Lab Intune — Data Roaming

Le Data Roaming désigne l'utilisation des données mobiles en dehors du réseau de l'opérateur principal — typiquement lors de déplacements à l'étranger. Sans politique Intune, un collaborateur à l'étranger peut générer des coûts hors forfait considérables.

✓ Data Roaming autorisé

Accès aux apps M365 en toute mobilité
Continuité de service sans action utilisateur
Pertinent pour les équipes commerciales internationales
Risque de coûts élevés si hors forfait

✗ Data Roaming bloqué

Maîtrise totale des coûts de téléphonie
Conforme aux politiques de nombreuses entreprises
L'utilisateur doit utiliser le Wi-Fi à l'étranger
Certains services mobiles indisponibles hors Wi-Fi

⚠ Le blocage du Data Roaming ne remplace pas un contrat opérateur adapté. Un appareil peut toujours émettre/recevoir des appels et SMS selon le type de roaming. Intune agit uniquement sur la couche données.

La disponibilité du paramètre Data Roaming dans Intune varie selon la plateforme et le mode d'inscription. Vérifiez la compatibilité avant de déployer.

Android Enterprise (COPE)

Android Enterprise (COBO)

iOS / iPadOS supervisé

iOS non supervisé (limité)

Android Device Admin (déprécié)

Windows 10/11 (avec SIM/eSIM)

ℹ Pour iOS/iPadOS, la gestion complète du Data Roaming nécessite un appareil supervisé (Apple Configurator ou ADE/ABM). Sur un appareil non supervisé, certains paramètres sont ignorés silencieusement par le système.

ℹ Windows 10/11 supporte le blocage du Data Roaming via le CSP Connectivity/AllowCellularDataRoaming (OMA-URI ou Settings Catalog), mais uniquement sur les appareils équipés d'une SIM ou eSIM (PC connectés, Surface Pro LTE, etc.).

La procédure diffère légèrement entre Android Enterprise et iOS. Naviguez entre les onglets pour consulter la configuration adaptée à votre parc.

Sur Android Enterprise, le paramètre se trouve dans un profil de configuration de type Device Restrictions. La configuration passe par l'interface native du portail — pas par OMA-URI custom.

intune.microsoft.com› Devices› Configuration› Create› Android Enterprise› Device Restrictions

Paramètre cible : Cellular → Roaming data services → Block

// Paramètres disponibles dans la section Cellular du profil
Roaming data services :  Block   ← données mobiles en itinérance
Voice roaming :           Not configured  ← configurable indépendamment

    

ℹ Sur Android Enterprise COPE, le paramètre affecte uniquement le profil de travail. Le profil personnel de l'utilisateur n'est pas contrôlé par Intune. Il n'existe pas d'OMA-URI natif Android pour ce paramètre — l'UI Device Restrictions est la bonne méthode.

Sur iOS/iPadOS, Intune ne propose pas un simple toggle global de Data Roaming. Le blocage passe par les Cellular usage rules dans le profil Device Restrictions, qui s'appliquent aux apps gérées.

intune.microsoft.com› Devices› Configuration› Create› iOS/iPadOS› Device Restrictions

Paramètre cible : Cellular → Cellular usage rules (managed apps only)

// Dans la section "Cellular usage rules" du profil Device Restrictions
Block use of cellular data when roaming :
  All managed apps   ← bloque toutes les apps gérées Intune
  — OU —
  Choose specific apps ← granularité par app (Outlook, Teams...)

// Paramètre complémentaire disponible (supervisé recommandé)
Voice roaming : Block  ← indépendant du Data Roaming

    

⚠ Les Cellular usage rules s'appliquent uniquement aux apps gérées par Intune. Les apps personnelles ou hors périmètre MDM ne sont pas affectées. Pour un blocage système complet, un appareil supervisé via ADE/ABM est requis.

Sur Windows 10/11, le Data Roaming se contrôle via le CSP Connectivity/AllowCellularDataRoaming, déployable par OMA-URI custom ou via le Settings Catalog. Ne s'applique qu'aux appareils avec SIM ou eSIM.

intune.microsoft.com› Devices› Configuration› Create› Windows 10 and later› Custom (OMA-URI)

Paramètre OMA-URI : Connectivity/AllowCellularDataRoaming

// Profil Custom OMA-URI — Windows 10/11
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowCellularDataRoaming
Type:    Integer
Valeur:  0  // 0 = bloqué (user ne peut pas activer)
           1  // 1 = autorisé (défaut)
           2  // 2 = autorisé, l'utilisateur ne peut pas désactiver

    

ℹ Ce CSP est également disponible dans le Settings Catalog sous Connectivity → Allow Cellular Data Roaming. La méthode Settings Catalog est préférable car elle offre une meilleure visibilité dans les rapports Intune.

Suivez les étapes pour créer et déployer un profil de restriction Data Roaming sur vos appareils Android Enterprise depuis le portail Intune.

1

Accéder au portail Intune

Rendez-vous sur intune.microsoft.com et authentifiez-vous avec un compte disposant du rôle Intune Administrator ou Policy and Profile Manager.

intune.microsoft.com› Devices› Configuration

Cliquez sur + Create puis + New policy.

2

Choisir la plateforme et le profil

Dans la fenêtre de création :

Platform : Android Enterprise
Profile type : Device Restrictions
Cliquez sur Create

ℹ Choisissez Fully Managed, Dedicated, and Corporate-Owned Work Profile si vos appareils sont en mode COPE/COBO. Pour les profils de travail personnels (BYOD), sélectionnez Personally Owned Work Profile.

3

Configurer le paramètre Data Roaming

Dans l'onglet Configuration settings, dépliez la section Cellular.

Data roaming : Block (ou Allow selon la politique)
Optionnel : Voice roaming : configurable indépendamment
Optionnel : SMS roaming : configurable indépendamment

⚠ Ne configurez que les paramètres que vous souhaitez forcer. Laisser un paramètre sur Not configured signifie qu'Intune ne l'applique pas et que la valeur utilisateur reste intacte.

4

Assigner le profil

Dans l'onglet Assignments, définissez les groupes cibles.

Included groups : sélectionnez le groupe d'appareils ou d'utilisateurs concernés
Excluded groups : excluez les appareils exemptés (ex : directions commerciales internationales)

ℹ Préférez les groupes d'appareils (Device groups) pour les politiques de Data Roaming. Les groupes utilisateurs peuvent poser des problèmes si un utilisateur change d'appareil — la politique s'appliquerait à l'ancien appareil jusqu'à la prochaine synchronisation.

5

Vérifier l'application du profil

Après déploiement, vérifiez l'état depuis Intune et sur l'appareil.

Portail : Devices › [appareil] › Device configuration → Statut Succeeded
Appareil Android : Paramètres › Réseau › SIM/Données mobiles → Roaming données grisé
Délai : la synchronisation peut prendre jusqu'à 8 heures. Forcer via Sync dans Intune pour un test immédiat

ℹ En cas de statut Error ou Conflict, vérifiez qu'un autre profil de configuration n'applique pas un paramètre contradictoire. L'onglet Per setting status dans le profil détaille les conflits paramètre par paramètre.

Testez les combinaisons de paramètres pour visualiser le comportement attendu sur l'appareil et les coûts associés.

Sélectionnez la politique Intune appliquée sur l'appareil :

🚫 Données mobiles en roaming — BLOQUÉES

L'appareil peut se connecter au réseau de l'opérateur local mais Intune bloque l'accès aux données mobiles en itinérance. L'utilisateur voit le roaming données grisé dans les paramètres. Le Wi-Fi reste fonctionnel.

Validez votre compréhension du Data Roaming avec Intune. 5 questions, style examen MD-102.

1. Quel type de profil Intune permet de bloquer le Data Roaming sur Android Enterprise ?

2. Sur iOS non supervisé, que se passe-t-il lorsqu'Intune pousse un profil bloquant le Data Roaming ?

3. Sur Windows 10/11, quelle valeur du CSP AllowCellularDataRoaming bloque le roaming données et empêche l'utilisateur de le réactiver ?

4. Pour une politique de Data Roaming, quel type de groupe est recommandé pour l'assignation ?

5. Quel statut dans Intune indique qu'un paramètre d'un profil est en conflit avec un autre profil appliqué au même appareil ?