectée à aucun utilisateur ou appareil. Sélectionnez
le lien Modifier . Affectez l’application au groupe d’appareils requis et choisissez
Vérifier + enregistrer pour terminer l’installation de l’application.

７ Notes

L’affectation de l’application à un appareil ou à un groupe d’appareils au lieu d’un

utilisateur est importante, car c’est la seule façon d’installer une application du
Store dans le contexte de l’appareil.

Pour plus d’informations, consultez Ajouter des applications du Microsoft Store pour
Microsoft Intune.

Installer Assistance rapide hors connexion

Pour installer Assistance rapide hors connexion, vous devez télécharger votre fichier
APPXBUNDLE et XML non codé à partir de Microsoft Store pour Entreprises . Pour plus
d’informations, consultez Télécharger une application sous licence hors connexion .

1. Démarrez Windows PowerShell avec les privilèges d’administration.

2. Dans PowerShell, remplacez le répertoire par l’emplacement dans lequel vous avez
enregistré le fichier à l’étape 1 : cd <location of package file>
3. Exécutez la commande suivante pour installer Assistance rapide : Add-
AppxProvisionedPackage -Online -PackagePath
"MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe.AppxBundle" -LicensePath

"MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe_4bc27046-84c5-8679-dcc7-

[Link]"
 4. Une fois Assistance rapide installé, exécutez cette commande pour vérifier que
Assistance rapide est installé pour l’utilisateur : Get-AppxPackage *QuickAssist* -
AllUsers

Microsoft Edge WebView2

Microsoft Edge WebView2 est un contrôle de développement qui utilise Microsoft Edge
comme moteur de rendu pour afficher du contenu web dans des applications natives. La
nouvelle application Assistance rapide a été développée à l’aide de ce contrôle, ce qui
en fait un composant nécessaire au fonctionnement de l’application.

Pour Windows 11 utilisateurs, ce contrôle d’exécution est intégré.

Pour Windows 10 utilisateurs, l’application Assistance rapide Store détecte si
WebView2 est présent au lancement et l’installe automatiquement si nécessaire. Si
un message d’erreur ou une invite s’affiche indiquant que WebView2 n’est pas
présent, il doit être installé séparément.

Pour plus d’informations sur la distribution et l’installation de Microsoft Edge WebView2,

consultez Distribuer votre application et le runtime WebView2

Étapes suivantes
Si vous avez des problèmes, des questions ou des suggestions pour l’assistance rapide,
contactez-nous à l’aide de l’application Hub de commentaires .
Se connecter à un appareil distant
Microsoft Entra joint
Article • 19/10/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows prend en charge les connexions à distance aux appareils joints à Active
Directory, ainsi qu’aux appareils joints à Microsoft Entra ID à l’aide du protocole RDP
(Remote Desktop Protocol).

À partir de Windows 10, version 1809, vous pouvez utiliser la biométrie pour vous
authentifier auprès d’une session Bureau à distance.
À compter de Windows 10/11, avec la mise à jour 2022-2010 installée, vous
pouvez utiliser l’authentification Microsoft Entra pour vous connecter à l’appareil
Microsoft Entra distant.

Conditions préalables
Les deux appareils (locaux et distants) doivent exécuter une version prise en
charge de Windows.
L’option Se connecter à ce PC et l’utiliser à partir d’un autre appareil à l’aide de
l’application Bureau à distance doit être sélectionnée sous
Paramètres>Système>Bureau à distance.
Il est recommandé de sélectionner l’option Exiger que les appareils utilisent
l’authentification au niveau du réseau pour se connecter .
Si l’utilisateur qui a joint l’appareil à Microsoft Entra ID est le seul à se connecter à
distance, aucune autre configuration n’est nécessaire. Pour permettre à d’autres
utilisateurs ou groupes de se connecter à l’appareil à distance, vous devez ajouter
des utilisateurs au groupe Utilisateurs bureau à distance sur l’appareil distant.
Vérifiez que Remote Credential Guard est désactivé sur l’appareil que vous utilisez
pour vous connecter à l’appareil distant.

Se connecter avec l’authentification Microsoft

Entra
Microsoft Entra l’authentification peut être utilisée sur les systèmes d’exploitation
suivants pour l’appareil local et l’appareil distant :

Windows 11 avec la Mises à jour cumulative 2022-2010 pour Windows 11

(KB5018418) ou une version ultérieure installée.
 Windows 10, version 20H2 ou ultérieure avec la Mises à jour cumulative 2022-10
pour Windows 10 (KB5018410) ou une version ultérieure installée.
Windows Server 2022 avec mise à jour cumulative 2022-10 pour le système
d’exploitation microsoft server (KB5018421) ou version ultérieure installée.

Il n’est pas nécessaire que l’appareil local soit joint à un id de domaine ou de Microsoft
Entra. Par conséquent, cette méthode vous permet de vous connecter à l’appareil distant
Microsoft Entra joint à partir de :

Microsoft Entra appareil joint ou Microsoft Entra hybride joint.

Appareil joint à Active Directory.
Appareil de groupe de travail.

Microsoft Entra l’authentification peut également être utilisée pour se connecter à

Microsoft Entra appareils joints hybrides.

Pour vous connecter à l’ordinateur distant :

Lancez la connexion Bureau à distance à partir de Recherche Windows ou en

exécutant [Link] .

Sélectionnez Utiliser un compte web pour se connecter à l’ordinateur distant

dans l’onglet Avancé . Cette option est équivalente à la enablerdsaadauth
propriété RDP. Pour plus d’informations, consultez Propriétés RDP prises en charge
avec les services Bureau à distance.

Spécifiez le nom de l’ordinateur distant, puis sélectionnez Se connecter.

７ Notes

L’adresse IP ne peut pas être utilisée lorsque l’option Utiliser un compte web
pour se connecter à l’ordinateur distant est utilisée. Le nom doit
correspondre au nom d’hôte de l’appareil distant dans Microsoft Entra’ID et
être adressable au réseau, en résolvant l’adresse IP de l’appareil distant.

Lorsque vous êtes invité à entrer des informations d’identification, spécifiez votre
nom d’utilisateur au user@[Link] format.

Vous êtes ensuite invité à autoriser la connexion Bureau à distance lors de la

connexion à un nouveau PC. Microsoft Entra mémorise jusqu’à 15 hôtes pendant
30 jours avant d’y inviter à nouveau. Si vous voyez cette boîte de dialogue,
sélectionnez Oui pour vous connecter.
 ） Important

Si votre organization a configuré et utilise Microsoft Entra accès conditionnel,

votre appareil doit satisfaire aux exigences d’accès conditionnel pour autoriser la
connexion à l’ordinateur distant. Les stratégies d’accès conditionnel avec des
contrôles d’octroi et des contrôles de session peuvent être appliquées à
l’application Bureau à distance Microsoft (a4a365df-50f1-4397-bc59-
1a1564b8bb9c) pour l’accès contrôlé.

Déconnexion lorsque la session est verrouillée

L’écran de verrouillage Windows de la session à distance ne prend pas en charge les
jetons d’authentification Microsoft Entra ou les méthodes d’authentification sans mot de
passe telles que les clés FIDO. L’absence de prise en charge de ces méthodes
d’authentification signifie que les utilisateurs ne peuvent pas déverrouiller leurs écrans
dans une session à distance. Lorsque vous essayez de verrouiller une session à distance,
par le biais d’une action utilisateur ou d’une stratégie système, la session est
déconnectée et le service envoie un message à l’utilisateur expliquant qu’il a été
déconnecté.

La déconnexion de la session garantit également que lorsque la connexion est relancée

après une période d’inactivité, l’ID de Microsoft Entra réévalue les stratégies d’accès
conditionnel applicables.

Se connecter sans authentification Microsoft

Entra
Par défaut, RDP n’utilise pas l’authentification Microsoft Entra, même si le PC distant la
prend en charge. Cette méthode vous permet de vous connecter à l’appareil distant
Microsoft Entra joint à partir de :

Microsoft Entra appareil joint ou Microsoft Entra hybride joint à l’aide de Windows
10 version 1607 ou ultérieure.
Microsoft Entra appareil inscrit à l’aide de Windows 10 version 2004 ou ultérieure.

７ Notes

L’appareil local et l’appareil distant doivent se trouver dans le même locataire

Microsoft Entra. Microsoft Entra invités B2B ne sont pas pris en charge pour le
 Bureau à distance.

Pour vous connecter à l’ordinateur distant :

Lancez la connexion Bureau à distance à partir de Recherche Windows ou en

exécutant [Link] .
Spécifiez le nom de l’ordinateur distant.
Lorsque vous êtes invité à entrer des informations d’identification, spécifiez votre
nom d’utilisateur au user@[Link] format ou AzureAD\user@[Link] .

 Conseil

Si vous spécifiez votre nom d’utilisateur au domain\user format, vous pouvez

recevoir une erreur indiquant que la tentative d’ouverture de session a échoué avec
le message Ordinateur distant Microsoft Entra joint. Si vous vous connectez à
votre compte professionnel, essayez d’utiliser votre adresse e-mail
professionnelle.

７ Notes

Pour les appareils exécutant Windows 10, version 1703 ou antérieure, l’utilisateur
doit d’abord se connecter à l’appareil distant avant de tenter de se connecter à
distance.

Configurations prises en charge

Ce tableau répertorie les configurations prises en charge pour la connexion à distance à
un appareil joint Microsoft Entra sans utiliser l’authentification Microsoft Entra :

Critères Système d’exploitation Informations d’identification prises en

client charge

RDP à partir de Microsoft Windows 10, version Mot de passe, carte intelligente
Entra appareil inscrit 2004 ou ultérieure

RDP à partir de Microsoft Windows 10, Mot de passe, carte intelligente,

Entra appareil joint version 1607 ou approbation de certificat Windows Hello
ultérieure Entreprise

RDP à partir de Microsoft Windows 10, Mot de passe, carte intelligente,

Entra appareil joint version 1607 ou approbation de certificat Windows Hello
hybride ultérieure Entreprise
 ７ Notes

Si le client RDP exécute Windows Server 2016 ou Windows Server 2019, pour
pouvoir se connecter à Microsoft Entra appareils joints, il doit autoriser les
demandes d’authentification PKU2U (Public Key Cryptography Based User) à
utiliser des identités en ligne.

７ Notes

Lorsqu’un groupe Microsoft Entra est ajouté au groupe Utilisateurs bureau à

distance sur un appareil Windows, il n’est pas respecté lorsque l’utilisateur qui
appartient au groupe Microsoft Entra se connecte via RDP, ce qui entraîne l’échec
de l’établissement de la connexion à distance. Dans ce scénario, l’authentification
au niveau du réseau doit être désactivée pour autoriser la connexion.

Ajouter des utilisateurs au groupe Utilisateurs

bureau à distance
Le groupe Utilisateurs bureau à distance est utilisé pour accorder aux utilisateurs et aux
groupes des autorisations de se connecter à distance à l’appareil. Les utilisateurs
peuvent être ajoutés manuellement ou via des stratégies GPM :

Ajout manuel d’utilisateurs :

Vous pouvez spécifier des comptes de Microsoft Entra individuels pour les
connexions à distance en exécutant la commande suivante, où <userUPN> est l’UPN
de l’utilisateur, par exemple user@[Link] :

Invite de commandes Windows

net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"

Pour exécuter cette commande, vous devez être membre du groupe

Administrateurs local. Sinon, vous pouvez voir une erreur similaire à There is no
such global user or group: <name> .

Ajout d’utilisateurs à l’aide de la stratégie :

À compter de Windows 10, version 2004, vous pouvez ajouter des utilisateurs aux
utilisateurs bureau à distance à l’aide de stratégies GPM, comme décrit dans
 Comment gérer le groupe Administrateurs locaux sur Microsoft Entra appareils
joints.

Articles connexes
Comment utiliser le Bureau à distance
Créer des profils utilisateur obligatoires
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Un profil utilisateur obligatoire est un profil utilisateur itinérant qui a été préconfiguré
par un administrateur pour spécifier des paramètres pour les utilisateurs. Les paramètres
couramment définis dans un profil obligatoire incluent (mais sans s’y limiter) les icônes
qui s’affichent sur le bureau, les arrière-plans du bureau, les préférences utilisateur dans
Panneau de configuration, les sélections d’imprimantes, etc. Les modifications de
configuration effectuées pendant la session d’un utilisateur qui sont normalement
enregistrées dans un profil utilisateur itinérant ne sont pas enregistrées lorsqu’un profil
utilisateur obligatoire est attribué.

Les profils utilisateur obligatoires sont utiles lorsque la normalisation est importante, par
exemple sur un appareil kiosque ou pour les paramètres éducatifs. Seuls les
administrateurs système peuvent apporter des modifications aux profils utilisateur
obligatoires.

