LeBlogModernWorkplace

Juste un autre blog autour de Microsoft Intune, Microsoft365 et Entra ID :)

Intune Windows

[Inside Story] – Mise en place d’un modèle Shared Device Windows

By Jonathan #device, #intune, #shared, #windows

Nous allons voir dans cet article la mise en place d’un modèle « Shared Device » Windows pour répondre aux besoins d’une BU lors d’un projet client.

Les objectifs du projet

L’objectif principal était de fournir un poste de travail Windows partagé et sécurisé, géré via Microsoft Intune, pour des utilisateurs multiples sur un même poste dans un environnement retail (Magasins et entrepôts logistiques)

Les besoins étaient les suivants :

  • Permettre à plusieurs utilisateurs de se connecter sur un même PC, avec une session nominative. On évite les comptes génériques, les autologon et autres joyeusetés 🙂
  • Assurer la remise à zéro automatique des profils pour éviter les accumulations de données à un délai défini
  • Eviter le stockage de données personnelles sur le lecteur C:
  • Gérer le poste à distance via Microsoft Intune (mises à jour, configuration, conformité et sécurité)
  • Limiter la maintenance manuelle sur site.

Le modèle Shared Device, c’est quoi ?

Le mode Shared Device (ou “poste partagé”) est un ensemble de paramètres Windows spécialement conçu pour optimiser les performances et la gestion d’un poste de travail dans un scénario multi-utilisateurs.

Principales fonctionnalités :

  • Suppression automatique des comptes et fichiers.
  • Mode invité facultatif pour un usage ponctuel.
  • Optimisation et sécurisation de la session
  • Gestion simplifiée par Intune et compatibilité avec Autopilot Self Deploying.

Idéal pour des postes d’accueil, de formation, de bibliothèque ou d’entreprise à usage commun.

Pré-requis et licences nécessaires

  • Windows 11 Pro, Enterprise ou Education
  • Une licence Microsoft Intune P1 Device suffit pour couvrir ce cas d’usage
  • Windows Autopilot Self Deploying pour le déploiement initial sans intervention humaine.
  • Un PC avec une puce TPM 2.0 et une connexion Ethernet

Déploiement via Intune et Autopilot

1. Préparation des postes avec Autopilot Self-Deploying Mode

Pour la préparation des postes partagés voire même des PC en mode Kiosk, le Self-Deploying Mode d’Autopilot est idéal !!

Principe :

  • Le poste de travail démarre, se connecte à Internet en Ethernet (recommandé).
  • Il s’enrôle automatiquement dans Entra ID et Intune.
  • Il applique les profils attribués (Shared PC, applications, paramètres) via le groupe Entra ID dynamique dans lequel le PC est référencé.
  • Le tout sans interaction utilisateur : aucune authentification requise. L’avantage est là.

Le mode Self Deploying se paramètre directement dans le profil de déploiement Autopilot. (voir ci dessous)
N’oubliez pas aussi de créer et d’attribuer votre profil ESP (Enrolement Statut Page) dans lequel notamment vous fixer les applications à installer.

2. Création du profil Shared Device dans Intune

La création d’un profil Shared Device se fait grâce au settings catalog. Vous trouverez tout ce qu’il faut dans celui-ci.!

Le paramétrage se fait assez simplement, nous allons faire le tour de 3/4 paramètres mis en place pour répondre aux objectifs du projet.

Account Model : Domain > N’autoriser que les comptes Entra ID à se connecter. Pas de compte Guest.
Enable Shared PC Mode : True > Activation du mode Shared Device
Il existe un mode Enable Shared PC Mode with OneDrive Sync qui permet en + d’activer la synchronisation OneDrive.
Sign In On Resume : True > Demander le mot de passe de l’utilisateur en sortie de veille
Inactive Threshold : 60 > Suppression des comptes inactifs sur le PC à 60 jours
Restrict Local Storage : True > Bloquer l’accès au C:, seul l’accès au dossier Téléchargements est autorisé.

Vous pouvez retrouver l’ensemble des paramètres dispo via ce lien : SharedPC CSP | Microsoft Learn

Une fois votre profil configuré, assigner le au même groupe d’appareils que celui du profil Autopilot.

3. Paramétrages Complémentaires

Un profil complémentaire pour désactiver la « First sign-in animation » et la page de statut utilisateur ESP est nécessaire.

Vous pouvez trouver ces paramètres dans le setting catalog ou utiliser un profil custom via OMA-URI.

OMA-URI : ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

OMA-URI : ./Device/Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage

Ces profils de configuration constituent le minimum de base de la configuration d’un appareil partagé, et ils peuvent être complétés par d’autres profils de configuration adaptés aux besoins de l’appareil et de l’entreprise. (notamment sécurité, hardening etc…)

Conclusion

Autopilot Self Deploying permet de livrer un poste partagé automatiquement configuré, sécurisé et prêt à l’emploi, tout en réduisant drastiquement la maintenance et les coûts de gestion.

Le mode Shared Device permet l’utilisation d’une licence Intune Device P1 qui est moins couteuse qu’une licence Intune pour chaque utilisateur de ce PC.

By Jonathan

Related Post

Automatisation Graph API Intune

[Inside Story] – Graph API / Intune : Changer la catégorie d’une liste de périphériques

Jonathan
Intune Sécurité Windows

Configurer la mise à jour des certificats Secure Boot qui expire en 2026 rapidement grâce à Microsoft Intune

Jonathan
Administration Applications Intune

Nouveautés : Utilisation de script Powershell lors de la création d’une win32App dans Intune

Jonathan

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You Missed

Automatisation Graph API Intune

[Inside Story] – Graph API / Intune : Changer la catégorie d’une liste de périphériques

Intune Sécurité Windows

Configurer la mise à jour des certificats Secure Boot qui expire en 2026 rapidement grâce à Microsoft Intune

Administration Applications Intune

Nouveautés : Utilisation de script Powershell lors de la création d’une win32App dans Intune

Intune Tools

Azure Front Door Connectivity Diagnostics Tool