Windows Desktop et Tablet

Endpoint Management inscrit les appareils Windows 10 en mode MDM. Endpoint Management prend en charge les types d’authentification suivants pour les appareils Windows 10 inscrits en mode MDM :

  • Authentification basée sur un domaine
    • Active Directory
    • Azure Active Directory
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Pour plus d’informations sur les types d’authentification pris en charge, consultez la section Certificats et authentification.

Un workflow général pour le démarrage de la gestion des appareils Windows 10 est le suivant :

  1. Effectuez le processus d’intégration. Voir Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

    Si vous prévoyez d’inscrire des appareils Windows à l’aide du service de découverte automatique, vous devez configurer le service de découverte automatique Citrix. Contactez le support technique Citrix pour obtenir de l’aide. Pour de plus amples informations, consultez Demander la découverte automatique pour les appareils Windows.

  2. Choisissez et configurez une méthode d’inscription. Consultez Méthodes d’inscription prises en charge.

  3. Configurer les stratégies d’appareil Windows Desktop et Tablet.

  4. Les utilisateurs inscrivent des appareils Windows 10.

  5. Configurez les actions de sécurité des appareils et des applications. Consultez Actions de sécurisation.

Pour connaître les systèmes d’exploitation pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Vous spécifiez comment gérer les appareils Windows 10 dans les profils d’inscription. Deux options sont disponibles :

  • Entièrement géré (inscription MDM)
  • Ne pas gérer les appareils (pas d’inscription MDM)

Pour configurer les paramètres d’inscription pour les appareils Windows 10, accédez à Configurer > Profils d’inscription > Windows. Pour plus d’informations sur les profils d’inscription, consultez la section Profils d’inscription.

Page Profil d'inscription pour Windows

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils Windows 10 :

Méthode Pris en charge
Inscription Azure Active Directory Oui
Inscription Application Citrix Workspace Oui
Inscription Service de découverte automatique Oui
Inscription en bloc de Windows Oui
Inscription manuelle Oui
Invitations d’inscription Non

Remarque :

  • L’inscription manuelle exige que les utilisateurs entrent un nom de domaine complet (FQDN) du serveur Endpoint Management. Nous ne recommandons pas d’utiliser l’inscription manuelle. Utilisez plutôt d’autres méthodes pour simplifier le processus d’inscription pour les utilisateurs.
  • Vous ne pouvez pas envoyer d’invitations d’inscription aux appareils Windows. Les utilisateurs Windows s’inscrivent directement sur leurs appareils.

Configurer les stratégies d’appareil Windows Desktop et Tablet

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant Windows 10. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils Windows Desktop et Tablet.

     
Configuration d’applications Inventaire des applications Mode kiosque
Désinstallation des applications Application Guard BitLocker
Contrôler mise à jour d’OS Informations d’identification XML personnalisé
Defender Device Guard Attestation de l’intégrité des appareils
Exchange Pare-feu Kiosque
Bureau Code secret Restrictions
Magasin Termes et conditions VPN
Clip Web Wi-Fi Agent Windows
Windows Hello Entreprise Configuration de GPO Windows Protection des informations Windows (WIP)

Inscrire des appareils Windows 10 via Azure Active Directory

Important :

Avant que les utilisateurs puissent s’inscrire, vous devez configurer les paramètres Azure Active Directory (AD) dans Azure, puis configurer Endpoint Management. Pour plus de détails, consultez la section Connecter Endpoint Management à Azure AD.

Les appareils Windows 10 peuvent s’inscrire à Azure afin de fédérer l’authentification Active Directory. Cette inscription nécessite un abonnement Azure AD Premium. Pour de plus amples informations, consultez https://docs.microsoft.com/en-us/azure/active-directory/devices/overview#license-requirements.

Vous pouvez joindre des appareils Windows 10 à Microsoft Azure AD à l’aide de l’une des méthodes suivantes :

Inscription dans MDM lorsque l’appareil est joint à Azure AD après avoir configuré des appareils

  1. Sur un appareil, dans le menu Démarrer, accédez à Paramètres > Comptes > Accès Professionnel ou Scolaire, puis cliquez sur Connecter.

  2. Dans la boîte de dialogue Configurer un compte professionnel ou scolaire, sous Autres actions, cliquez sur Joindre cet appareil à Azure Active Directory.

