0%

📌 Progression restaurée, tu reprends où tu t'es arrêté(e).

← Accueil
☁️ Windows 365 + Monitoring · Modules 17 & 18

Windows 365 Cloud PC & Monitoring Intune

Admin IT / Architecte Modern Workplace : Provisioning Cloud PC, réseau, actions distantes, rapports et Graph API

⏱ 25–35 min 📊 Intermédiaire → Avancé 🎯 Devices → Cloud PCs · Reports → Device compliance 🔢 Lab 14 / 15
🕐 Contenu vérifié le 21 juin 2026 Windows 365 Device Management · Windows 365 Requirements · Rapports Intune
💻 MODULE 17 : Windows 365 Cloud PC
0
Contexte : Argos adopte le Cloud PC pour ses consultants nomades
😓

Problème

Les 20 consultants itinérants d'Argos utilisent des laptops personnels ou des postes partagés dans les locaux clients. Impossible de garantir la conformité, les données restent sur des disques locaux non chiffrés.

☁️

Solution Windows 365

Chaque consultant reçoit un Cloud PC Windows 11 hébergé dans le datacenter Microsoft. Accessible depuis n'importe quel appareil (navigateur, application). Géré comme un PC physique via Intune : même politiques, même conformité.

🏢

SKU retenu

  • ☁️ Windows 365 Enterprise
  • 🖥️ 2 vCPU / 8 Go RAM / 128 Go SSD
  • 🌐 Microsoft-hosted network
  • 🔐 Entra ID join (pas d'AD on-premises)
  • 📋 Licences : M365 E3 + Windows 365
💡 Windows 365 Enterprise vs Flex : Enterprise = 1 Cloud PC dédié par utilisateur, toujours allumé (facturation mensuelle fixe). Flex (ex-Frontline) = Cloud PCs partagés dans un pool, idéal pour travailleurs en équipes. Note : le rebrand Frontline → Flex est en cours dans l'UI Intune (juin 2026).
1
Licences & prérequis : Ce qu'il faut avant de provisionner
LICENCES PAR UTILISATEUR
Windows E3✓ Requis
Microsoft Intune (Plan 1)✓ Requis
Microsoft Entra ID P1✓ Requis
Windows 365 Enterprise✓ Requis
→ M365 E3 inclut Windows E3 + Intune + Entra P1 (pack simplifié)
PRÉREQUIS TECHNIQUES
✓ Tenant Intune + Entra valides
✓ Enrollment restriction Windows MDM = Allow
✓ Entra join + Microsoft-hosted network : pas d'Azure requis
⚠ Réseau propre (ANC) : abonnement Azure requis
⚠ Hybrid Entra join : AD on-premises + auto-hybrid join configuré
RÔLES RBAC REQUIS
Windows 365 Administrator
Rôle dédié : gère Enterprise et Business. Moins de droits que Global Admin. Recommandé pour les équipes IT.
Intune Administrator
Rôle Entra alternatif. Donne accès complet à Intune + Windows 365 Enterprise. Déjà présent dans la plupart des tenants.
2
Réseau : Microsoft-hosted vs Azure Network Connection

Clique sur un type de réseau pour voir ses prérequis et son architecture.

🌐
Microsoft-hosted network
Argos Enterprise · Option recommandée
🔌
Azure Network Connection (ANC)
Pour accès ressources on-premises
↑ Sélectionne un type de réseau pour voir les détails.
⚠️ Microsoft Entra Domain Services non supporté pour Windows 365. Il ne supporte pas l'Hybrid Entra join. Si vous avez besoin de joindre un AD on-premises, vous devez avoir un Active Directory "réel" (AD DS sur Windows Server) avec Azure AD Connect configuré.
3
Créer une Provisioning Policy : Stepper

Étape 1 : Nom et description de la policy

Devices → Cloud PCs → Provisioning policies → Create policy

Exemple Argos :
Nom : W365-Consultants-Nomades
Description : Cloud PC 2vCPU/8GB/128GB pour consultants itinérants
Type : Windows 365 Enterprise
💡 Le nom de la provisioning policy apparaît dans la colonne "Provisioning policy" de la vue All Cloud PCs. Adopter une convention de nommage claire : W365-[Profil]-[Réseau]
1 / 6

Étape 2 : Choisir l'image Windows

Gallery Image (recommandé)
  • ✓ Images Microsoft officelles
  • ✓ Windows 11 Enterprise + Microsoft 365 Apps
  • ✓ Mises à jour régulières par Microsoft
  • ✓ Pas de stockage Azure requis
Custom Image
  • ✓ Image Windows syspreppée personnalisée
  • ✓ Logiciels pré-installés
  • ⚠ Stockée dans Azure Compute Gallery
  • ⚠ Abonnement Azure requis
Argos : Gallery image : Windows 11 Enterprise + Microsoft 365 Apps 23H2 simple, toujours à jour, pas d'Azure Storage requis.
2 / 6