Lorsque le serveur qui stocke le profil obligatoire n’est pas disponible, par exemple
lorsque l’utilisateur n’est pas connecté au réseau d’entreprise, les utilisateurs disposant
de profils obligatoires peuvent se connecter avec la copie mise en cache localement du
profil obligatoire, le cas échéant. Sinon, l’utilisateur est connecté avec un profil
temporaire.

Les profils utilisateur deviennent des profils obligatoires lorsque l’administrateur

renomme le [Link] fichier (la ruche du Registre) du profil de chaque utilisateur
dans le système de fichiers du serveur de profils de [Link] à [Link] .
L’extension .man fait du profil utilisateur un profil en lecture seule.

Extension de profil pour chaque version de

Windows
Le nom du dossier dans lequel vous stockez le profil obligatoire doit utiliser l’extension
appropriée pour le système d’exploitation auquel elle s’applique. Le tableau suivant
répertorie l’extension appropriée pour chaque version du système d’exploitation.

Version du système Version du système d’exploitation du Extension de

d’exploitation client serveur profil

Windows XP Windows Server 2003 aucune

Windows Server 2003 R2
 Version du système Version du système d’exploitation du Extension de
d’exploitation client serveur profil

Windows Vista Windows Server 2008 v2

Windows 7 Windows Server 2008 R2

Windows 8 Windows Server 2012 v3

Windows 8.1 Windows Server 2012 R2 v4

Windows 10, versions 1507 et 1511 Non applicable v5

Windows 10, versions 1607 et Windows Server 2016 et Windows v6

ultérieures Server 2019

Pour plus d’informations, consultez Déployer des profils utilisateur itinérants, Annexe B
et Contrôle de version des profils utilisateur itinérants dans Windows 10 et Windows
Server Technical Preview.

Profil utilisateur obligatoire

Tout d’abord, vous créez un profil utilisateur par défaut avec les personnalisations
souhaitées, exécutez Sysprep avec CopyProfile défini sur True dans le fichier de
réponses, copiez le profil utilisateur par défaut personnalisé dans un partage réseau,
puis renommez le profil pour le rendre obligatoire.

Comment créer un profil utilisateur par défaut

1. Connectez-vous à un ordinateur exécutant Windows en tant que membre du
groupe Administrateur local. N’utilisez pas de compte de domaine.

７ Notes

Utilisez un laboratoire ou un ordinateur supplémentaire exécutant une

installation propre de Windows pour créer un profil utilisateur par défaut.
N’utilisez pas un ordinateur requis pour les entreprises (c’est-à-dire un
ordinateur de production). Ce processus supprime tous les comptes de
domaine de l’ordinateur, y compris les dossiers de profil utilisateur.

2. Configurez les paramètres de l’ordinateur que vous souhaitez inclure dans le profil
utilisateur. Par exemple, vous pouvez configurer les paramètres de l’arrière-plan du
bureau, désinstaller les applications par défaut, installer des applications métier,
etc.
 ７ Notes

Contrairement aux versions précédentes de Windows, vous ne pouvez pas

appliquer une disposition de l’écran de démarrage et de la barre des tâches à
l’aide d’un profil obligatoire. Pour obtenir d’autres méthodes de
personnalisation du menu Démarrer et de la barre des tâches, consultez
Rubriques connexes.

3. Créez un fichier de réponses ([Link]) qui définit le paramètre CopyProfile

sur True. Le paramètre CopyProfile oblige Sysprep à copier le dossier de profil de
l’utilisateur actuellement connecté vers le profil utilisateur par défaut. Vous pouvez
utiliser le Gestionnaire d’images système Windows, qui fait partie du Kit de
déploiement et d’évaluation Windows (ADK) pour créer le fichier [Link].

4. Désinstallez toutes les applications dont vous n’avez pas besoin ou que vous ne
souhaitez pas du PC. Pour obtenir des exemples sur la désinstallation d’une
application Windows, consultez Remove-AppxProvisionedPackage. Pour obtenir la
liste des applications désinstallables, consultez Comprendre les différentes
applications incluses dans Windows.

７ Notes

Il est vivement recommandé de désinstaller les applications indésirables ou

inutiles, car cela accélère les temps de connexion des utilisateurs.

5. À l’invite de commandes, tapez la commande suivante, puis appuyez sur Entrée.

Invite de commandes Windows

sysprep /oobe /reboot /generalize /unattend:[Link]

([Link] se trouve à : C:\Windows\System32\sysprep . Par défaut, Sysprep

recherche [Link] dans le même dossier.)

 Conseil

Si vous recevez un message d’erreur indiquant « Sysprep n’a pas pu valider

votre installation de Windows », ouvrez
%WINDIR%\System32\Sysprep\Panther\[Link] et recherchez une entrée

semblable à la suivante :
 Utilisez les applets de commande Remove-AppxProvisionedPackage et
Remove-AppxPackage -AllUsers dans Windows PowerShell pour désinstaller
l’application répertoriée dans le journal.

6. Le processus sysprep redémarre le PC et démarre à l’écran de la première

exécution. Terminez l’installation, puis connectez-vous à l’ordinateur à l’aide d’un
compte disposant de privilèges d’administrateur local.

7. Cliquez avec le bouton droit sur Démarrer, accédez à Panneau de configuration

(grandes ou petites icônes) >>paramètres système avancés, puis sélectionnez
Paramètres dans la section Profils utilisateur.

8. Dans Profils utilisateur, sélectionnez Profil par défaut, puis Copier dans.

9. Dans Copier dans, sous Utilisation autorisée, sélectionnez Modifier.

 10. Dans le champ Sélectionner un utilisateur ou un groupe, dans le champ Entrez le
nom de l’objet à sélectionner , tapez everyone , sélectionnez Vérifier les noms,
puis sélectionnez OK.

11. Dans Copier vers, dans le champ Copier le profil dans, entrez le chemin d’accès et
le nom du dossier dans lesquels vous souhaitez stocker le profil obligatoire. Le
nom du dossier doit utiliser l’extension correcte pour la version du système
d’exploitation. Par exemple, le nom du dossier doit se terminer .v6 par pour
l’identifier comme dossier de profil utilisateur pour Windows 10 version 1607 ou
ultérieure.

Si l’appareil est joint au domaine et que vous êtes connecté avec un compte
disposant des autorisations nécessaires pour écrire dans un dossier partagé
sur le réseau, vous pouvez entrer le chemin du dossier partagé.

Si l’appareil n’est pas joint au domaine, vous pouvez enregistrer le profil

localement, puis le copier dans l’emplacement du dossier partagé.

12. Sélectionnez OK pour copier le profil utilisateur par défaut.

Comment rendre le profil utilisateur obligatoire

 1. Dans Explorateur de fichiers, ouvrez le dossier dans lequel vous avez stocké la
copie du profil.

７ Notes

Si le dossier n’est pas affiché, cliquez surOptions>d’affichage>Modifier les

options de dossier et de recherche. Sous l’onglet Affichage , sélectionnez
Afficher les fichiers et dossiers masqués, désactivez Masquer les fichiers du
système d’exploitation protégés, cliquez sur Oui pour confirmer que vous
souhaitez afficher les fichiers du système d’exploitation, puis cliquez sur OK
pour enregistrer vos modifications.

2. Renommez en [Link] [Link] .

Vérifier le propriétaire correct pour les dossiers de profil

obligatoires
1. Ouvrez les propriétés du dossier « profile.v6 ».
2. Sélectionnez l’onglet Sécurité , puis sélectionnez Avancé.
3. Vérifiez le propriétaire du dossier. Il doit s’agir du groupe Administrateurs intégré.
Pour modifier le propriétaire, vous devez être membre du groupe Administrateurs
sur le serveur de fichiers ou disposer du privilège « Définir le propriétaire » sur le
serveur.
4. Lorsque vous définissez le propriétaire, sélectionnez Remplacer le propriétaire sur
les sous-conteneurs et les objets avant de sélectionner OK.

Appliquer un profil utilisateur obligatoire aux

utilisateurs
Dans un domaine, vous modifiez les propriétés du compte d’utilisateur pour pointer vers
le profil obligatoire dans un dossier partagé résidant sur le serveur.

Comment appliquer un profil utilisateur obligatoire aux

utilisateurs
1. Ouvrez Utilisateurs et ordinateurs Active Directory ([Link]).
2. Accédez au compte d’utilisateur auquel vous allez attribuer le profil obligatoire.
3. Cliquez avec le bouton droit sur le nom d’utilisateur et ouvrez Propriétés.
 4. Sous l’onglet Profil , dans le champ Chemin du profil , entrez le chemin d’accès au
dossier partagé sans l’extension. Par exemple, si le nom du dossier est
\\server\share\profile.v6 , vous devez entrer \\server\share\profile .

5. Sélectionnez OK.

La réplication de cette modification sur tous les contrôleurs de domaine peut prendre
un certain temps.

Appliquer des stratégies pour améliorer le

temps de connexion
Lorsqu’un utilisateur est configuré avec un profil obligatoire, Windows démarre comme
s’il s’agissait de la première connexion chaque fois que l’utilisateur se connecte. Pour
améliorer les performances de connexion des utilisateurs avec des profils utilisateur
obligatoires, appliquez les paramètres stratégie de groupe indiqués dans le tableau
suivant.

Paramètre de la stratégie de groupe Windows Windows

10 Server 2016

Configuration > ordinateur Modèles d’administration > Ouverture ✅ ✅

de session > système >Afficher l’animation de première
connexion = Désactivé

Configuration > ordinateur Modèles d’administration > ✅ ✅

Composants > Windows Rechercher >Autoriser Cortana =
Désactivé

Configuration > ordinateur Modèles > d’administration ✅ ❌

Composants > Windows Contenu > cloud Désactiver l’expérience
utilisateur Microsoft = Activé

７ Notes

Ces paramètres stratégie de groupe peuvent être appliqués dans l’édition Windows
Professionnel.

Articles connexes
Gérer Windows 10 options de disposition de l’accueil et de la barre des tâches
Verrouiller Windows 10 pour des applications spécifiques
Windows à la une sur l’écran de verrouillage
Configurer des appareils sans GPM
Gérer l’installation de l’appareil avec la
stratégie de groupe
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

À l’aide des systèmes d’exploitation Windows, les administrateurs peuvent déterminer

quels appareils peuvent être installés sur les ordinateurs qu’ils gèrent. Ce guide résume
le processus d’installation de l’appareil et présente plusieurs techniques de contrôle de
l’installation des appareils à l’aide de stratégie de groupe.

Introduction

Général
Ce guide pas à pas décrit comment contrôler l’installation des appareils sur les
ordinateurs que vous gérez, notamment en désignant les appareils que les utilisateurs
peuvent et ne peuvent pas installer. Ce guide s’applique à toutes les versions de
Windows à partir de Windows 10, version 1809. Le guide comprend les scénarios
suivants :

Empêcher les utilisateurs d’installer des appareils qui figurent sur une liste «
interdite ». Si un appareil ne figure pas dans la liste, l’utilisateur peut l’installer.
Autoriser les utilisateurs à installer uniquement les appareils qui figurent sur une
liste « approuvée ». Si un appareil ne figure pas dans la liste, l’utilisateur ne peut
pas l’installer.

Ce guide décrit le processus d’installation de l’appareil et présente les chaînes

d’identification d’appareil que Windows utilise pour faire correspondre un appareil aux
packages de pilotes de périphérique disponibles sur un ordinateur. Le guide illustre
également deux méthodes de contrôle de l’installation des appareils. Chaque scénario
montre, étape par étape, une méthode que vous pouvez utiliser pour autoriser ou
empêcher l’installation d’un appareil spécifique ou d’une classe d’appareils.

L’exemple d’appareil utilisé dans les scénarios est un périphérique de stockage USB.
Vous pouvez effectuer les étapes décrites dans ce guide à l’aide d’un autre appareil.
Toutefois, si vous utilisez un autre appareil, les instructions du guide ne correspondent
pas exactement à l’interface utilisateur qui apparaît sur l’ordinateur.

Il est important de comprendre que les stratégies de groupe présentées dans ce guide
sont appliquées uniquement aux machines/groupes de machines, et non aux
utilisateurs/groupes d’utilisateurs.

） Important

Les étapes fournies dans ce guide sont destinées à être utilisées dans un
environnement de laboratoire de test. Ce guide pas à pas n’est pas destiné à être
utilisé pour déployer les fonctionnalités de Windows Server sans documentation
connexe et doit être utilisé avec discrétion en tant que document autonome.

Qui doit utiliser ce guide ?