  3. Entrez les informations d’identification Azure AD et cliquez sur Se connecter.

  4. Acceptez les conditions générales requises par l’organisation.

    • Si les utilisateurs cliquent sur Refuser, l’appareil ne rejoint pas Azure AD et ne s’inscrit pas à Endpoint Management.
  5. Cliquez sur Joindre pour poursuivre le processus d’inscription.

  6. Cliquez sur Terminé pour terminer le processus d’inscription.

Inscription dans MDM lors de l’enregistrement dans Azure AD

  1. Sur un appareil, dans le menu Démarrer, accédez à Paramètres > Comptes > Accès Professionnel ou Scolaire, puis cliquez sur Connecter.

  2. Dans la boîte de dialogue Configurer un compte professionnel ou scolaire, entrez les informations d’identification Azure AD et cliquez sur Se connecter.

  3. Acceptez les conditions générales requises par l’organisation. L’appareil est enregistré dans Azure AD et s’inscrit à Endpoint Management.

    • Si les utilisateurs cliquent sur Refuser, l’appareil est enregistré dans Azure AD mais ne s’inscrit pas à Endpoint Management. Le bouton Info n’est pas disponible sur le compte.
  4. Cliquez sur Joindre pour poursuivre le processus d’inscription.

  5. Cliquez sur Terminé pour terminer le processus d’inscription.

Inscription des appareils Windows 10 via l’application Citrix Workspace (version préliminaire)

Endpoint Management prend en charge l’inscription automatique des appareils Windows 10 via l’application Citrix Workspace. Cette prise en charge signifie que les utilisateurs peuvent inscrire des appareils Windows 10 pris en charge.

Conditions préalables :

  • Déploiement basé sur le cloud
  • Application Citrix Workspace 1911 ou ultérieure
  • Citrix Endpoint Management 20.1.0 ou version ultérieure
  • Intégration de Citrix Endpoint Management à Citrix Workspace

    Pour plus d’informations sur l’intégration d’Endpoint Management à Citrix Workspace, reportez-vous à la section Intégration avec l’expérience Citrix Workspace. Pour plus d’informations sur l’activation de l’intégration Workspace pour Endpoint Management dans Citrix Cloud, consultez la section Endpoint Management dans la documentation Citrix Workspace.

L’invite d’inscription suivante s’affiche lorsque les utilisateurs saisissent leurs informations d’identification pour ajouter un magasin dans l’application Citrix Workspace :

Invite d'inscription sur l'application Citrix Workspace pour Windows

L’invite d’inscription n’apparaît que lorsque les conditions suivantes sont remplies :

  • L’appareil n’est pas inscrit à MDM.

  • L’utilisateur est membre du groupe d’administrateurs locaux sur le point de terminaison.

  • Un profil d’inscription est présent pour les appareils Windows 10.

Inscrire des appareils Windows à l’aide du service de détection automatique

Pour configurer le service de découverte automatique pour les appareils Windows, demandez de l’aide au support technique Citrix. Pour de plus amples informations, consultez Demander la découverte automatique pour les appareils Windows.

Remarque :

Pour pouvoir inscrire des appareils Windows, le certificat d’écoute SSL doit être un certificat SSL. L’inscription échoue pour les certificats SSL auto-signés.

Les utilisateurs effectuent les étapes suivantes pour effectuer l’inscription :

  1. Sur un appareil, dans le menu Démarrer, accédez à Paramètres > Comptes > Accès Professionnel ou Scolaire, puis cliquez sur S’inscrire uniquement à la gestion des périphériques.

  2. Dans la boîte de dialogue Configurer un compte professionnel ou scolaire, entrez une adresse e-mail d’entreprise et cliquez sur Suivant.

    Pour vous inscrire en tant qu’utilisateur local, entrez une nouvelle adresse de messagerie avec le nom de domaine correct (par exemple, foo\@mydomain.com). Cette étape permet à l’utilisateur de contourner une limitation Microsoft connue avec laquelle la gestion des appareils intégrée sous Windows effectue l’inscription. Dans la boîte de dialogue Connexion à un service, entrez le nom d’utilisateur et le mot de passe associés à l’utilisateur local. L’appareil découvre ensuite un serveur Endpoint Management et démarre le processus d’inscription.

