Exporter (0) Imprimer
Développer tout

Planification relative à la stratégie de groupe à l'aide de Windows Intune

Mis à jour: novembre 2013

S'applique à: Windows Intune

Puisque quelques configurations gérées par Windows Intune sont gérées également par la Stratégie de groupe, des conflits d'application de la stratégie peuvent se produire sur les ordinateurs ciblés par les deux systèmes. Cette rubrique décrit les méthodes recommandées pour éviter les conflits de stratégie.

Planification du déploiement dans les entreprises gérées à l'aide d'une stratégie de groupe

Windows Intune offre la fonction de gestion des stratégies dans l'espace de travail Stratégie. La gestion des stratégies, comme implémentée dans cette version de Windows Intune, n'est pas liée à la Stratégie de groupe. Bien que les deux systèmes de gestion de stratégie visent au même objectif, leurs étendues de gestion varient et elles fonctionnent indépendamment dans cette version de Windows Intune.

La stratégie de groupe au niveau du domaine a typiquement la priorité sur la stratégie Windows Intune, à moins qu'un ordinateur client lié au domaine ne puisse pas se connecter au contrôleur de domaine. Si la connexion au contrôleur de domaine n'est pas disponible, la stratégie Windows Intune est appliquée à l'ordinateur client.

ImportantImportant
Pour veiller à ce que les ordinateurs Windows Intune reçoivent les mises à jour approuvées par l'administrateur dans la Console Administrateur Windows Intune, les paramètres de stratégie de groupe Windows Server Update Services (WSUS) Spécifier l’emplacement intranet du service de mise à jour Microsoft ne s'appliquent pas aux ordinateurs enregistrés avec Windows Intune.

Pour éviter les conflits de stratégie qui peuvent se produire à cause de systèmes de gestion de stratégies en compétition, nous recommandons aux administrateurs qui déploient le logiciel client Windows Intune de s'assurer que les ordinateurs client gérés par la stratégie Windows Intune ne soient pas également commandés par la Stratégie de groupe pour les mêmes paramètres de configuration.

Les trois options de déploiement suivantes peuvent vous aider à éviter les problèmes de gestion des stratégies sur les ordinateurs client que vous souhaitez gérer à l'aide de Windows Intune.

Option 1 : Isolez les ordinateurs inscrits au service de la stratégie de groupe en les déplaçant à une nouvelle unité d'organisation

Si possible, restructurez la hiérarchie de l'unité d'organisation (OU) pour isoler les ordinateurs inscrits au Windows Intune dans une ou plusieurs OU séparées qui ne sont pas modifiables par les paramètres de stratégie de groupe en compétition. L'organisation de la hiérarchie d'OU simplifie donc la gestion des stratégies pour permettre aux OU Windows Intune d'être ciblées uniquement par les paramètres de stratégie spécifiques.

Avant d'installer le logiciel client Windows Intune dans votre entreprise, créez ou déplacez les ordinateurs clients que vous voulez gérer à l'aide de Windows Intune dans une unité d'organisation répondant aux conditions décrites dans cette section.

Pour plus d'informations sur la création d'une unité d'organisation sur les contrôleurs de domaine exécutant Windows Server 2003, voir Créer une nouvelle unité d'organisation sur le site Web Microsoft. Pour plus d'informations sur la création d'une unité d'organisation sur les contrôleurs de domaine exécutant Windows Server 2008, voir Créer une unité d'organisation sur le site Web Microsoft.

Bloquez l'héritage de la stratégie de groupe sur les OU contenant les ordinateurs inscrits dans Windows Intune auxquels vous ne voulez pas appliquer les paramètres de la stratégie de groupe. Ensuite, assurez-vous que le paramètre Appliquer est désactivé pour les objets de stratégie de groupe de l'unité d'organisation parente ou du domaine.

Blocage de l'héritage de la stratégie de groupe sur une OU

  1. Ouvrez la console de gestion des stratégies de groupe.

  2. Dans l'arborescence de la console, développez la forêt qui contient l'unité d'organisation des ordinateurs clients que vous souhaitez gérer à l'aide de Windows Intune.

  3. Développez le domaine et tous les nœuds subordonnés supplémentaires pour localiser l'unité d'organisation.

  4. Cliquez avec le bouton droit sur l'unité d'organisation, puis cliquez sur Bloquer l'héritage.

Option 2 : Filtrez les objets de stratégie de groupe existants pour éviter les conflits avec les ordinateurs inscrits au service

Identifiez les objets de stratégie de groupe avec les paramètres susceptibles de créer un conflit avec Windows Intune, puis utilisez l'une des méthodes de filtrage suivantes pour limiter ces objets de stratégie de groupe aux ordinateurs qui ne sont pas gérés à l'aide de Windows Intune.

  • Utilisez les filtres WMI. Les filtres WMI appliquent sélectivement les GPO aux ordinateurs répondant aux conditions d'une recherche. Pour appliquer un filtre WMI, déployez une instance de classe WMI sur tous les ordinateurs de l'entreprise avant d'inscrire des ordinateurs dans le service Windows Intune.