Ce guide s’adresse aux publics suivants :

Planificateurs et analystes des technologies de l’information qui évaluent Windows

10, Windows 11 ou Windows Server 2022
Planificateurs et concepteurs de technologies de l’information d’entreprise
Architectes de sécurité chargés de l’implémentation de l’informatique digne de
confiance dans leur organization
Administrateurs qui souhaitent se familiariser avec la technologie

Avantages du contrôle de l’installation de l’appareil à

l’aide de stratégie de groupe
La restriction des appareils que les utilisateurs peuvent installer réduit le risque de vol de
données et le coût du support.

Réduire le risque de vol de données

Il est plus difficile pour les utilisateurs d’effectuer des copies non autorisées des données
de l’entreprise si les ordinateurs des utilisateurs ne peuvent pas installer des appareils
non approuvés qui prennent en charge les supports amovibles. Par exemple, si les
utilisateurs ne peuvent pas installer un périphérique usb, ils ne peuvent pas télécharger
des copies des données d’entreprise sur un stockage amovible. Cet avantage ne peut
pas éliminer le vol de données, mais il crée un autre obstacle à la suppression non
autorisée des données.

Réduire les coûts de support

Vous pouvez vous assurer que les utilisateurs installent uniquement les appareils que
votre équipe de support technique est formée et équipée pour prendre en charge. Cet
avantage réduit les coûts de support et la confusion des utilisateurs.

Vue d’ensemble du scénario

Les scénarios présentés dans ce guide illustrent comment contrôler l’installation et
l’utilisation des appareils sur les ordinateurs que vous gérez. Les scénarios utilisent
stratégie de groupe sur un ordinateur local pour simplifier l’utilisation des procédures
dans un environnement lab. Dans un environnement où vous gérez plusieurs
ordinateurs clients, vous devez appliquer ces paramètres à l’aide de stratégie de groupe.
Avec stratégie de groupe déployées par Active Directory, vous pouvez appliquer des
paramètres à tous les ordinateurs membres d’un domaine ou d’une unité d’organisation
dans un domaine. Pour plus d’informations sur la création d’un objet de stratégie de
groupe pour gérer vos ordinateurs clients, consultez Créer un objet stratégie de groupe.

Scénario Description

Scénario n°1 : Dans ce scénario, l’administrateur souhaite empêcher les utilisateurs

Empêcher d’installer des imprimantes. Il s’agit donc d’un scénario de base pour vous
l’installation de présenter la fonctionnalité « empêcher/autoriser » des stratégies
toutes les d’installation d’appareil dans stratégie de groupe.
imprimantes

Scénario n°2 : Dans ce scénario, l’administrateur autorise les utilisateurs standard à

Empêcher installer toutes les imprimantes tout en les empêchant d’en installer une
l’installation d’une spécifique.
imprimante
spécifique

Scénario 3 : Dans ce scénario, vous combinez ce que vous avez appris à la fois dans le
Empêcher scénario n° 1 et le scénario n° 2. L’administrateur souhaite autoriser les
l’installation de utilisateurs standard à installer uniquement une imprimante spécifique
toutes les tout en empêchant l’installation de toutes les autres imprimantes. Ce
imprimantes tout en scénario est plus réaliste et vous permet de mieux comprendre les
autorisant stratégies de restrictions d’installation des appareils.
l’installation d’une
imprimante
spécifique

Scénario 4 : Ce scénario, bien que similaire au scénario n°2, apporte une autre couche
Empêcher de complexité : comment fonctionne la connectivité des appareils dans
l’installation d’un l’arborescence PnP. L’administrateur souhaite empêcher les utilisateurs
périphérique USB standard d’installer un périphérique USB spécifique. À la fin du scénario,
spécifique vous devez comprendre la façon dont les appareils sont imbriqués dans
les couches sous l’arborescence de connectivité des appareils PnP.

Scénario n°5 : Dans ce scénario, en combinant les quatre scénarios précédents, vous
Empêcher apprenez à protéger une machine contre tous les périphériques USB non
 Scénario Description

l’installation de tous autorisés. L’administrateur souhaite autoriser les utilisateurs à installer

les périphériques uniquement un petit ensemble de périphériques USB autorisés tout en
USB tout en empêchant l’installation de tout autre périphérique USB. En outre, ce
autorisant scénario inclut une explication de la façon d’appliquer la fonctionnalité «
l’installation d’une empêcher » aux périphériques USB existants qui ont déjà été installés sur
seule clé USB l’ordinateur, et l’administrateur aime empêcher toute interaction plus
autorisée grande avec eux (les bloquer tous ensemble). Ce scénario s’appuie sur les
stratégies et la structure que nous avons introduites dans les quatre
premiers scénarios. Par conséquent, il est préférable de les parcourir
avant d’essayer ce scénario.

Examen de la technologie
Les sections suivantes fournissent une brève vue d’ensemble des technologies de base
abordées dans ce guide et fournissent des informations générales nécessaires pour
comprendre les scénarios.

Installation de l’appareil dans Windows

Un appareil est un élément matériel avec lequel Windows interagit pour effectuer une
fonction, ou dans une définition plus technique: il s’agit d’un seul instance d’un
composant matériel avec une représentation unique dans le sous-système Windows
Plug-and-Play. Windows peut communiquer avec un appareil uniquement par le biais
d’un logiciel appelé pilote de périphérique (également appelé pilote). Pour installer un
pilote, Windows détecte l’appareil, reconnaît son type, puis recherche le pilote qui
correspond à ce type.

Lorsque Windows détecte un appareil qui n’a jamais été installé sur l’ordinateur, le
système d’exploitation interroge l’appareil pour récupérer sa liste de chaînes
d’identification d’appareil. Un appareil a généralement plusieurs chaînes d’identification
d’appareil, que le fabricant de l’appareil attribue. Les mêmes chaînes d’identification
d’appareil sont incluses dans le fichier .inf (également appelé INF) qui fait partie du
package de pilotes. Windows choisit le package de pilotes à installer en faisant
correspondre les chaînes d’identification de périphérique récupérées à partir de
l’appareil aux chaînes incluses dans les packages de pilotes.

Windows utilise quatre types d’identificateurs pour contrôler l’installation et la

configuration des appareils. Vous pouvez utiliser les paramètres stratégie de groupe
dans Windows pour spécifier les identificateurs à autoriser ou bloquer.

Les quatre types d’identificateurs sont les suivants :

 ID d’instance d’appareil
ID de l’appareil
Classes de configuration de l’appareil
Type d’appareil « Appareils amovibles »

ID d’instance d’appareil

Un ID de instance d’appareil est une chaîne d’identification d’appareil fournie par le

système qui identifie de façon unique un appareil dans le système. Le gestionnaire Plug-
and-Play (PnP) affecte un ID de instance d’appareil à chaque nœud d’appareil (devnode)
dans l’arborescence d’appareils d’un système.

ID de l’appareil

Windows peut utiliser chaque chaîne pour faire correspondre un appareil à un package
de pilotes. Les chaînes vont du spécifique, correspondant à une seule fabrique et
modèle d’un appareil, au général, éventuellement s’appliquant à une classe entière
d’appareils. Il existe deux types de chaînes d’identification d’appareil : les ID matériels et
les ID compatibles.

ID matériels

Les ID matériels sont les identificateurs qui fournissent la correspondance exacte entre
un appareil et un package de pilotes. La première chaîne de la liste des ID matériels est
appelée ID d’appareil, car elle correspond à la fabrique, au modèle et à la révision
exactes de l’appareil. Les autres ID matériels de la liste correspondent moins exactement
aux détails de l’appareil. Par exemple, un ID matériel peut identifier la fabrique et le
modèle de l’appareil, mais pas la révision spécifique. Ce schéma permet à Windows
d’utiliser un pilote pour une révision différente de l’appareil si le pilote pour la révision
correcte n’est pas disponible.

ID compatibles

Windows utilise ces identificateurs pour sélectionner un pilote si le système

d’exploitation ne trouve pas de correspondance avec l’ID de l’appareil ou l’un des autres
ID matériels. Les ID compatibles sont répertoriés dans l’ordre décroissant d’adéquation.
Ces chaînes sont facultatives et, lorsqu’elles sont fournies, elles sont génériques, telles
que Disque. Lorsqu’une correspondance est établie à l’aide d’un ID compatible, vous
pouvez généralement utiliser uniquement les fonctions les plus basiques de l’appareil.
Lorsque vous installez un appareil, tel qu’une imprimante, un périphérique de stockage
USB ou un clavier, Windows recherche des packages de pilotes qui correspondent à
l’appareil que vous essayez d’installer. Au cours de cette recherche, Windows attribue un
« rang » à chaque package de pilotes qu’il découvre avec au moins une correspondance
avec un id matériel ou compatible. Le classement indique à quel point le pilote
correspond à l’appareil. Des numéros de rang inférieurs indiquent de meilleures
correspondances entre le pilote et l’appareil. Un rang égal à zéro représente la meilleure
correspondance possible. Une correspondance avec l’ID d’appareil à un dans le package
de pilotes entraîne un rang inférieur (meilleur) qu’une correspondance à l’un des autres
ID matériels. De même, une correspondance avec un ID matériel donne un meilleur
classement qu’une correspondance à l’un des ID compatibles. Une fois que Windows a
classé tous les packages de pilotes, il installe celui qui a le rang global le plus bas. Pour
plus d’informations sur le processus de classement et de sélection des packages de
pilotes, consultez Comment Windows sélectionne un package de pilotes pour un
appareil.

７ Notes

Pour plus d’informations sur le processus d’installation du pilote, consultez la

section « Révision technologique » du Guide pas à pas pour la signature et la
préproduction des pilotes.

Certains appareils physiques créent un ou plusieurs appareils logiques lorsqu’ils sont

installés. Chaque appareil logique peut gérer une partie des fonctionnalités de l’appareil
physique. Par exemple, un appareil à fonctions multiples, tel qu’un
scanneur/télécopie/imprimante tout-en-un, peut avoir une chaîne d’identification
d’appareil différente pour chaque fonction.

Lorsque vous utilisez des stratégies d’installation d’appareil pour autoriser ou empêcher
l’installation d’un appareil qui utilise des appareils logiques, vous devez autoriser ou
empêcher toutes les chaînes d’identification d’appareil pour cet appareil. Par exemple, si
un utilisateur tente d’installer un appareil multifonction et que vous n’avez pas autorisé
ou empêché toutes les chaînes d’identification pour les appareils physiques et logiques,
vous pouvez obtenir des résultats inattendus de la tentative d’installation. Pour plus
d’informations sur les ID matériels, consultez Chaînes d’identification de l’appareil.

Classes de configuration de l’appareil

Les classes d’installation d’appareil (également appelées Classe) sont un autre type de
chaîne d’identification. Le fabricant affecte la classe à un appareil dans le package de
pilotes. La classe regroupe les appareils installés et configurés de la même façon. Par
exemple, tous les appareils biométriques appartiennent à la classe biométrique
(ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}) et utilisent le même co-
programme d’installation une fois installés. Un nombre long appelé identificateur global
unique (GUID) représente chaque classe d’installation d’appareil. Lorsque Windows
démarre, il génère une arborescence en mémoire avec les GUID pour tous les appareils
détectés. En plus du GUID de la classe de l’appareil lui-même, Windows peut avoir
besoin d’insérer dans l’arborescence le GUID de la classe du bus auquel l’appareil est
attaché.

Lorsque vous utilisez des classes d’appareil pour autoriser ou empêcher les utilisateurs
d’installer des pilotes, vous devez spécifier les GUID pour toutes les classes d’installation
d’appareil de l’appareil, sinon vous risquez de ne pas obtenir les résultats souhaités.
L’installation peut échouer (si vous souhaitez qu’elle réussisse) ou elle peut réussir (si
vous souhaitez qu’elle échoue).

Par exemple, un appareil à fonctions multiples, tel qu’un scanneur/télécopie/imprimante

tout-en-un, a un GUID pour un périphérique multi-fonction générique, un GUID pour la
fonction d’imprimante, un GUID pour la fonction scanneur, etc. Les GUID des fonctions
individuelles sont des « nœuds enfants » sous le GUID d’appareil multi-fonction. Pour
installer un nœud enfant, Windows doit également être en mesure d’installer le nœud
parent. Vous devez autoriser l’installation de la classe d’installation de périphérique du
GUID parent pour l’appareil multi-fonction en plus des GUID enfants pour les fonctions
d’imprimante et de scanneur.

Pour plus d’informations, voir Classes d’installation d’appareils.

Ce guide ne décrit pas les scénarios qui utilisent des classes de configuration d’appareil.
Toutefois, les principes de base présentés avec les chaînes d’identification des appareils
dans ce guide s’appliquent également aux classes de configuration d’appareil. Une fois
que vous avez découvert la classe d’installation d’appareil pour un appareil spécifique,
vous pouvez l’utiliser dans une stratégie pour autoriser ou empêcher l’installation de
pilotes pour cette classe d’appareils.