  3. Entrez les informations d’identification et cliquez sur Continuer.

  4. Dans la boîte de dialogue Termes d’utilisation, acceptez que votre appareil soit géré, puis cliquez sur Accepter.

L’inscription d’appareils Windows associés à un domaine via le service de découverte automatique échoue si la stratégie de domaine désactive l’inscription MDM. Les utilisateurs peuvent utiliser l’une des méthodes suivantes à la place :

  • Supprimez les appareils du domaine, effectuez l’inscription et joignez de nouveau les appareils.
  • Entrez le nom de domaine complet du serveur Endpoint Management pour continuer.

Inscription en bloc de Windows

Avec l’inscription en bloc de Windows, vous pouvez configurer de nombreux appareils pouvant être gérés par un serveur MDM sans avoir besoin de réimager les appareils. Vous pouvez utiliser un package de provisioning pour l’inscription en bloc d’appareils Windows 10 Desktop et Tablet. Pour de plus amples informations, consultez la section Inscription en bloc d’appareils Windows.

Actions de sécurisation

Les appareils Windows 10 prennent en charge les actions de sécurité suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Localiser Verrouiller Redémarrer
Révoquer Effacer les données d’entreprise Effacer

Connecter Endpoint Management à Azure AD

Les appareils Windows 10 peuvent s’inscrire avec Azure. Les utilisateurs créés dans Azure AD peuvent avoir accès aux appareils. Endpoint Management est déployé dans Microsoft Azure en tant que service MDM. La connexion d’Endpoint Management à Azure AD permet aux utilisateurs d’inscrire automatiquement leurs appareils à Endpoint Management lorsqu’ils les inscrivent dans Azure AD.

Pour connecter Endpoint Management à Azure AD, effectuez les opérations suivantes :

  1. Dans le portail Azure, accédez à Azure Active Directory > Mobilité (gestion des données de référence et gestion des applications mobiles) > Ajouter une application, puis cliquez sur Paramètres d’application GPM locale.

  2. Donnez un nom à l’application et cliquez sur Ajouter.

  3. Sélectionnez l’application que vous avez créée, configurez les éléments suivants, puis cliquez sur Enregistrer.

    • Portée de l’utilisateur GDR. Sélectionnez Tout.
    • URL des conditions d’utilisation de GDR. Entrez au format https://<Endpoint Management Enrollment FQDN>:8443/zdm/wpe/tou.
    • URL de détection GAM. Entrez au format https:// <Endpoint Management Enrollment FQDN>:8443/zdm/wpe.
  4. Cliquez sur Paramètres d’application GPM locale.

    • Dans le volet Propriétés, définissez URI ID d’application au format https:// < Endpoint Management Enrollment FQDN>:8443. Cet URI d’ID d’application est un ID unique que vous ne pouvez pas réutiliser dans une autre application.
    • Dans le volet Autorisations nécessaires, sélectionnez Microsoft Graph et Windows Azure Active Directory.
    • Dans le volet Clés, créez la clé d’authentification. Cliquez sur Enregistrer pour afficher la valeur de la clé. La valeur de la clé n’apparaît qu’une seule fois. Enregistrez la clé pour une utilisation ultérieure. Vous avez besoin de la clé à l’étape 7.
  5. Dans la console Endpoint Management, accédez à Paramètres > Fournisseur d’identité (IDP), puis cliquez sur Ajouter.

  6. Sur la page URL de découverte, configurez les éléments suivants et cliquez sur Suivant.

    • Nom IdP. Entrez un nom unique pour identifier la connexion de fournisseur d’identité que vous créez.
    • Type d’IdP. Sélectionnez Azure Active Directory.
    • ID du locataire. ID de répertoire dans Azure. Vous le voyez lorsque vous accédez à Azure Active Directory > Propriétés dans Azure.
  7. Sur la page Informations sur Win 10 MDM, configurez ce qui suit et cliquez sur Suivant.

    • URI d’ID de l’application : URI de l’ID de l’application que vous avez saisie dans Azure.
    • ID client. ID d’application que vous voyez dans le volet Propriétés dans Azure.
    • Clé. Valeur de clé que vous avez créée et enregistrée à l’étape 4 ci-dessus.
  8. Sur la page Utilisation des revendications IdP, configurez les éléments suivants et cliquez sur Suivant.