    Application des filtres WMI à un GPO

    1. Créez un fichier objet de gestion en copiant et collant ce qui suit dans un fichier texte, puis enregistrez le fichier à un emplacement de votre choix comme WIT.mof. Ce fichier contient l'instance de classe WMI que vous déployez aux ordinateurs à inscrire au service Windows Intune.

      //Beginning of MOF file.
      #pragma classflags("forceupdate")
      #pragma namespace ("\\\\.\\Root")
      instance of __Namespace
      {
         Name = "WindowsIntune";
      };
      
      #pragma namespace ("\\\\.\\Root\\WindowsIntune")
      [ 
         Description("This class defines Windows Intune common properties")
      ]
      class WindowsIntune_ManagedNode
      {
         [ read, Description("This defines whether Windows Intune Policy is enabled"): DisableOverride ToSubClass ]
         boolean WindowsIntunePolicyEnabled;
         [ read, key, Description("This property defines the version." "Example: 1.0"): ToSubClass ]
         string Version;
      };
      
      instance of WindowsIntune_ManagedNode
      {
         Version = "1.0";
         WindowsIntunePolicyEnabled = 1;
      };
      
    2. Utilisez un script de démarrage ou une stratégie de groupe pour déployer le fichier. Ce qui suit est la commande de déploiement pour le script de démarrage. La commande MOFCOMP se trouve généralement dans C:/Windows/System32/Wbem. L'instance de classe WMI doit être déployée avant d'inscrire les ordinateurs client au service Windows Intune.

      MOFCOMP <chemin du fichier MOF>\wit.mof

    3. Exécutez l'une des deux commandes suivantes pour créer les filtres WMI suivants selon que les GPO que vous voulez filtrer s'apliquent aux ordinateurs qui sont gérés à l'aide de Windows Intune ou à ceux qui ne sont pas gérés à l'aide de Windows Intune.

      • Pour les GPO s'appliquant aux ordinateurs qui ne sont pas gérés à l'aide de Windows Intune, utilisez les éléments suivants :

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0
        
      • Pour GPO s'appliquant aux ordinateurs qui sont gérés à l'aide de Windows Intune, utilisez les éléments suivants :

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1
        
    4. Modifiez le GPO dans la console de gestion des stratégies de groupe pour appliquer le filtre WMI que vous avez créé à l'étape précédente.

      • Pour les GPO ne devant s'appliquer qu'aux ordinateurs que vous souhaitez gérer à l'aide de Windows Intune, appliquez le filtre WindowsIntunePolicyEnabled=1.

      • Pour les GPO ne devant s'appliquer qu'aux ordinateurs que vous ne souhaitez pas gérer à l'aide de Windows Intune, appliquez le filtre WindowsIntunePolicyEnabled=0.

    Pour plus d'informations sur l'application des filtres WMI dans la stratégie de groupe, voir Security Filtering, WMI Filtering, and Item-level Targeting in Group Policy Preferences (Filtrage de sécurité, filtrage WMI et ciblage au niveau de l'élément dans les préférences de la stratégie de groupe).

  • Utilisez les filtres de groupe de sécurité. La stratégie de groupe vous permet d'appliquer les GPO aux seuls groupes de sécurité spécifiés dans la zone Filtrage de sécurité de la console de gestion des stratégies de groupe pour un GPO sélectionné. Par défaut, les GPO s'appliquent aux Utilisateurs authentifiés. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, créez un nouveau groupe de sécurité contenant les ordinateurs et les comptes utilisateurs que vous ne souhaitez pas gérer à l'aide de Windows Intune. Par exemple, le groupe peut être appelé Non dans Windows Intune. Dans la console de gestion des stratégies de groupe, dans l'onglet Délégation pour le GPO sélectionné, cliquez avec la touche droite de la souris sur le nouveau groupe de sécurité pour déléguer les autorisations appropriées Lire et Appliquer stratégie de groupe aux utilisateurs et aux ordinateurs dans le groupe de sécurité. (Les autorisations Appliquer stratégie de groupe sont disponibles dans la boîte de dialogue Paramètres avancés). Ensuite, appliquez le nouveau filtre de groupe de sécurité à un GPO sélectionné et supprimez le filtre par défaut Utilisateurs authentifiés. Le nouveau groupe de sécurité doit être maintenu comme inscription dans les modifications de service Windows Intune.

Option 3 : Modifiez les objets de stratégie de groupe existants pour supprimer les paramètres en conflit

Au lieu d'isoler les ordinateurs inscrits à Windows Intune, de créer des objets de stratégie de groupe ou de les filtrer, vous pouvez désactiver manuellement les objets de stratégie de groupe spécifiques, ou les paramètres des objets de stratégie de groupe, qui sont en conflit avec les paramètres de la stratégie Windows Intune. Définissez les GPO qui seront en conflit avec les paramètres appliqués aux ordinateurs gérés par Windows Intune comme Non configurés. Ensuite, définissez et déployez la stratégie Windows Intune pour les GPO définis comme Non configurés.

noteRemarque
Si vous gérez les conflits de stratégie à l'aide de cette option, les GPO doivent être analysés et modifiés fréquemment afin d'éviter des conflits de stratégie.

Voir aussi

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft