0%
← Accueil
⚙️ Microsoft Intune · Lab 3/15

Profils de configuration

Admin IT PME : Configurer appareils, Wi-Fi, VPN, restrictions et paramètres avancés

⏱ 30–35 min 📊 Intermédiaire 🎯 intune.microsoft.com 📦 Module 4
🕐 Contenu vérifié le 21 juin 2026 documentation Microsoft Intune : Device Configuration

🗂️ Scénario terrain

Les 72 postes d'Argos Consulting sont maintenant inscrits dans Intune. Mais ils ne reçoivent encore aucune configuration. Tu dois maintenant créer les profils qui vont : connecter les postes au Wi-Fi d'entreprise, déployer le VPN pour les télétravailleurs, interdire l'accès aux clés USB non autorisées, et configurer des paramètres avancés via OMA-URI pour quelques cas spécifiques que le Settings Catalog ne couvre pas encore.

💡 Un profil de configuration est un ensemble de paramètres que tu crées dans Intune et que tu affectes à des groupes d'utilisateurs ou d'appareils. Les appareils reçoivent ces settings lors du prochain check-in (typiquement toutes les 8h, ou forcé via "Sync").
1
Les types de profils : vue d'ensemble

Intune propose deux approches de création : Settings Catalog (recommandé) et Templates (groupements logiques). Clique sur chaque type de profil pour en savoir plus.

🗂️ Settings Catalog

Toutes les settings en un seul endroit. Remplace progressivement les Templates.

🔒 Device Restrictions

Bloquer caméra, USB, App Store, Bluetooth, capture d'écran…

📶 Wi-Fi

Déployer la config Wi-Fi d'entreprise sans intervention utilisateur.

🔐 VPN

Profil de connexion VPN automatique pour les télétravailleurs.

📧 Email

Configurer Exchange ActiveSync sur iOS/Android sans action utilisateur.

🏆 Certificats

SCEP / PKCS pour authentification Wi-Fi, VPN, S/MIME.

🔧 Custom (OMA-URI)

Settings non built-in : accès direct aux CSP Windows.

📋 ADMX (GPO cloud)

Importer des templates ADMX tiers via le Settings Catalog.

    2
    Settings Catalog : simulateur interactif

    Le Settings Catalog liste toutes les settings Intune en un seul endroit : similaire aux GPO mais cloud-native. Navigue par catégorie et ajoute des settings à ton profil.

    ⚙️ Settings Catalog : Nouveau profil Windows
    💡 Settings Catalog vs Templates : le Settings Catalog expose toutes les settings (y compris des milliers non disponibles dans les templates). Les Templates (Email, Wi-Fi, VPN…) restent disponibles et utiles pour des cas simples guidés. Les Administrative Templates (ADMX) sont deprecated depuis décembre 2024 → utiliser le Settings Catalog à la place.
    3
    Device Restrictions : cas pratiques

    Objectif : interdire l'utilisation des clés USB non autorisées sur les postes Windows d'Argos. Via Settings Catalog, chemin :

    # Settings Catalog → Windows →
    Device Control → Allow Storage Card → Block
    # Ou via OMA-URI :
    ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard → Integer → 0
    ⚠️ Ce setting bloque tous les périphériques de stockage amovibles. Pour un blocage sélectif (autoriser certains modèles), utilise les politiques Device Control de Microsoft Defender for Endpoint (Lab 9).

    Objectif : désactiver la caméra sur les iPhones des commerciaux en zone sensible.

    Chemin Intune (iOS/iPadOS) :
    Device Configuration → Templates → Device Restrictions → Built-in Apps
    → Camera → Block
    💡 Sur iOS supervisé (ADE/ABM), Intune peut bloquer la caméra de façon permanente. Sur iOS non supervisé (BYOD), le blocage est limité : l'utilisateur peut le contourner depuis les réglages système.

    Objectif : interdire les captures d'écran sur les appareils Android des consultants accédant à des données confidentielles.

