Jonction de Microsoft Entra pilotée par l’utilisateur pour la préparation des appareils Windows Autopilot : créer un groupe d’appareils attribué

Étapes de jointure de Microsoft Entra pilotée par l’utilisateur pour la préparation des appareils Windows Autopilot :

• Étape 1 : Configurer l’inscription automatique Windows à Intune
• Étape 2 : Autoriser les utilisateurs à joindre des appareils à Microsoft Entra ID

• Étape 4 : Créer un groupe d’utilisateurs
• Étape 5 : Affecter des applications et des scripts PowerShell à un groupe d’appareils
• Étape 6 : Créer une stratégie de préparation des appareils Windows Autopilot
• Étape 7 : Ajouter l’identificateur d’entreprise Windows à l’appareil

Pour obtenir une vue d’ensemble du flux de travail de jointure de Microsoft Entra de préparation d’appareil Windows Autopilot pilotée par l’utilisateur, consultez Vue d’ensemble de la jointure d’Microsoft Entra appareils Windows Autopilot pilotée par l’utilisateur.

Créer un groupe d’appareils attribué

Les groupes d’appareils sont un ensemble d’appareils organisés en un groupe Microsoft Entra. Normalement, les groupes d’appareils peuvent être affectés ou dynamiques :

• Groupes attribués : les appareils sont ajoutés manuellement au groupe et sont statiques. La préparation de l’appareil Windows Autopilot utilise uniquement les groupes attribués.
• Groupes dynamiques : les appareils sont automatiquement ajoutés au groupe en fonction de règles. La préparation de l’appareil Windows Autopilot n’utilise pas de groupes dynamiques.

La préparation des appareils Windows Autopilot utilise un groupe d’appareils attribué dans le cadre de la stratégie de préparation des appareils Windows Autopilot. Le groupe d’appareils spécifié dans la stratégie de préparation de l’appareil Windows Autopilot doit être un groupe d’appareils attribué. Le processus de préparation de l’appareil Windows Autopilot ajoute automatiquement des appareils à ce groupe d’appareils attribué pendant le déploiement de la préparation de l’appareil Windows Autopilot.

Pour créer un groupe d’appareils de sécurité affecté à utiliser avec la préparation de l’appareil Windows Autopilot, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Dans l’écran d’accueil , sélectionnez Groupes dans le volet gauche.

3. Dans les groupes | Écran Tous les groupes , vérifiez que Tous les groupes est sélectionné, puis sélectionnez Nouveau groupe.

4. Dans l’écran Nouveau groupe qui s’ouvre :

   1. Pour Type de groupe, sélectionnez Sécurité.

   2. Pour Nom du groupe, entrez un nom pour le groupe d’appareils, par exemple Groupe d’appareils de préparation de l’appareil Windows Autopilot.

   3. Pour Description du groupe, entrez une description pour le groupe d’appareils.

   4. Pour Microsoft Entra rôles peuvent être attribués au groupe, sélectionnez Non.

   5. Pour Type d’appartenance, sélectionnez Affecté.

   6. Pour Propriétaires, sélectionnez le lien Aucun propriétaire sélectionné .

   7. Dans l’écran Ajouter des propriétaires qui s’ouvre :

      1. Faites défiler la liste des objets et sélectionnez le principal de service Intune Provisioning Client avec AppId f1346770-5b25-470b-88bd-d5744ab7952c. Vous pouvez également utiliser la barre de recherche pour rechercher et sélectionner Client d’approvisionnement Intune.

         Remarque

         • Dans certains locataires, le principal de service peut avoir le nom Intune Autopilot ConfidentialClient au lieu du client d’approvisionnement Intune. Tant que l’AppID du principal de service est f1346770-5b25-470b-88bd-d5744ab7952c, il s’agit du principal de service approprié.

         • Si le principal de service Intune Provisioning Client ou Intune Autopilot ConfidentialClient avec l’AppId f1346770-5b25-470b-88bd-d5744ab7952c n’est pas disponible dans la liste des objets ou lors de la recherche, consultez Ajout du principal de service client d’approvisionnement Intune.

