Avec l’arrivée de Microsoft Intune dans le portail Azure (Ibiza), Microsoft intègre de nouvelles capacités. Une des plus attendues est la restriction de l’enregistrement pour certaines plateformes et la capacité de bloquer les périphériques personnels ou le scénario Bring Your Own Device (BYOD). Ces restrictions s’appliquent avant même l’enregistrement du périphérique.
Notez qu’à date d’écriture de cet article, la migration des tenants Microsoft Intune est toujours en cours. Il se peut que vous n’ayez pas accès aux fonctionnalités du nouveau portail.
Commencez par ouvrir le portail Microsoft Azure avec un compte disposant des droits d’administration sur le service Microsoft Intune. Dans More Services, recherchez Intune (vous pouvez l’ajouter aux favoris). Vous arrivez sur le tableau de bord Intune :
Cliquez sur Enroll devices puis Enrollment Restrictions. Vous arrivez sur une page où vous pouvez à la fois définir les restrictions par type de périphériques et les restrictions en matière de limitation. A l’heure actuelle, il n’est possible de définir ces restrictions uniquement pour l’ensemble des utilisateurs.
En cliquant sur la restriction par type de périphériques, vous pouvez éditer la règle par défaut et notamment les plateformes autorisées à être enregistrées parmi Android, iOS, Mac OS X, Windows et Windows Mobile.
La partie Plaform Configurations permet de définir le comportement pour les périphériques personnels dans des scénarios BYOD. Vous pouvez à ce jour bloquer l’enregistrement des périphériques personnels iOS. Les autres plateformes devraient arrivées dans les prochains mois.
Ainsi en activant, le blocage des périphériques personnels, vous devez préenregistrer les périphériques dans Microsoft Intune. Cette opération se fait toujours via le panneau Enroll Devices > Corporate Device Identifiers.
Vous pouvez ensuite cliquer sur Add pour importer des types d’identifiants basés sur le numéro IMEI. Vous pouvez ensuite charger un fichier sous la forme identifiant,détail où l’identifiant est le numéro IMEI et détail peut être le nom du périphérique ou l’utilisateur associé.
En outre, tous les périphériques enregistrés via le programme Apple Device Enrollment Program (DEP) sont par défaut tagués en périphériques d’entreprise et autorisés à être enregistrés.
Notez que sur Configuration Manager en mode hybride, il est aussi possible d’utiliser le numéro de série.
Parmi les restrictions d’enregistrement, vous pouvez gérer la limite du nombre de périphériques qu’un utilisateur peut enregistrer dans Microsoft Intune. Cela fait partie de la deuxième catégorie de restriction : Device Limit Restriction. Vous pouvez aller d’un seul périphérique à 15 périphériques. Cette limite est basée sur la licence EMS/Intune fixant le nombre maximum de périphériques pouvant être enregistré par un utilisateur standard.