Les deux liens suivants fournissent la liste complète des classes d’installation de
l’appareil. Les classes « Utilisation du système » sont principalement des appareils
fournis avec un ordinateur/machine de l’usine, tandis que les classes « Fournisseur »
sont principalement des appareils qui peuvent être connectés à un
ordinateur/ordinateur existant :

Classes d’installation de périphérique définies par le système disponibles pour les

fournisseurs - Pilotes Windows
Classes d’installation de périphérique définies par le système réservées à
l’utilisation du système - Pilotes Windows
Type d’appareil « Appareil amovible »
Certains appareils peuvent être classés comme des appareils amovibles. Un appareil est
considéré comme amovible lorsque le pilote de l’appareil auquel il est connecté indique
que l’appareil est amovible. Par exemple, un périphérique USB est signalé comme
amovible par les pilotes du hub USB auquel le périphérique est connecté.

stratégie de groupe paramètres pour l’installation de

l’appareil
stratégie de groupe est une infrastructure qui vous permet de spécifier des
configurations gérées pour les utilisateurs et les ordinateurs via des paramètres de
stratégie de groupe et des préférences stratégie de groupe.

La section Installation de l’appareil dans stratégie de groupe est un ensemble de

stratégies qui contrôlent quel appareil peut ou ne peut pas être installé sur un
ordinateur. Que vous souhaitiez appliquer les paramètres à un ordinateur autonome ou
à de nombreux ordinateurs d’un domaine Active Directory, vous utilisez l’éditeur d’objet
stratégie de groupe pour configurer et appliquer les paramètres de stratégie. Pour plus
d’informations, consultez éditeur d’objets stratégie de groupe.

Les passages suivants sont de brèves descriptions des stratégies d’installation d’appareil
utilisées dans ce guide.

７ Notes

Le contrôle d’installation de l’appareil est appliqué uniquement aux machines («

configuration ordinateur ») et non aux utilisateurs (« configuration utilisateur ») par
la nature de la conception du système d’exploitation Windows. Ces paramètres de
stratégie affectent tous les utilisateurs qui se connectent à l’ordinateur sur lequel
les paramètres de stratégie sont appliqués. Vous ne pouvez pas appliquer ces
stratégies à des utilisateurs ou groupes spécifiques, à l’exception de la stratégie
Autoriser les administrateurs à remplacer la stratégie d’installation des appareils.
Cette stratégie exempte les membres du groupe Administrateurs local des
restrictions d’installation de l’appareil que vous appliquez à l’ordinateur en
configurant d’autres paramètres de stratégie, comme décrit dans cette section.

Autoriser les administrateurs à remplacer les stratégies de

restriction d’installation d’appareil
Ce paramètre de stratégie permet aux membres du groupe Administrateurs local
d’installer et de mettre à jour les pilotes pour n’importe quel appareil, quels que soient
les autres paramètres de stratégie. Si vous activez ce paramètre de stratégie, les
administrateurs peuvent utiliser l’Assistant Ajout de matériel ou l’Assistant Mise à jour
du pilote pour installer et mettre à jour les pilotes pour n’importe quel appareil. Si vous
désactivez ou ne configurez pas ce paramètre de stratégie, les administrateurs sont
soumis à tous les paramètres de stratégie qui limitent l’installation de l’appareil.

Autoriser l’installation d’appareils qui correspondent à l’un de ces

ID d’appareil
Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID
compatibles qui décrivent les appareils que les utilisateurs peuvent installer. Ce
paramètre est destiné à être utilisé uniquement lorsque le paramètre de stratégie
Empêcher l’installation des appareils non décrit par d’autres paramètres de stratégie est
activé et n’est pas prioritaire sur un paramètre de stratégie qui empêcherait les
utilisateurs d’installer un appareil. Si vous activez ce paramètre de stratégie, les
utilisateurs peuvent installer et mettre à jour n’importe quel appareil avec un ID matériel
ou un ID compatible qui correspond à un ID dans cette liste si cette installation n’a pas
été empêchée par le paramètre de stratégie Empêcher l’installation des appareils qui
correspondent à ces ID d’appareil, le paramètre de stratégie Empêcher l’installation des
appareils pour ces classes d’appareils, ou le paramètre de stratégie Empêcher
l’installation des appareils amovibles. Si un autre paramètre de stratégie empêche les
utilisateurs d’installer un appareil, les utilisateurs ne peuvent pas l’installer même si
l’appareil est également décrit par une valeur dans ce paramètre de stratégie. Si vous
désactivez ou ne configurez pas ce paramètre de stratégie et qu’aucune autre stratégie
ne décrit l’appareil, le paramètre de stratégie Empêcher l’installation des appareils non
décrits par d’autres paramètres de stratégie détermine si les utilisateurs peuvent installer
l’appareil.

Autoriser l’installation d’appareils qui correspondent à l’un de ces

ID de instance d’appareil

Ce paramètre de stratégie vous permet de spécifier une liste d’ID d’appareil Plug-and-
Play instance pour les appareils que Windows est autorisé à installer. Utilisez ce
paramètre de stratégie uniquement lorsque le paramètre de stratégie « Empêcher
l’installation des appareils non décrits par d’autres paramètres de stratégie » est activé.
Les autres paramètres de stratégie qui empêchent l’installation de l’appareil sont
prioritaires sur celui-ci. Si vous activez ce paramètre de stratégie, Windows est autorisé à
installer ou à mettre à jour tout appareil dont l’ID d’instance d’appareil Plug-and-Play
apparaît dans la liste que vous créez, sauf si un autre paramètre de stratégie empêche
spécifiquement cette installation (par exemple, le paramètre de stratégie « Empêcher
l’installation des appareils qui correspondent à l’un de ces ID d’appareil », le paramètre
de stratégie « Empêcher l’installation d’appareils pour ces classes d’appareils », le
paramètre de stratégie « Empêcher l’installation des appareils qui correspondent à l’un
de ces ID d’appareil instance » ou le paramètre de stratégie « Empêcher l’installation
d’appareils amovibles ». Si vous activez ce paramètre de stratégie sur un serveur Bureau
à distance, le paramètre de stratégie affecte la redirection des appareils spécifiés d’un
client Bureau à distance vers le serveur Bureau à distance.

Autoriser l’installation d’appareils à l’aide de pilotes qui

correspondent à ces classes d’installation d’appareil
Ce paramètre de stratégie spécifie une liste de GUID de classe d’installation d’appareil
qui décrivent les appareils que les utilisateurs peuvent installer. Ce paramètre est destiné
à être utilisé uniquement lorsque le paramètre de stratégie Empêcher l’installation des
appareils non décrit par d’autres paramètres de stratégie est activé et n’est pas
prioritaire sur un paramètre de stratégie qui empêcherait les utilisateurs d’installer un
appareil. Si vous activez ce paramètre, les utilisateurs peuvent installer et mettre à jour
n’importe quel appareil avec un ID matériel ou un ID compatible qui correspond à l’un
des ID de cette liste si cette installation n’a pas été empêchée par le paramètre de
stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil, le
paramètre de stratégie Empêcher l’installation des appareils pour ces classes d’appareil,
ou le paramètre de stratégie Empêcher l’installation des appareils amovibles. Si un autre
paramètre de stratégie empêche les utilisateurs d’installer un appareil, les utilisateurs ne
peuvent pas l’installer même si l’appareil est également décrit par une valeur dans ce
paramètre de stratégie. Si vous désactivez ou ne configurez pas ce paramètre de
stratégie et qu’aucun autre paramètre de stratégie ne décrit l’appareil, le paramètre de
stratégie Empêcher l’installation des appareils non décrits par d’autres paramètres de
stratégie détermine si les utilisateurs peuvent installer l’appareil.

Empêcher l’installation d’appareils qui correspondent à ces ID

d’appareil
Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID
compatibles pour les appareils que les utilisateurs ne peuvent pas installer. Si vous
activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à
jour le pilote d’un appareil si son ID matériel ou son ID compatible correspond à celui
de cette liste. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les
utilisateurs peuvent installer des appareils et mettre à jour leurs pilotes, comme le
permettent d’autres paramètres de stratégie pour l’installation de l’appareil. Remarque :
Ce paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui
permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche
les utilisateurs d’installer un appareil même s’il correspond à un autre paramètre de
stratégie qui autoriserait l’installation de cet appareil.

Empêcher l’installation d’appareils qui correspondent à l’un de ces

ID de instance d’appareil

Ce paramètre de stratégie vous permet de spécifier une liste d’ID d’appareil Plug-and-
Play instance pour les appareils que Windows ne peut pas installer. Ce paramètre de
stratégie est prioritaire sur tout autre paramètre de stratégie qui permet à Windows
d’installer un appareil. Si vous activez ce paramètre de stratégie, Windows ne peut pas
installer un appareil dont l’ID de instance d’appareil apparaît dans la liste que vous
créez. Si vous activez ce paramètre de stratégie sur un serveur Bureau à distance, le
paramètre de stratégie affecte la redirection des appareils spécifiés d’un client Bureau à
distance vers le serveur Bureau à distance. Si vous désactivez ou ne configurez pas ce
paramètre de stratégie, les appareils peuvent être installés et mis à jour comme
autorisés ou empêchés par d’autres paramètres de stratégie.

Empêcher l’installation d’appareils à l’aide de pilotes qui

correspondent à ces classes d’installation d’appareil

Ce paramètre de stratégie spécifie une liste de GUID de classe de configuration

d’appareil Plug-and-Play pour les appareils que les utilisateurs ne peuvent pas installer.
Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou
mettre à jour les appareils qui appartiennent à l’une des classes d’installation d’appareil
répertoriées. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les
utilisateurs peuvent installer et mettre à jour des appareils comme le permettent
d’autres paramètres de stratégie pour l’installation de l’appareil. Remarque : Ce
paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui
permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche
les utilisateurs d’installer un appareil d’être installé, même s’il correspond à un autre
paramètre de stratégie qui autoriserait l’installation de cet appareil.

Appliquer l’ordre d’évaluation en couches pour autoriser

et empêcher les stratégies d’installation des appareils sur
tous les critères de correspondance des appareils
Ce paramètre de stratégie modifie l’ordre d’évaluation dans lequel les paramètres de
stratégie Autoriser et Empêcher sont appliqués lorsque plusieurs paramètres de
stratégie d’installation sont applicables à un appareil donné. Activez ce paramètre de
stratégie pour vous assurer que les critères de correspondance des appareils qui se
chevauchent sont appliqués en fonction d’une hiérarchie établie où des critères de
correspondance plus spécifiques remplacent des critères de correspondance moins
spécifiques. L’ordre hiérarchique d’évaluation des paramètres de stratégie qui spécifient
des critères de correspondance d’appareil est le suivant :

Id d’appareil instance ID d’appareil>ID d’appareil> Classe >d’installationd’appareil

Appareils amovibles

７ Notes

Ce paramètre de stratégie fournit un contrôle plus précis que le paramètre de

stratégie « Empêcher l’installation d’appareils non décrits par d’autres paramètres
de stratégie ». Si ces paramètres de stratégie en conflit sont activés en même
temps, le paramètre de stratégie « Appliquer l’ordre d’évaluation en couches pour
autoriser et empêcher les stratégies d’installation des appareils sur tous les critères
de correspondance des appareils » sera activé et l’autre paramètre de stratégie sera
ignoré.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’évaluation par

défaut est utilisée. Par défaut, toutes les options « Empêcher l’installation... » Les
paramètres de stratégie sont prioritaires sur tout autre paramètre de stratégie qui
permet à Windows d’installer un appareil.

Certaines de ces stratégies sont prioritaires sur d’autres stratégies. L’organigramme

suivant illustre la façon dont Windows les traite pour déterminer si un utilisateur peut
installer un appareil ou non.
Organigramme des stratégies d’installation d’appareil

Conditions requises pour l’exécution des

scénarios
Général
Pour effectuer chacun des scénarios, vérifiez que vous disposez des points suivants :

Un ordinateur client exécutant Windows.

Une clé USB. Les scénarios décrits dans ce guide utilisent une clé USB comme
exemple de périphérique (également appelé « lecteur de disque amovible », «
lecteur de mémoire », « lecteur flash » ou « lecteur à clé »). La plupart des lecteurs
USB ne nécessitent aucun pilote fourni par le fabricant, et ces périphériques
fonctionnent avec les pilotes de boîte de réception fournis avec la build Windows.
Une imprimante USB/réseau préinstallée sur l’ordinateur.
Accès au compte administrateur sur l’ordinateur de test. Les procédures décrites
dans ce guide nécessitent des privilèges d’administrateur pour la plupart des
étapes.