      2. Une fois que client d’approvisionnement Intune est sélectionné en tant que propriétaire, sélectionnez Sélectionner.

   8. Sélectionnez Créer pour terminer la création du groupe d’appareils affecté.

   Importante

   Les appareils sont automatiquement ajoutés à ce groupe d’appareils pendant le déploiement de la préparation de l’appareil Windows Autopilot. Il n’est pas nécessaire d’ajouter manuellement des appareils en tant que membres du groupe d’appareils créé à cette étape, mais cela n’a aucun impact sur le processus de préparation des appareils Windows Autopilot.

Ajout du principal du service client d’approvisionnement Intune

Si le principal du service client d’approvisionnement Intune avec AppId f1346770-5b25-470b-88bd-d5744ab7952c n’est pas disponible lors de la sélection du propriétaire du groupe d’appareils, procédez comme suit pour ajouter le principal de service :

1. Sur un appareil où Microsoft Intune ou l’ID Microsoft Entra est normalement administré, ouvrez une invite de commandes Windows PowerShell avec élévation de privilèges.

2. Dans la fenêtre d’invite de commandes Windows PowerShell :

   1. Installez le module Microsoft.Graph.Authentication en entrant la commande suivante :

      Install-Module Microsoft.Graph.Authentication
      

      Si vous y êtes invité :

      • Acceptez d’installer NuGet en entrant Y ou Oui, ou en sélectionnant le bouton Oui .
      • Acceptez l’installation à partir du dépôt non approuvé PSGallery en entrant Y ou Oui, ou en sélectionnant le bouton Oui .

      Pour plus d’informations, consultez Microsoft.Graph.Authentication et Set-PSRepository -InstallationPolicy.

   2. Installez le module Microsoft.Graph.Applications en entrant la commande suivante :

      Install-Module Microsoft.Graph.Applications
      

      Si vous y êtes invité, acceptez d’installer à partir du dépôt non approuvé PSGallery en entrant Y ou Oui, ou en sélectionnant le bouton Oui .

      Pour plus d’informations, consultez Microsoft.Graph.Applications et Set-PSRepository -InstallationPolicy.

   3. Une fois les modules Microsoft.Graph.Authentication et Microsoft.Graph.Applications installés, connectez-vous à Microsoft Entra ID en entrant la commande suivante :

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Pour plus d’informations, consultez Connect-MgGraph.

   4. S’il n’est pas déjà authentifié auprès de Microsoft Entra ID, la fenêtre Se connecter à votre compte s’affiche. Entrez les informations d’identification d’un administrateur d’ID Microsoft Entra qui dispose des autorisations nécessaires pour ajouter des principaux de service.

   5. Si la fenêtre Autorisations demandées s’affiche, cochez la case Consentement au nom de votre organization, puis sélectionnez le bouton Accepter.

   6. Une fois authentifié auprès de Microsoft Entra’ID et les autorisations appropriées accordées, ajoutez le principal du service client d’approvisionnement Intune en entrant la commande suivante :

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Pour plus d’informations, consultez New-MgServicePrincipal -BodyParameter.

      Remarque

      • Le message d’erreur suivant s’affiche si le principal du service client d’approvisionnement Intune existe déjà dans le locataire :

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Le message d’erreur suivant s’affiche si l’une des conditions suivantes est remplie :

        • Le compte utilisé pour se connecter avec la Connect-MgGraph commande ne dispose pas des autorisations nécessaires pour ajouter un principal de service au locataire.
        • L’argument -Scopes "Application.ReadWrite.All" n’est pas ajouté à la Connect-MgGraph commande .
        • La fenêtre Autorisations demandées n’est pas acceptée.
        • La case Consentement au nom de votre organization n’est pas cochée dans la fenêtre Autorisations demandées.

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Étape suivante : Créer un groupe d’utilisateurs

Contenu connexe

Pour plus d’informations sur la création de groupes dans Intune, consultez les articles suivants :

• Créez des groupes d’appareils.
• Ajouter des groupes pour organiser les utilisateurs et les appareils.
• Gérer les groupes Microsoft Entra et l’appartenance aux groupes.
• Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.