    Via App Protection Policy (MAM) :
    Apps → App Protection Policies → Android → Screen capture → Block

    Ou via Device Restrictions (MDM Android Enterprise) :
    Device Configuration → Templates → Device Restrictions → General → Screen capture → Block
    ✅ La MAM App Protection Policy couvre aussi les appareils BYOD non inscrits : utile pour les stagiaires.

    Objectif : empêcher l'installation d'apps depuis le Microsoft Store sur les postes Windows corporate.

    # Settings Catalog → Windows →
    Microsoft App Store → Require Private Store Only → Enabled
    # Alternative OMA-URI :
    ./Vendor/MSFT/Policy/Config/ApplicationManagement/RequirePrivateStoreOnly → Integer → 1
    💡 RequirePrivateStoreOnly force le Store à n'afficher que les apps de ton catalogue privé d'entreprise : les apps publiques ne sont plus visibles mais pas désinstallées.
    4
    Paramètres personnalisés : OMA-URI

    Quand un paramètre n'est pas disponible dans le Settings Catalog, tu peux accéder directement aux CSP (Configuration Service Providers) Windows via OMA-URI. Construis un exemple ci-dessous.

    Exemples rapides :

    // Paramètre personnalisé : Profil Intune Windows
    ⚠️ Attention : un OMA-URI mal renseigné peut provoquer un comportement inattendu sur les appareils. Toujours tester sur un groupe pilote avant un déploiement large. Vérifier le chemin CSP dans la documentation CSP Microsoft.
    5
    Affectation : groupes et filtres

    Une fois le profil créé, tu dois l'affecter à des groupes Entra ID. Les filtres d'affectation permettent d'affiner le ciblage sans créer de nouveaux groupes.

    ⚙️
    Créer le profil de config dans Intune
    👥
    Affecter à un groupe Entra ID (users ou devices)
    🔍
    Optionnel : ajouter un filtre d'affectation
    📤
    Les appareils éligibles reçoivent le profil au prochain check-in

    🔍 Constructeur de filtre d'affectation

    Les filtres permettent de cibler des appareils selon leurs propriétés (OS, fabricant, version) sans créer de groupe dédié. Construis un filtre ci-dessous.

    Résultat :
    💡 Groupes vs Filtres : les groupes Entra ID déterminent qui reçoit le profil. Les filtres affinent dynamiquement quels appareils dans ce groupe y sont éligibles : sans précomputer la membership de groupe. Les filtres sont évalués à chaque check-in de l'appareil.
    6
    Quiz de validation
    Question 1 : Fondamentale

    Tu veux configurer des milliers de paramètres Windows sur tes postes Intune. Quelle approche Microsoft recommande-t-elle en 2026 ?

    Merci de sélectionner une réponse.
    Question 2 : Fondamentale

    Tu veux déployer la config Wi-Fi d'entreprise sur tous les iPhones des commerciaux sans qu'ils aient à saisir le mot de passe. Quel type de profil Intune utilises-tu ?

    Merci de sélectionner une réponse.
    Question 3 : Fondamentale

    Quel est le rôle d'un filtre d'affectation dans Intune ?

    Merci de sélectionner une réponse.
    Question 4 : Fondamentale

    Quand utilises-tu un paramètre OMA-URI personnalisé dans Intune ?

    Merci de sélectionner une réponse.
    ⭐⭐ Question 5 : Avancée

    Tu veux appliquer un profil de configuration uniquement aux postes Windows 11 corporates dans ton groupe "Tous les postes", en excluant les postes Windows 10 et les appareils BYOD. Sans créer de nouveau groupe Entra. Quelle solution ?

    Merci de sélectionner une réponse.
    ⭐⭐ Question 6 : Avancée

    Les Administrative Templates (ADMX) dans les Templates Intune sont deprecated depuis décembre 2024. Comment dois-tu désormais configurer les paramètres ADMX/GPO dans Intune ?

    Merci de sélectionner une réponse.

    Sources : Device Configuration · Settings Catalog · Filtres d'affectation · OMA-URI

    Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.