Comprendre les implications de l’application rétroactive

de stratégies « Empêcher »
Toutes les stratégies « Empêcher » peuvent appliquer la fonctionnalité de blocage aux
appareils déjà installés, c’est-à-dire aux appareils qui ont été installés sur l’ordinateur
avant que la stratégie ne prenne effet. L’utilisation de cette option est recommandée
lorsque l’administrateur n’est pas sûr de l’historique d’installation des appareils sur
l’ordinateur et souhaite s’assurer que la stratégie s’applique à tous les appareils.

Par exemple : une imprimante est déjà installée sur l’ordinateur, ce qui empêche
l’installation de toutes les imprimantes de bloquer l’installation d’une imprimante future
tout en conservant uniquement l’imprimante installée utilisable. Pour appliquer le bloc
rétroactivement, l’administrateur doit case activée marquer l’option « Appliquer cette
stratégie aux appareils déjà installés ». Le marquage de cette option empêche l’accès
aux appareils déjà installés en plus des appareils futurs.

Cette option est un outil puissant, mais en tant que tel, il doit être utilisé avec
précaution.

） Important

L’application de l’option « Empêcher rétroactif » aux appareils essentiels pourrait

rendre la machine inutile/inacceptable! Par exemple : l’empêchement rétroactif de
tous les « lecteurs de disque » peut bloquer l’accès au disque avec lequel le
système d’exploitation démarre ; Empêcher tout « Net » rétroactif pourrait
 empêcher cette machine d’accéder au réseau et pour résoudre le problème,
l’administrateur devra disposer d’une connexion directe.

Déterminer les chaînes d’identification des

appareils
En suivant ces étapes, vous pouvez déterminer les chaînes d’identification de l’appareil
pour votre appareil. Si les ID matériels et les ID compatibles de votre appareil ne
correspondent pas aux ID indiqués dans ce guide, utilisez les ID appropriés à votre
appareil (cette stratégie s’applique aux ID d’instance et aux classes, mais nous ne leur
donnerons pas d’exemple dans ce guide).

Vous pouvez déterminer les ID matériels et les ID compatibles de votre appareil de deux
façons. Vous pouvez utiliser Gestionnaire de périphériques, un outil graphique inclus
avec le système d’exploitation, ou PnPUtil, un outil en ligne de commande disponible
pour toutes les versions de Windows. Utilisez la procédure suivante pour afficher les
chaînes d’identification d’appareil pour votre appareil.

７ Notes

Ces procédures sont spécifiques à une imprimante Canon. Si vous utilisez un autre
type d’appareil, vous devez ajuster les étapes en conséquence. La différence
significative réside dans l’emplacement de l’appareil dans la hiérarchie Gestionnaire
de périphériques. Au lieu d’être situé dans le nœud Imprimantes, vous devez
localiser votre appareil dans le nœud approprié.

Pour rechercher des chaînes d’identification d’appareil à l’aide de Gestionnaire de

périphériques

1. Assurez-vous que votre imprimante est branchée et installée.

2. Pour ouvrir Gestionnaire de périphériques, sélectionnez le bouton Démarrer, tapez

mmc [Link] dans la zone Démarrer la recherche, puis appuyez sur Entrée
ou recherchez Gestionnaire de périphériques en tant qu’application.

3. Gestionnaire de périphériques démarre et affiche une arborescence représentant

tous les appareils détectés sur votre ordinateur. En haut de l’arborescence se
trouve un nœud avec le nom de vos ordinateurs à côté. Les nœuds inférieurs
représentent les différentes catégories de matériel dans lesquelles les appareils de
vos ordinateurs sont regroupés.
4. Recherchez la section « Imprimantes » et recherchez l’imprimante cible

Sélection de l’imprimante dans Gestionnaire de périphériques

5. Double-cliquez sur l’imprimante et accédez à l’onglet « Détails ».

 Ouvrez l’onglet « Détails » pour rechercher les identificateurs d’appareil

6. Dans la fenêtre « Valeur », copiez l’ID matériel le plus détaillé. Nous allons utiliser
cette valeur dans les stratégies.
 HWID et ID compatible

 Conseil

Vous pouvez également déterminer les chaînes d’identification de votre

appareil à l’aide de l’utilitaire de ligne de commande PnPUtil. Pour plus
d’informations, consultez PnPUtil - Pilotes Windows.

Obtention d’identificateurs d’appareil à l’aide de PnPUtil

Console

pnputil /enum-devices /ids

Voici un exemple de sortie pour un seul appareil sur une machine :

Console

<snip>
Instance ID:
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description: Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7
PCIe Ring Interface - 2F34
Class Name: System
Class GUID: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name: INTEL
Status: Stopped
Driver Name: [Link]
Hardware IDs: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
PCI\VEN_8086&DEV_2F34&CC_110100
PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs: PCI\VEN_8086&DEV_2F34&REV_02
PCI\VEN_8086&DEV_2F34
PCI\VEN_8086&CC_110100
PCI\VEN_8086&CC_1101
PCI\VEN_8086
PCI\CC_110100
PCI\CC_1101
<snip>

Scénario n°1 : Empêcher l’installation de toutes

les imprimantes
Dans ce scénario simple, vous allez apprendre à empêcher l’installation d’une classe
entière d’appareils.

Configuration de l’environnement
Configuration de l’environnement pour le scénario en procédant comme suit :

1. Ouvrez stratégie de groupe éditeur et accédez à la section Restriction de

l’installation de l’appareil.

2. Désactivez toutes les stratégies d’installation d’appareil précédentes, à l’exception

de « Appliquer l’ordre d’évaluation en couches ». Bien que la stratégie soit
désactivée par défaut, il est recommandé d’activer cette stratégie dans les
applications les plus pratiques.
 3. S’il existe des stratégies activées, la modification de leur status par « désactivé » les
efface de tous les paramètres

4. Disposer d’une imprimante USB/réseau disponible pour tester la stratégie avec

Étapes du scénario : empêcher l’installation d’appareils

interdits
Obtention de l’identificateur d’appareil approprié pour empêcher son installation :

1. Si vous avez sur votre système un appareil de la classe que vous souhaitez bloquer,
vous pouvez suivre les étapes de la section précédente pour rechercher
l’identificateur de classe de périphérique via Gestionnaire de périphériques ou
PnPUtil (GUID de classe).

2. Si ce type d’appareil n’est pas installé sur votre système ou si vous connaissez le
nom de la classe, vous pouvez case activée les deux liens suivants :

Classes d’installation de périphérique définies par le système disponibles

pour les fournisseurs - Pilotes Windows
Classes d’installation de périphérique définies par le système réservées à
l’utilisation du système - Pilotes Windows

3. Notre scénario actuel est axé sur la prévention de l’installation de toutes les
imprimantes, car voici le GUID de classe pour la plupart des imprimantes sur le
marché :

Imprimantes
Classe = Imprimante
ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Cette classe inclut les imprimantes.

７ Notes

Comme mentionné précédemment, empêcher une classe entière peut vous

empêcher d’utiliser complètement votre système. Vérifiez que vous
comprenez quels appareils vont être bloqués lors de la spécification d’une
classe. Pour notre scénario, il existe d’autres classes liées aux imprimantes,
mais avant de les appliquer, assurez-vous qu’elles ne bloquent aucun autre
appareil existant qui est essentiel pour votre système.
Création de la stratégie pour empêcher l’installation de toutes les imprimantes :

1. Ouvrez stratégie de groupe éditeur d’objet : cliquez sur le bouton Démarrer, tapez
mmc [Link] dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou
tapez la recherche Windows « éditeur stratégie de groupe » et ouvrez l’interface
utilisateur.

2. Accédez à la page Restriction de l’installation de l’appareil :

Configuration > ordinateur Modèles d’administration > Système > Installation

de l’appareil > Restrictions d’installation de l’appareil

3. Assurez-vous que toutes les stratégies sont désactivées (il est recommandé de
conserver la stratégie « ordre d’évaluation en couches appliqué » activée).

4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui

correspondent à la stratégie de ces classes d’installation d’appareil , puis
sélectionnez la case d’option « Activer ».

5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur de classe à bloquer.

6. Entrez le GUID de classe d’imprimante que vous avez trouvé avec les accolades :
{4d36e979-e325-11ce-bfc1-08002be10318} .

Liste des GUID de classe d’empêcher

7. Cliquez sur « OK ».

8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option

envoie (push) la stratégie et bloque toutes les installations d’imprimantes futures,
 mais ne s’applique pas aux installations existantes.

9. Facultatif si vous souhaitez appliquer la stratégie aux installations existantes :

Ouvrez à nouveau la stratégie Empêcher l’installation des appareils à l’aide de
pilotes qui correspondent à ces classes d’installation d’appareil ; Dans la fenêtre «
Options », cochez la case « Appliquer également aux appareils correspondants qui
sont déjà installés »

） Important

L’utilisation d’une stratégie Empêcher (comme celle que nous avons utilisée dans le
scénario n°1 ci-dessus) et son application à tous les appareils précédemment
installés (voir l’étape 9) peuvent rendre les appareils essentiels inutilisables ; par
conséquent, utilisez avec prudence. Par exemple : si un administrateur informatique
souhaite empêcher l’installation de tous les périphériques de stockage amovibles
sur l’ordinateur, l’utilisation de la classe « Lecteur de disque » pour la bloquer et
l’appliquer rétroactivement peut rendre le disque dur interne inutilisable et casser
la machine.

Scénario de test 1
1. Si vous n’avez pas terminé l’étape 9, procédez comme suit :
a. Désinstallez votre imprimante : Gestionnaire de périphériques > Imprimantes >
cliquez avec le bouton droit sur « Désinstaller l’appareil > ».
b. Pour l’imprimante USB, débranchez et rebranchez le câble; pour le périphérique
réseau - recherchez l’imprimante dans l’application Paramètres Windows.
c. Vous ne devriez pas être en mesure de réinstaller l’imprimante.

2. Si vous avez terminé l’étape 9 ci-dessus et redémarré l’ordinateur, recherchez votre

imprimante sous Gestionnaire de périphériques ou l’application Paramètres
Windows et constatez qu’elle n’est plus disponible pour vous.

Scénario n°2 : Empêcher l’installation d’une

imprimante spécifique
Ce scénario s’appuie sur le scénario 1, Empêcher l’installation de toutes les imprimantes.
Dans ce scénario, vous ciblez une imprimante spécifique pour empêcher l’installation sur
l’ordinateur.
Configuration de l’environnement
Configuration de l’environnement pour le scénario en procédant comme suit :

1. Ouvrez stratégie de groupe éditeur et accédez à la section Restriction de

l’installation de l’appareil.

2. Vérifiez que toutes les stratégies d’installation d’appareil précédentes sont

désactivées, à l’exception de « Appliquer l’ordre d’évaluation en couches » (cette
condition préalable est facultative pour activer/désactiver ce scénario). Bien que la
stratégie soit désactivée par défaut, il est recommandé d’être activée dans la
plupart des applications pratiques. Pour le scénario n°2, il est facultatif.

Étapes du scénario : empêcher l’installation d’un appareil

spécifique
Obtention de l’identificateur d’appareil approprié pour empêcher son installation :

1. Obtenez l’ID matériel de votre imprimante. Dans cet exemple, nous allons utiliser
l’identificateur que nous avons trouvé précédemment.
 ID matériel de l’imprimante

2. Notez l’ID de l’appareil (dans ce cas, ID matériel) :

WSDPRINT\CanonMX920_seriesC1A0; . Prenez l’identificateur plus spécifique pour vous

assurer que vous bloquez une imprimante spécifique et non une famille
d’imprimantes

Création de la stratégie pour empêcher l’installation d’une seule imprimante :

1. Ouvrez stratégie de groupe’éditeur d’objets.

2. Accédez à la page Restriction de l’installation de l’appareil :

Configuration > ordinateur Modèles d’administration > Système > Installation

de l’appareil > Restrictions d’installation de l’appareil
 3. Ouvrez Empêcher l’installation des appareils qui correspondent à l’une de ces
stratégies d’ID d’appareil et sélectionnez la case d’option « Activer ».

4. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur de l’appareil à bloquer.

5. Entrez l’ID de périphérique d’imprimante que vous avez trouvé ci-dessus :

WSDPRINT\CanonMX920_seriesC1A0 .

Liste Empêcher l’ID d’appareil

6. Cliquez sur « OK ».

7. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option

envoie (push) la stratégie et bloque l’imprimante cible dans les installations
futures, mais ne s’applique pas à une installation existante.