    • Type d’identificateur d’utilisateur. Sélectionnez userPrincipalName.
    • Chaîne d’identificateur d’utilisateur. Entrez ${id_token}.upn.
  9. Cliquez sur Save.

  10. Ajoutez un utilisateur Azure AD en tant qu’utilisateur local et affectez-le à un groupe d’utilisateurs local.

  11. Créez une stratégie Termes et conditions et un groupe de mise à disposition qui inclut ce groupe d’utilisateurs local.

Gestion des appareils avec une intégration à Workspace Environment Management

Si vous utilisez uniquement Workspace Environment Management (WEM), les déploiements MDM ne sont pas possibles. Si vous utilisez uniquement Endpoint Management, vous êtes limité à la gestion des appareils Windows 10. En intégrant les deux solutions, vous pouvez accéder aux fonctionnalités MDM via WEM et vous pouvez gérer un plus large éventail de systèmes d’exploitation Windows via Endpoint Management. Cette gestion prend la forme de la configuration d’objets de stratégie de groupe Windows. Actuellement, les administrateurs importent un fichier ADMX dans Citrix Endpoint Management et le transmettent sur les appareils Windows 10 Desktop et Tablet pour configurer des applications spécifiques. À l’aide de la stratégie de configuration de GPO Windows, vous pouvez configurer des objets de stratégie de groupe et transmettre des modifications au service WEM. L’agent WEM applique ensuite les objets de stratégie de groupe aux appareils et à leurs applications.

La gestion MDM n’est pas requise pour l’intégration WEM. Vous pouvez transmettre les configurations d’objet de stratégie de groupe vers n’importe quel appareil pris en charge par WEM, même si Endpoint Management ne prend pas en charge l’appareil en mode natif.

Pour obtenir une liste des appareils pris en charge, consultez la section Configuration requise pour le système d’exploitation.

Les appareils qui reçoivent la stratégie de configuration de GPO Windows s’exécutent dans un nouveau mode Endpoint Management appelé WEM. Dans la liste Gérer > Appareils des appareils inscrits, la colonne Mode des appareils gérés par WEM répertorie WEM.

Pour de plus amples informations, consultez Stratégie de configuration de GPO Windows.

Clé de récupération BitLocker

Le chiffrement des disques à l’aide de BitLocker est une fonction de sécurité utile. Cependant, le déverrouillage des appareils peut s’avérer complexe si un utilisateur perd sa clé de récupération BitLocker. Endpoint Management peut désormais enregistrer automatiquement et en toute sécurité les clés de récupération BitLocker pour les utilisateurs. Les utilisateurs peuvent trouver leur clé de récupération BitLocker sur le portail en libre-service. Pour activer et trouver la clé de récupération BitLocker, procédez comme suit :

  1. Dans la console Endpoint Management, accédez à Paramètres > Propriétés du serveur.
  2. Recherchez shp et activez la fonctionnalité shp.console.enable. Assurez-vous que enable.new.shp reste désactivé. Pour plus d’informations sur l’activation du portail en libre-service, consultez la section Configurer les modes d’inscription.
  3. Accédez à Configurer > Stratégies d’appareil. Recherchez votre stratégie BitLocker ou créez-en une et activez le paramètre Récupération des données de BitLocker sur Endpoint Management.

Lors du déverrouillage de leur appareil, les utilisateurs voient un message les invitant à entrer leur clé. Le message affiche également l’ID de clé de récupération.

Message de récupération BitLocker

Pour trouver leur clé de récupération BitLocker, les utilisateurs accèdent au portail en libre-service.

  1. Dans le panneau Général, accédez à Données de récupération de BitLocker.
    • ID de la clé de récupération : identifiant de la clé de récupération BitLocker utilisée pour crypter le disque. Cet ID doit correspondre à l’ID de clé indiqué dans le message précédent.
    • Clé de récupération : clé que l’utilisateur doit entrer pour déverrouiller son disque. Entrez cette clé à l’invite de déverrouillage. Clé de récupération BitLocker sur le portail en libre-service

Pour plus d’informations sur la stratégie BitLocker, consultez la section Stratégie BitLocker.