Étape 3 : Configurer le réseau

✓ Microsoft-hosted network (Argos)
  • → Aucun Azure requis
  • → Entra join automatique
  • → Pas d'accès aux ressources on-premises
  • → Accès Internet via Microsoft backbone
Azure Network Connection
  • → VNet Azure connecté à ton AD
  • → Hybrid Entra join ou Entra join
  • → Accès aux shares, imprimantes, apps internes
  • → Abonnement Azure requis
3 / 6

Étape 4 : Région Azure

La région détermine où le Cloud PC est hébergé physiquement. Choisir la région la plus proche des utilisateurs pour minimiser la latence.

Argos (consultants en France/Europe) :
✓ France Central (West Europe) UK South North Europe (Irlande) West Europe (Pays-Bas)
💡 Windows 365 Enterprise supporte le multi-region selection : tu sélectionnes une géographie → un group de régions → une région. Si une région est indisponible, Windows 365 peut basculer automatiquement sur une région de secours du même groupe.
4 / 6

Étape 5 : Assignment : Cibler les utilisateurs

La provisioning policy s'assigne à un groupe Entra ID (security group ou M365 group).

Exemple Argos :
→ Groupe : GRP-W365-Consultants (groupe de sécurité Entra)
→ 20 consultants membres du groupe
→ La licence Windows 365 Enterprise doit aussi être assignée à ce groupe (ou directement aux utilisateurs)
→ Quand un utilisateur rejoint le groupe ET a la licence → Cloud PC provisionné automatiquement
⚠️ Si un utilisateur perd sa licence OU est retiré du groupe → son Cloud PC entre en grace period (7 jours). Il garde l'accès 7 jours, puis perd définitivement l'accès et le Cloud PC est déprovisionné. Tu as 7 jours pour corriger l'erreur.
5 / 6

Étape 6 : Review & Provisioning

Récapitulatif Provisioning Policy : Argos
NomW365-Consultants-Nomades ImageWindows 11 Enterprise + M365 Apps 23H2 (Gallery) RéseauMicrosoft-hosted network Join typeMicrosoft Entra join RégionFrance Central (West Europe) AssignmentGRP-W365-Consultants (20 utilisateurs)
✓ Après création, Intune déclenche le provisioning pour tous les utilisateurs du groupe ayant une licence Windows 365. Statut initial : Provisioning → passe à Provisioned en 30–60 min environ.
6 / 6 ✓
4
Statuts Cloud PC & Actions distantes

Statuts : Clique sur un statut pour voir ce qu'il signifie

Provisioned
Cloud PC actif
Utilisateur peut se connecter
In grace period
Période de grâce
7 jours avant suppression
Not provisioned
Sans policy
Licence ok, pas de policy
Failed
Échec provisioning
Cliquer pour détails
Pending
En attente
Licences insuffisantes
Provisioned w/ warnings
Averti
Accès ok, non-critique
↑ Clique sur un statut pour le détail.

Actions distantes : Clique pour simuler

📊 MODULE 18 : Monitoring Intune & Graph API
5
Les 4 types de rapports Intune
📋 Opérationnel Données ciblées et actuelles · Pour l'action immédiate · Public : Helpdesk, admins · Pas de bouton "Generate" requis
Noncompliant devicesOperational
Navigation : Devices → Monitor → Noncompliant devices
Affiche les appareils non conformes avec les settings en erreur, le code d'erreur, la policy non conforme. Filtre par OS, conformité, setting. Drill-down par appareil.
Policy noncomplianceOperational
Navigation : Devices → Monitor → Policies with noncompliant and error devices
Vue par policy : combien d'appareils sont non conformes à chaque policy. Idéal pour identifier les policies problématiques.
CertificatesOperational
Navigation : Devices → Monitor → Certificates
Thumbprint, dates d'expiration, statut. Essentiel pour surveiller les certificats SCEP/PKCS déployés via Intune.
🏢 Organisationnel Vue agrégée large · Pour les managers/directeurs · Nécessite le bouton Generate report pour rafraîchir
Device complianceOrganizational
Navigation : Reports → Device compliance → Reports tab → Device compliance
Vue globale de la conformité : tous les statuts de conformité pour tous les appareils. Filtres : Compliance status, OS, Ownership. Clique sur "Generate report" pour obtenir les données actualisées.
Devices without compliance policyOrganizational : Attention
Navigation : Reports → Device compliance → Reports tab → Devices without compliance policy
⚠️ Point critique : par défaut Intune marque les appareils sans policy comme Compliant. Ce rapport identifie ces appareils. Recommandation : configurer le setting tenant "Mark devices with no compliance policy as Not compliant".
Settings complianceOrganizational
Navigation : Reports → Device compliance → Reports tab → Settings compliance
Par setting : Compliant / Noncompliant / Not evaluated / Not applicable / Conflict. Drill-down pour voir quels appareils sont en erreur sur un setting spécifique.
📈 Historique Tendances sur 30 jours · Pour les décisions long terme · Graphiques de tendance
Device compliance trendsHistorical
Navigation : Reports → Device compliance → Reports tab → Device compliance trends
Affiche l'évolution de la conformité sur 30 jours. Identifier quand un pic de non-conformité s'est produit (ex: déploiement d'une policy trop stricte). Utile pour les décisions d'investissement et l'amélioration continue.
🔬 Specialist Raw data · Rapports custom · Export via Graph API · Pour les admins data
Export via Graph APISpecialist
Endpoint : POST https://graph.microsoft.com/v1.0/deviceManagement/reports/exportJobs
Utiliser le reportName dans le body. Format : CSV ou JSON. Exemples de reportName : DeviceCompliance, AppStatusOverview, FailedAppCounts, TopFailedMobileApps.
Throttling Graph APILimites
· 100 requêtes/minute/tenant
· 8 req/min si initié par un utilisateur
· 48 req/min si initié par une application
→ Implémenter un retry with exponential backoff dans les scripts d'automatisation.
6
Graph API : Exporter et interroger Intune
PowerShell : Exporter un rapport Intune via Graph API
# Authentification avec un token (app registration ou Connect-MgGraph) Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All" # Créer un job d'export : rapport de conformité des appareils $body = @{ reportName = "DeviceCompliance" format = "csv" filter = "" } | ConvertTo-Json $job = Invoke-MgGraphRequest -Method POST \ -Uri "https://graph.microsoft.com/v1.0/deviceManagement/reports/exportJobs" \ -Body $body -ContentType "application/json" # Attendre la complétion (status: completed) do { Start-Sleep -Seconds 5 $status = Invoke-MgGraphRequest -Method GET \ -Uri "https://graph.microsoft.com/v1.0/deviceManagement/reports/exportJobs/$($job.id)" } while ($status.status -ne "completed") # Télécharger le fichier CSV depuis l'URL de téléchargement Invoke-WebRequest -Uri $status.url -OutFile "C:\Reports\intune-compliance.csv"
PowerShell : Lire les audit logs Intune via Graph API
# Récupérer les 50 derniers audit logs Intune (Tenant administration → Audit logs) $auditLogs = Invoke-MgGraphRequest -Method GET \ -Uri "https://graph.microsoft.com/v1.0/deviceManagement/auditEvents?`$top=50&`$orderby=activityDateTime desc" $auditLogs.value | Select-Object activityDateTime, activityType, activityResult, @{n='Actor';e={$_.actor.userPrincipalName}}, @{n='Resource';e={$_.resources[0].displayName}} | Format-Table -AutoSize
💡 Audit logs Intune : accessibles aussi dans la console via Tenant administration → Audit logs. Chaque action (création de policy, modification, suppression, enrollment…) est journalisée avec : source, catégorie, date, acteur (UPN), résultat. Rétention : 30 jours dans la console, indéfini via Log Analytics.
7
Quiz de validation : Windows 365 & Monitoring
Argos veut provisionner des Cloud PCs pour ses consultants sans abonnement Azure. Quel type de réseau doit utiliser la Provisioning Policy, et quel type de join Entra est alors obligatoire ?
Un consultant Argos est retiré par erreur du groupe Entra "GRP-W365-Consultants". Que se passe-t-il pour son Cloud PC, et quelle est la fenêtre de récupération ?
L'équipe Helpdesk d'Argos veut voir en temps réel les appareils Windows non conformes pour les contacter. Quel type de rapport Intune et quel chemin de navigation doit-elle utiliser ?
Quel est le paramètre Intune à surveiller concernant les appareils sans politique de conformité assignée, et quel est le risque par défaut ?
⭐⭐Le RSSI d'Argos veut automatiser l'export hebdomadaire du rapport de conformité Intune vers un SharePoint. Il utilise un Azure Automation Runbook qui appelle Graph API. Quelle limite de throttling doit-il gérer, et quel est l'endpoint correct pour déclencher l'export ?
⭐⭐Argos déploie Windows 365 Enterprise avec Microsoft-hosted network. Un Cloud PC est en statut "Not provisioned" pour l'utilisateur jean.dupont@argos.fr qui a la licence Windows 365 Enterprise. Quelle est la cause la plus probable ?

Sources : Windows 365 Device Management · Windows 365 Requirements · Rapports Intune

Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.