8. Si vous souhaitez appliquer la stratégie à une installation existante, ouvrez à

nouveau la stratégie Empêcher l’installation des appareils qui correspondent à
l’un de ces ID d’appareil . Dans la fenêtre « Options », cochez la case « Appliquer
également aux appareils correspondants déjà installés ».

Scénario de test 2
Si vous avez terminé l’étape 8 ci-dessus et redémarré l’ordinateur, recherchez votre
imprimante sous Gestionnaire de périphériques ou l’application Paramètres Windows et
voyez qu’elle n’est plus disponible pour vous.

Si vous n’avez pas terminé l’étape 8, procédez comme suit :

1. Désinstallez votre imprimante : Gestionnaire de périphériques > Imprimantes >

cliquez avec le bouton droit sur « Désinstaller l’appareil > ».

2. Pour l’imprimante USB, débranchez et rebranchez le câble; pour le périphérique

réseau, recherchez l’imprimante dans l’application Paramètres Windows.

3. Vous ne devriez pas être en mesure de réinstaller l’imprimante.

Scénario 3 : Empêcher l’installation de toutes

les imprimantes tout en autorisant l’installation
d’une imprimante spécifique
Maintenant, à l’aide des connaissances des deux scénarios précédents, vous allez
apprendre à empêcher l’installation d’une classe entière d’appareils tout en autorisant
l’installation d’une seule imprimante.

Configuration de l’environnement
Configuration de l’environnement pour le scénario en procédant comme suit :

1. Ouvrez stratégie de groupe éditeur et accédez à la section Restriction de

l’installation de l’appareil.

2. Désactivez toutes les stratégies d’installation d’appareil précédentes et activez «

Appliquer l’ordre d’évaluation en couches ».

3. Si des stratégies sont activées, la modification de leur status par « désactivé » les
efface de tous les paramètres.

4. Disposez d’une imprimante USB/réseau pour tester la stratégie.

Étapes du scénario : empêcher l’installation d’une classe

entière tout en autorisant une imprimante spécifique
Obtention de l’identificateur d’appareil pour la classe d’imprimante et une imprimante
spécifique en suivant les étapes du scénario n°1 pour rechercher l’identificateur de
classe et le scénario n° 2 pour trouver l’identificateur de l’appareil, vous pouvez obtenir
les identificateurs dont vous avez besoin pour ce scénario :
 ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
ID matériel = WSDPRINT\CanonMX920_seriesC1A0

Commencez par créer une stratégie « Empêcher la classe », puis créez une stratégie «
Autoriser l’appareil » :

1. Ouvrez stratégie de groupe éditeur d’objet : cliquez sur le bouton Démarrer, tapez
mmc [Link] dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou
tapez la recherche Windows « éditeur stratégie de groupe » et ouvrez l’interface
utilisateur.

2. Accédez à la page Restriction de l’installation de l’appareil :

Configuration > ordinateur Modèles d’administration > Système > Installation

de l’appareil > Restrictions d’installation de l’appareil

3. Vérifier que toutes les stratégies sont désactivées

4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui

correspondent à la stratégie de ces classes d’installation d’appareil , puis
sélectionnez la case d’option « Activer ».

5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur de classe à bloquer.

6. Entrez le GUID de classe d’imprimante que vous avez trouvé ci-dessus avec les
accolades (cette valeur est importante ! Sinon, cela ne fonctionnera pas) :
{4d36e979-e325-11ce-bfc1-08002be10318}

Liste des GUID de classe d’empêcher

 7. Cliquez sur « OK ».

8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option

envoie (push) la stratégie et bloque toutes les installations d’imprimantes futures,
mais ne s’applique pas aux installations existantes.

9. Pour compléter la couverture de toutes les imprimantes futures et existantes,

ouvrez à nouveau la stratégie Empêcher l’installation des appareils à l’aide de
pilotes qui correspondent à ces classes de configuration d’appareil ; Dans la
fenêtre « Options », cochez la case « Appliquer également aux appareils
correspondants qui sont déjà installés », puis cliquez sur « OK ».

10. Ouvrez la stratégie Appliquer l’ordre d’évaluation en couches pour autoriser et

empêcher les stratégies d’installation des appareils sur tous les critères de
correspondance des appareils et activez-la. Cette stratégie vous permet de
remplacer la large couverture de la stratégie « Empêcher » avec un appareil
spécifique.


 

Appliquer l’ordre en couches de la stratégie d’évaluation

11. Maintenant, ouvrez Autoriser l’installation des appareils qui correspondent à

l’une de ces stratégies d’ID d’appareil , puis sélectionnez la case d’option « Activer
».

12. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur d’appareil à autoriser.

13. Entrez l’ID de périphérique d’imprimante que vous avez trouvé ci-dessus :
WSDPRINT\CanonMX920_seriesC1A0.
 Autoriser l’ID matériel de l’imprimante

14. Cliquez sur « OK ».

15. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option
envoie (push) la stratégie et permet à l’imprimante cible d’être installée (ou de
rester installée).

Scénario de test 3
1. Recherchez votre imprimante sous Gestionnaire de périphériques ou l’application
Paramètres Windows et vérifiez qu’elle est toujours là et accessible. Ou simplement
imprimer un document de test.

2. Retour à l’éditeur de stratégie de groupe, désactivez Appliquer l’ordre

d’évaluation en couches pour autoriser et empêcher les stratégies d’installation
de l’appareil sur tous les critères de l’appareil et testez à nouveau votre
imprimante. Vous ne devez pas être en ballot pour imprimer quoi que ce soit ou
accéder à l’imprimante.

Scénario 4 : Empêcher l’installation d’un

périphérique USB spécifique
Le scénario s’appuie sur les connaissances du scénario 2, Empêcher l’installation d’une
imprimante spécifique. Dans ce scénario, vous allez comprendre comment certains
appareils sont intégrés à l’arborescence d’appareils PnP (Plug-and-Play).

Configuration de l’environnement
Configuration de l’environnement pour le scénario en procédant comme suit :

1. Ouvrez stratégie de groupe éditeur et accédez à la section Restriction de

l’installation de l’appareil

2. Vérifiez que toutes les stratégies d’installation d’appareil précédentes sont

désactivées, à l’exception de « Appliquer l’ordre d’évaluation en couches ». Ce
prérequis est facultatif pour activer/désactiver ce scénario. Bien que la stratégie
soit désactivée par défaut, il est recommandé d’être activée dans la plupart des
applications pratiques.

Étapes du scénario : empêcher l’installation d’un appareil

spécifique
Obtention de l’identificateur d’appareil approprié pour empêcher son installation et son
emplacement dans l’arborescence PnP :

1. Connecter une clé USB à la machine

2. Ouvrir le Gestionnaire de périphériques

3. Recherchez la clé USB et sélectionnez-la.

Sélection de la clé usb dans Gestionnaire de périphériques

4. Remplacez Affichage (dans le menu supérieur) par « Appareils par connexions ».
Cette vue représente la façon dont les appareils sont installés dans l’arborescence
PnP.

Modification de l’affichage dans Gestionnaire de périphériques pour afficher

l’arborescence de connexion PnP

７ Notes
 Lors du blocage\Empêcher un appareil qui se trouve plus haut dans
l’arborescence PnP, tous les appareils qui se trouvent en dessous sont
bloqués. Par exemple : en empêchant l’installation d’un « hub USB générique
», tous les appareils situés sous un « hub USB générique » seront bloqués.

Lors du blocage d’un appareil, tous les appareils imbriqués en dessous sont
également bloqués.

5. Double-cliquez sur la clé USB et accédez à l’onglet « Détails ».

6. Dans la fenêtre « Valeur », copiez l’ID matériel le plus détaillé. Nous allons utiliser
cette valeur dans les stratégies. Dans ce cas, ID d’appareil =
USBSTOR\DiskGeneric_Flash_Disk______8.07
 ID matériels du périphérique USB

Création de la stratégie pour empêcher l’installation d’une seule clé USB :

1. Ouvrez stratégie de groupe’Éditeur d’objets, cliquez sur le bouton Démarrer, tapez

mmc [Link] dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou
tapez la recherche Windows « éditeur stratégie de groupe » et ouvrez l’interface
utilisateur.

2. Accédez à la page Restriction de l’installation de l’appareil :

Configuration > ordinateur Modèles d’administration > Système > Installation

de l’appareil > Restrictions d’installation de l’appareil

3. Ouvrez Empêcher l’installation des appareils qui correspondent à l’une de ces

stratégies d’ID d’appareil et sélectionnez la case d’option « Activer ».

4. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur la zone «
Afficher ». Cette option vous permet d’accéder à une table dans laquelle vous
pouvez entrer l’identificateur de l’appareil à bloquer.

5. Entrez l’ID de périphérique usb que vous avez trouvé ci-

dessus USBSTOR\DiskGeneric_Flash_Disk______8.07 .
 Liste Empêcher les ID d’appareil

6. Cliquez sur « OK ».

7. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option

envoie (push) la stratégie et bloque la clé USB cible dans les installations futures,
mais ne s’applique pas à une installation existante.

8. Facultatif : si vous souhaitez appliquer la stratégie à une installation existante,

ouvrez à nouveau la stratégie Empêcher l’installation des appareils qui
correspondent à l’un de ces ID d’appareil . Dans la fenêtre « Options », cochez la
case « Appliquer également aux appareils correspondants déjà installés ».

Scénario de test 4
1. Si vous n’avez pas terminé l’étape 8, procédez comme suit :

Désinstallez votre clé USB : Gestionnaire de périphériques > Lecteurs de

disque > cliquez avec le bouton droit sur la clé > USB cible, cliquez sur «
Désinstaller l’appareil ».
Vous ne devez pas être en mesure de réinstaller l’appareil.

2. Si vous avez terminé l’étape 8 ci-dessus et redémarré l’ordinateur, recherchez vos

lecteurs de disque sous Gestionnaire de périphériques et constatez qu’ils ne sont
plus disponibles pour vous.
Scénario n°5 : Empêcher l’installation de tous
les périphériques USB tout en autorisant
l’installation d’une seule clé USB autorisée
Maintenant, à l’aide des connaissances des quatre scénarios précédents, vous allez
apprendre à empêcher l’installation d’une classe entière d’appareils tout en autorisant
l’installation d’une seule clé USB autorisée.

Configuration de l’environnement
Configuration de l’environnement pour le scénario en procédant comme suit :

1. Ouvrez stratégie de groupe éditeur et accédez à la section Restriction de

l’installation de l’appareil.

2. Désactivez toutes les stratégies d’installation d’appareil précédentes et activez «

Appliquer l’ordre d’évaluation en couches ».

3. Si des stratégies sont activées, la modification de leur status par « désactivé » les
efface de tous les paramètres.

4. Disposez d’une clé USB avec laquelle tester la stratégie.

Étapes du scénario : empêcher l’installation de tous les

périphériques USB tout en autorisant uniquement une clé
USB autorisée
Obtenir l’identificateur de l’appareil pour les classes USB et une clé USB spécifique, et
suivre les étapes du scénario #1 pour rechercher Identificateur de classe et scénario #4
pour trouver l’identificateur de l’appareil, vous pouvez obtenir les identificateurs dont
vous avez besoin pour ce scénario :

Périphériques bus USB (hubs et contrôleurs hôtes)

Classe = USB
ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
Cette classe inclut les contrôleurs hôtes USB et les hubs USB, mais pas les
périphériques USB. Les pilotes de cette classe sont fournis par le système.

Périphérique USB
Class = USBDevice
ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
 USBDevice inclut tous les périphériques USB qui n’appartiennent pas à une
autre classe. Cette classe n’est pas utilisée pour les contrôleurs hôtes usb et les
hubs.

ID matériel = USBSTOR\DiskGeneric_Flash_Disk______8.07

Comme mentionné dans le scénario n° 4, il ne suffit pas d’activer un seul ID matériel

pour activer une seule clé USB. L’administrateur informatique doit s’assurer que tous les
périphériques USB qui précèdent le périphérique cible ne sont pas également bloqués
(autorisés). Dans notre cas, les appareils suivants doivent être autorisés afin que la clé
USB cible puisse également être autorisée :

« Contrôleur hôte Intel(R) USB 3.0 eXtensible – 1.0 (Microsoft) » -> PCI\CC_0C03
« Hub racine USB (USB 3.0) » -> USB\ROOT_HUB30
« Hub USB générique » -> USB\USB20_HUB
Périphériques USB imbriqués les uns sous les autres dans l’arborescence PnP

Ces appareils sont des périphériques internes sur l’ordinateur qui définissent la
connexion de port USB au monde extérieur. Leur activation ne doit pas permettre
l’installation d’un appareil externe/périphérique sur l’ordinateur.

） Important

Certains appareils du système ont plusieurs couches de connectivité pour définir

leur installation sur le système. Les lecteurs USB sont de tels appareils. Par
conséquent, lorsque vous souhaitez les bloquer ou les autoriser sur un système, il
 est important de comprendre le chemin de connectivité de chaque appareil. Il
existe plusieurs ID d’appareil génériques qui sont couramment utilisés dans les
systèmes et qui peuvent fournir un bon début pour créer une « liste verte » dans de
tels cas. Consultez la liste ci-dessous :

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (pour les

contrôleurs hôtes)/USB\ROOT_HUB30; USB\ROOT_HUB20 (pour les hubs racines
USB)/ USB\USB20_HUB (pour les hubs USB génériques)/

En particulier pour les ordinateurs de bureau, il est très important de répertorier

tous les périphériques USB via ant vos claviers et souris connectés dans la liste ci-
dessus. Si vous ne le faites pas, vous risquez d’empêcher un utilisateur d’accéder à
sa machine via des appareils HID.

Différents fabricants de PC ont parfois différentes façons d’imbriquer des

périphériques USB dans l’arborescence PnP, mais en général c’est ainsi que cela est
fait.

Commencez par créer une stratégie « Empêcher la classe », puis créez une stratégie «
Autoriser l’appareil » :

1. Ouvrez stratégie de groupe éditeur d’objet : cliquez sur le bouton Démarrer, tapez
mmc [Link] dans la zone Démarrer la recherche, puis appuyez sur Entrée, ou
tapez la recherche Windows « éditeur stratégie de groupe » et ouvrez l’interface
utilisateur.

2. Accédez à la page Restriction de l’installation de l’appareil :

Configuration > ordinateur Modèles d’administration > Système > Installation

de l’appareil > Restrictions d’installation de l’appareil

3. Vérifier que toutes les stratégies sont désactivées

4. Ouvrez Empêcher l’installation des appareils à l’aide de pilotes qui

correspondent à la stratégie de ces classes d’installation d’appareil , puis
sélectionnez la case d’option « Activer ».

5. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur de classe à bloquer.

6. Entrez les deux classes USB GUID que vous avez trouvées ci-dessus avec les
accolades :
 {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-
A4FF138216D6}

7. Cliquez sur « OK ».

8. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie. Cette option

envoie (push) la stratégie et bloque toutes les futures installations de
périphériques USB, mais ne s’applique pas aux installations existantes.

） Important

L’étape précédente empêche l’installation de tous les futurs périphériques

USB. Avant de passer à l’étape suivante, vérifiez que vous disposez de la liste
la plus complète possible de tous les contrôleurs hôtes USB, hubs racines USB
et ID d’appareil de hubs USB génériques disponibles pour éviter que vous ne
puissiez interagir avec votre système via des claviers et des souris.

9. Ouvrez la stratégie Appliquer l’ordre d’évaluation en couches pour autoriser et

empêcher les stratégies d’installation des appareils sur tous les critères de
correspondance des appareils et activez-la. Cette stratégie vous permet de
remplacer la large couverture de la stratégie « Empêcher » avec un appareil
spécifique.

Appliquer l’ordre en couches de la stratégie d’évaluation

10. Maintenant, ouvrez Autoriser l’installation des appareils qui correspondent à

l’une de ces stratégies d’ID d’appareil , puis sélectionnez la case d’option « Activer
».
 11. Dans le coin inférieur gauche, dans la fenêtre « Options », cliquez sur « Afficher... »
Boîte. Cette option vous permet d’accéder à une table dans laquelle vous pouvez
entrer l’identificateur d’appareil à autoriser.

12. Entrez la liste complète des ID de périphérique USB que vous avez trouvés ci-
dessus, y compris le lecteur USB spécifique que vous souhaitez autoriser pour
l’installation. USBSTOR\DiskGeneric_Flash_Disk______8.07

Liste des ID de périphérique USB autorisés

13. Cliquez sur « OK ».

14. Cliquez sur « Appliquer » en bas à droite de la fenêtre de la stratégie.

15. Pour appliquer la couverture « Empêcher » de tous les périphériques USB

actuellement installés, ouvrez à nouveau la stratégie Empêcher l’installation des
périphériques à l’aide de pilotes qui correspondent à ces classes d’installation de
périphérique . Dans la fenêtre « Options », cochez la case « Appliquer également
aux appareils correspondants qui sont déjà installés », puis cliquez sur « OK ».

Scénario de test 5
Vous ne devez pas être en mesure d’installer une clé USB, à l’exception de celle que
vous avez autorisée à utiliser.
Gérer l'application Paramètres avec la
stratégie de groupe
Article • 12/01/2024 • S’applique à: ✅ Windows 11, ✅ Windows 10

Vous pouvez gérer les pages affichées dans l’application Paramètres à l’aide de stratégie
de groupe. Lorsque vous utilisez stratégie de groupe pour gérer des pages, vous pouvez
masquer des pages spécifiques aux utilisateurs.

７ Notes

Pour utiliser les stratégies de groupe d’applications Paramètres sur Windows Server
2016, installez le correctif 4457127 ou une mise à jour cumulative ultérieure.
Chaque serveur que vous souhaitez gérer l’accès à l’application Paramètres doit
être corrigé.

Si votre organization utilise le Magasin central pour la gestion des stratégie de groupe,
pour gérer les stratégies, copiez les fichiers [Link] et [Link]
dans le dossier PolicyDefinitions.

Cette stratégie est disponible pour les configurations Utilisateur et Ordinateur.

Configuration de l’ordinateur>Modèles d’administration>>Panneau de

configuration Paramètres Visibilité de la page.
Configuration> utilisateurModèles d’administration>>Panneau de configuration
Paramètres Visibilité de la page.
Configuration du stratégie de groupe
Le stratégie de groupe peut être configuré de deux façons : spécifier une liste de pages
affichées ou spécifier une liste de pages à masquer. Pour ce faire, ajoutez ShowOnly : ou
Masquer : suivi d’une liste d’URI délimitées par des points-virgules dans Visibilité de la
page Paramètres. Pour obtenir la liste complète des URI, consultez la section De
référence sur le schéma d’URI dans Lancer l’application Paramètres Windows.

） Important

Lorsque vous spécifiez l’URI dans la zone de texte Visibilité de la page Paramètres,
n’incluez pas ms-settings : dans la chaîne.

Par exemple :
 Pour afficher uniquement les pages Ethernet et Proxy, définissez la zone de texte
Paramètres Visibilité de l’application sur ShowOnly :Network-Proxy ; Network-
Ethernet.
Pour masquer les pages Ethernet et Proxy, définissez la zone de texte Paramètres
Visibilité de l’application sur Masquer :Network-Proxy ; Network-Ethernet.

Commentaires
Cette page a-t-elle été utile ?  Yes  No

Indiquer des commentaires sur le produit

Modification de la stratégie de
suppression par défaut pour le support
de stockage externe dans Windows
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Windows définit deux stratégies de main, Suppression rapide et Meilleures

performances, qui contrôlent la façon dont le système interagit avec les périphériques
de stockage externes tels que les lecteurs USB ou les lecteurs externes compatibles Avec
Thunderbolt. À compter de Windows 10 version 1809, la stratégie par défaut est
Suppression rapide. Dans les versions antérieures de Windows, la stratégie par défaut
était De meilleures performances.

Vous pouvez modifier le paramètre de stratégie pour chaque appareil externe, et la

stratégie que vous définissez reste en vigueur si vous déconnectez l’appareil, puis le
reconnectez au même port d’ordinateur.

Plus d’informations
Vous pouvez utiliser le paramètre de stratégie de périphérique de stockage pour
modifier la façon dont Windows gère les périphériques de stockage afin de mieux
répondre à vos besoins. Les paramètres de stratégie ont les effets suivants :

Suppression rapide : cette stratégie gère les opérations de stockage de manière à

ce que l’appareil reste prêt à être supprimé à tout moment. Vous pouvez
supprimer l’appareil sans utiliser le processus Safely Remove Hardware. Toutefois,
pour ce faire, Windows ne peut pas mettre en cache les opérations d’écriture sur
disque. Cela peut dégrader les performances du système.
Meilleures performances : cette stratégie gère les opérations de stockage de
manière à améliorer les performances du système. Lorsque cette stratégie est en
vigueur, Windows peut mettre en cache les opérations d’écriture sur l’appareil
externe. Toutefois, vous devez utiliser le processus Safely Remove Hardware pour
supprimer le lecteur externe. Le processus Safely Remove Hardware protège
l’intégrité des données sur l’appareil en veillant à ce que toutes les opérations
mises en cache se terminent.

） Important

Si vous utilisez la stratégie Meilleures performances , vous devez utiliser le

processus Safely Remove Hardware pour supprimer l’appareil. Si vous supprimez ou
 déconnectez l’appareil sans suivre les instructions de suppression sécurisée, vous
risquez de perdre des données.

７ Notes

Si vous sélectionnez Meilleures performances, nous vous recommandons

également de sélectionner Activer la mise en cache des écritures sur l’appareil.

Pour modifier la stratégie d’un appareil de stockage externe :

1. Connectez l’appareil à l’ordinateur.

2. Cliquez avec le bouton droit sur Démarrer, puis sélectionnez Explorateur de

fichiers.

3. Dans Explorateur de fichiers, identifiez la lettre ou l’étiquette associée à l’appareil

(par exemple, Lecteur USB (D:)).

4. Cliquez avec le bouton droit sur Démarrer, puis sélectionnez Gestion des disques.

5. Dans la section inférieure de la fenêtre Gestion des disques, cliquez avec le bouton
droit sur l’étiquette de l’appareil, puis sélectionnez Propriétés.

6. Sélectionnez Stratégies.

７ Notes
 Certaines versions récentes de Windows peuvent utiliser une disposition
différente des onglets dans la boîte de dialogue propriétés du disque.

Si vous ne voyez pas l’onglet Stratégies , sélectionnez Matériel, sélectionnez

le lecteur amovible dans la liste Tous les lecteurs de disque , puis sélectionnez
Propriétés. L’onglet Stratégies doit maintenant être disponible.

7. Sélectionnez la stratégie que vous souhaitez utiliser.

Bibliothèques Windows
Article • 10/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

Les bibliothèques sont des conteneurs virtuels pour le contenu des utilisateurs. Une
bibliothèque peut contenir des fichiers et dossiers stockés sur l’ordinateur local ou dans
un emplacement de stockage distant. Dans Windows Explorer, les utilisateurs
interagissent avec les bibliothèques de la même manière qu’ils interagissent avec
d’autres dossiers. Les bibliothèques sont basées sur les dossiers connus hérités (tels que
Mes documents, Mes images et Ma musique) que les utilisateurs connaissent, et ces
dossiers connus sont automatiquement inclus dans les bibliothèques par défaut et
définis comme emplacement d’enregistrement par défaut.

Fonctionnalités pour les utilisateurs

Les bibliothèques Windows fournissent une recherche de contenu complète et des
métadonnées enrichies. Les bibliothèques offrent les avantages suivants aux utilisateurs :

Agréger le contenu de plusieurs emplacements de stockage en une seule

présentation unifiée.
Permettre aux utilisateurs d’empiler et de regrouper le contenu de la bibliothèque
en fonction des métadonnées.
Activez des recherches en texte intégral rapides sur plusieurs emplacements de
stockage, à partir de Windows Explorer ou du menu Démarrer.
Prise en charge des suggestions de recherche de filtres personnalisées, en fonction
des types de fichiers contenus dans la bibliothèque.
Permettre aux utilisateurs de créer des bibliothèques et de spécifier les dossiers
qu’ils souhaitent inclure.

Fonctionnalités pour les administrateurs

Les administrateurs peuvent configurer et contrôler les bibliothèques Windows selon les
méthodes suivantes :

Créez des bibliothèques personnalisées en créant et en déployant des fichiers de

description de bibliothèque (*.library-ms).
Masquez ou supprimez les bibliothèques par défaut. (Le nœud Bibliothèque lui-
même ne peut pas être masqué ou supprimé du volet de navigation windows
Explorer.)
Spécifiez un ensemble de bibliothèques disponibles pour l’utilisateur par défaut,
puis déployez ces bibliothèques sur les utilisateurs qui dérivent de l’utilisateur par
 défaut.
Spécifiez les emplacements à inclure dans une bibliothèque.
Supprimer un emplacement par défaut d’une bibliothèque.
Supprimez les fonctionnalités des bibliothèques avancées, lorsque l’environnement
ne prend pas en charge la mise en cache locale des fichiers, à l’aide des
fonctionnalités Désactiver les bibliothèques Windows qui s’appuient sur des
données de fichier indexées stratégie de groupe. Cette méthode rend toutes les
bibliothèques de base (voir Configuration requise pour l’indexation et
bibliothèques de base), supprime les bibliothèques de l’étendue de la recherche
dans le menu Démarrer et supprime d’autres fonctionnalités pour éviter la
confusion des utilisateurs et la consommation de ressources.

En savoir plus sur les bibliothèques

Les informations suivantes sont importantes dans le contexte des bibliothèques que
vous devrez peut-être comprendre pour gérer correctement votre entreprise.

Contenu de la bibliothèque
L’inclusion d’un dossier dans une bibliothèque ne déplace pas physiquement ou ne
modifie pas l’emplacement de stockage des fichiers ou dossiers ; la bibliothèque est une
vue de ces dossiers. Toutefois, les utilisateurs qui interagissent avec les fichiers d’une
bibliothèque copient, déplacent et suppriment eux-mêmes les fichiers, et non des copies
de ces fichiers.

Bibliothèques et dossiers connus par défaut

Les bibliothèques par défaut sont les suivantes :

Documents
Musique
Images
Vidéos

Les bibliothèques reposent sur les dossiers connus hérités (tels que Mes documents,
Mes images et Ma musique) que les utilisateurs connaissent. Ces dossiers connus sont
automatiquement inclus dans les bibliothèques par défaut et définis comme
emplacement d’enregistrement par défaut. Autrement dit, lorsque les utilisateurs
glissent, copient ou enregistrent un fichier dans la bibliothèque Documents, le fichier est
déplacé, copié ou enregistré dans le dossier Mes documents. Les administrateurs et les
utilisateurs peuvent modifier l’emplacement d’enregistrement par défaut.
Masquage des bibliothèques par défaut
Les utilisateurs ou les administrateurs peuvent masquer ou supprimer les bibliothèques
par défaut, bien que le nœud bibliothèques dans le volet de navigation ne puisse pas
être masqué ou supprimé. Il est préférable de masquer une bibliothèque par défaut
plutôt que de la supprimer, car des applications comme Lecteur multimédia Windows
s’appuient sur les bibliothèques par défaut et les recréent si elles n’existent pas sur
l’ordinateur. Pour obtenir des instructions, consultez Guide pratique pour masquer les
bibliothèques par défaut .

Emplacements d’enregistrement par défaut pour les

bibliothèques
Chaque bibliothèque a un emplacement d’enregistrement par défaut. Les fichiers sont
enregistrés ou copiés à cet emplacement si l’utilisateur choisit d’enregistrer ou de copier
un fichier dans une bibliothèque, plutôt qu’un emplacement spécifique dans la
bibliothèque. Les dossiers connus sont les emplacements d’enregistrement par défaut ;
Toutefois, les utilisateurs peuvent sélectionner un autre emplacement d’enregistrement.
Si l’utilisateur supprime l’emplacement d’enregistrement par défaut d’une bibliothèque,
l’emplacement suivant est automatiquement sélectionné comme nouvel emplacement
d’enregistrement par défaut. Si la bibliothèque est vide d’emplacements ou si tous les
emplacements inclus ne peuvent pas être enregistrés, l’opération d’enregistrement
échoue.

Exigences d’indexation et bibliothèques « de base »

Certaines fonctionnalités de bibliothèque dépendent du contenu des bibliothèques
indexées. Les emplacements de bibliothèque doivent être disponibles pour l’indexation
locale ou être indexés d’une manière conforme au protocole d’indexation Windows. Si
l’indexation n’est pas activée pour un ou plusieurs emplacements au sein d’une
bibliothèque, l’ensemble de la bibliothèque revient aux fonctionnalités de base :

Aucune prise en charge de la navigation dans les métadonnées via les vues
Organiser par .
Recherche grep uniquement.
Suggestions de recherche Grep uniquement. Les seules propriétés disponibles
pour les suggestions d’entrée sont Date de modification et Taille.
Aucune prise en charge de la recherche à partir du menu Démarrer. Les recherches
de menu Démarrer ne retournent pas les fichiers des bibliothèques de base.
Aucun aperçu des extraits de fichier pour les résultats de recherche retournés en
mode Contenu.
Pour éviter cette fonctionnalité limitée, tous les emplacements de la bibliothèque
doivent être indexables, localement ou à distance. Lorsque les utilisateurs ajoutent des
dossiers locaux aux bibliothèques, Windows ajoute l’emplacement à l’étendue
d’indexation et indexe le contenu. Les emplacements distants qui ne sont pas indexés à
distance peuvent être ajoutés à l’index local à l’aide de la synchronisation de fichiers
hors connexion. Cette fonctionnalité offre à l’utilisateur les avantages du stockage local,
même si l’emplacement est distant. La création d’un dossier « Toujours disponible hors
connexion » crée une copie locale des fichiers du dossier, ajoute ces fichiers à l’index et
synchronise les copies locales et distantes. Les utilisateurs peuvent synchroniser
manuellement des emplacements qui ne sont pas indexés à distance et qui n’utilisent
pas la redirection de dossiers pour bénéficier des avantages d’être indexés localement.

Pour obtenir des instructions sur l’activation de l’indexation, consultez Guide pratique
pour activer l’indexation des emplacements de bibliothèque.

Si votre environnement ne prend pas en charge la mise en cache des fichiers

localement, vous devez activer les fonctionnalités Désactiver les bibliothèques Windows
qui s’appuient sur les données de fichier indexées stratégie de groupe. Cette activation
rend toutes les bibliothèques de base. Pour plus d’informations, consultez stratégie de
groupe pour Windows Search, Parcourir et Organiser.

Redirection de dossiers
Bien que les fichiers de bibliothèque eux-mêmes ne puissent pas être redirigés, vous
pouvez rediriger les dossiers connus inclus dans les bibliothèques à l’aide de la
redirection de dossiers. Par exemple, vous pouvez rediriger le dossier « Mes documents
», qui est inclus dans la bibliothèque Documents par défaut. Lorsque vous redirigez des
dossiers connus, vous devez vous assurer que la destination est indexée ou toujours
disponible hors connexion afin de conserver toutes les fonctionnalités de la
bibliothèque. Dans les deux cas, les fichiers du dossier de destination sont indexés et
pris en charge dans les bibliothèques. Ces paramètres sont configurés côté serveur.

Emplacements de stockage pris en charge

Le tableau suivant indique les emplacements pris en charge dans les bibliothèques
Windows.

Emplacements pris en charge Emplacements non pris en charge

Volumes locaux fixes (NTFS/FAT) Lecteurs amovibles

 Emplacements pris en charge Emplacements non pris en charge

Partages indexés (serveurs de service*, PC Média amovible (par exemple, DVD)

d’accueil Windows)
Partages réseau accessibles via des espaces de
noms DFS ou faisant partie d’un cluster de
basculement

Partages disponibles hors connexion (dossiers Partages réseau qui ne sont pas disponibles hors
redirigés qui utilisent des fichiers hors connexion ou indexés à distance
connexion)
Appareils nas (Network Attached Storage)

Autres sources de données : SharePoint,

Exchange, etc.

* Pour les partages indexés sur un serveur de service, Windows Search fonctionne bien
dans un groupe de travail ou sur un serveur de domaine qui présente des
caractéristiques similaires à celles d’un serveur de groupe de travail. Par exemple, La
recherche Windows fonctionne bien sur un serveur de service de partage unique avec
les caractéristiques suivantes :

La charge maximale attendue est de quatre requêtes simultanées.

Le corpus d’indexation attendu est d’un million de documents au maximum.
Les utilisateurs accèdent directement au serveur. Autrement dit, le serveur n’est
pas mis à disposition via les espaces de noms DFS.
Les utilisateurs ne sont pas redirigés vers un autre serveur en cas de défaillance.
Autrement dit, les clusters de serveur ne sont pas utilisés.

Attributs de la bibliothèque
Les attributs de bibliothèque suivants peuvent être modifiés dans Windows Explorer, la
boîte de dialogue Gestion de bibliothèque ou le fichier Description de la bibliothèque
(*.library-ms) :

Nom
Emplacements des bibliothèques
Ordre des emplacements des bibliothèques
Emplacement d’enregistrement par défaut

L’icône de bibliothèque peut être modifiée par l’administrateur ou l’utilisateur en

modifiant directement le fichier de schéma Description de la bibliothèque. Pour plus
d’informations sur la création de fichiers de description de bibliothèque, consultez
Schéma de description de la bibliothèque.
Voir également

Concepts
Fonctionnalités de Recherche Windows
Fonctionnalités d’indexation Windows
Fonctionnalités de recherche fédérée
Guides pratiques d’administration
stratégie de groupe pour La recherche, la navigation et l’organisation Windows
Autres ressources pour La recherche, la navigation et l’organisation Windows

Autres ressources
Redirection de dossiers, fichiers hors connexion et profils utilisateurs itinérants
Schéma de description de la bibliothèque
Quelle version de Windows est-ce que
j’exécute ?
Article • 12/08/2023 • S’applique à: ✅ Windows 11, ✅ Windows 10

La build Long-Term Servicing Channel (LTSC, anciennement LTSB) de Windows ne

contient pas beaucoup d’applications intégrées, telles que Microsoft Edge, Microsoft
Store, Cortana (vous disposez de fonctionnalités de recherche limitées), Microsoft Mail,
Calendrier, OneNote, Météo, Actualités, Sports, Argent, Photos, Appareil photo, Musique
et Horloge. Il est important de se rappeler que le modèle LTSC est principalement
destiné aux appareils spécialisés.

Dans le canal de disponibilité générale, vous pouvez définir des mises à jour de
fonctionnalités dès que Microsoft les publie. Ce mode de maintenance est idéal pour les
déploiements pilotes et pour tester les mises à jour des fonctionnalités Windows, ainsi
que pour les utilisateurs comme les développeurs qui doivent immédiatement utiliser
les dernières fonctionnalités. Une fois que vous avez testé la dernière version, vous
pouvez choisir quand la déployer à grande échelle dans votre déploiement.

Pour déterminer si votre appareil est inscrit dans le canal de maintenance Long-Term ou
le canal de disponibilité générale, vous devez connaître la version de Windows que vous
exécutez. Il existe plusieurs façons de le comprendre. Chaque méthode fournit un
ensemble différent de détails. Il est donc utile d’en savoir plus sur toutes ces méthodes.

Propriétés système
Sélectionnez Démarrer>paramètres>Système, puis à propos de. Vous voyez ensuite les
informations sur l’édition, la version et la génération du système d’exploitation .
Utilisation de la recherche par mot clé
Vous pouvez taper ce qui suit dans la barre de recherche et appuyer sur Entrée pour
afficher les détails de la version de votre appareil.

« winver »:

« msinfo » ou « msinfo32 » pour ouvrir les informations système :

  Conseil

Vous pouvez également utiliser winver les commandes ou msinfo32 à l’invite de

commandes.

Utilisation de l’invite de commandes ou de

PowerShell
Dans PowerShell ou l’invite de commandes, tapez systeminfo | findstr /B /C:"OS
Name" /B /C:"OS Version" , puis appuyez sur Entrée

Dans PowerShell ou l’invite de commandes, tapez slmgr /dlv , puis appuyez sur
Entrée. La commande /dlv affiche les informations de licence détaillées. Notez que
la sortie affiche « EnterpriseS » comme illustré dans l’image suivante :
Résolution des problèmes du client
Windows
Cette bibliothèque fournit des solutions permettant aux professionnels de l’informatique
de dépanner et de prendre en charge les appareils exécutant des systèmes
d’exploitation clients Windows dans un environnement serveur. Pour vous offrir le
contenu le plus précis possible, cette bibliothèque est gérée par une équipe qui travaille
directement avec le groupe de produits Windows et les professionnels du support
technique.

Identité et accès

ｃ GUIDE PRATIQUE

Active Directory

Stratégie de groupe

UserProfiles et ouverture de session

Mise en réseau

ｃ GUIDE PRATIQUE

Mise en réseau

Stockage et haute disponibilité

ｃ GUIDE PRATIQUE

Sauvegarde et stockage

Disponibilité élevée

Virtualisation

Expérience de l’utilisateur
ｃ GUIDE PRATIQUE

Application Virtualization (App-V)

Gestion des applications

Impression

Services Bureau à distance

Composants de gestion du système

UE-V

Performances Windows

ｃ GUIDE PRATIQUE

Performances

Expérience shell

Sécurité Windows

ｃ GUIDE PRATIQUE

Sécurité Windows

Gestion

ｃ GUIDE PRATIQUE

développement Administration

Utilitaires de résolution des problèmes Windows

Utilitaires de résolution des problèmes Windows

ｃ GUIDE PRATIQUE
Utilitaires de résolution des problèmes actifs et mis hors service pour Windows 10