Dans Microsoft Intune, vous avez deux choix principaux pour cibler vos déploiements : les Groupes Entra ID et les Filtres. L’un structure, l’autre affine. Utilisés ensemble intelligemment, ils sont redoutables.
Ce que font réellement les Groupes
Un groupe Entra ID (statique ou dynamique) représente une identité organisationnelle : un département, un rôle, un type de device, une filiale. Il répond à la question « À qui ? ».
Son cycle de vie est indépendant d’Intune vu qu’il est dans Entra ID : il peut être utilisé pour du RBAC, de l’assignation de licence, et des assignations Intune simultanément. C’est sa force mais attention de ne pas les dupliquer inutilement.
Un groupe dynamique basé sur des attributs device (deviceOSType, deviceManagementAppId, etc.) peut sembler remplir le même rôle qu’un filtre mais en fait il ne le fait pas totalement : la synchronisation introduit un délai d’application, et les règles de membership sont évaluées côté Entra ID, non côté Intune. Ce n’est donc pas le bon outil pour du ciblage device temps réel.
Un groupe statique est un groupe dans lequel vous viendrez ajouter manuellement un ou plusieurs objets utilisateurs ou devices.
Ce que font réellement les Filtres
Un filtre Intune est évalué au moment où un appareil réalise un check-in.
Les attributs disponibles sont exclusivement des attributs device (OS, modèle, fabricant, version, trustType,etc.). Il n’y a pas d’attribut utilisateur. C’est une distinction importante : si votre logique de ciblage dépend d’un attribut utilisateur, un filtre ne peut pas le porter.
La syntaxe supporte les opérateurs logiques composés. retrouvez via ce lien, toutes les propriétés disponibles ainsi que les opérateurs : https://learn.microsoft.com/en-us/intune/fundamentals/filters/ref-device-properties?tabs=managed-device
Le mode Preview permet de valider votre filtre avant toute assignation. A utiliser systématiquement avant mise en production.
Comment utiliser un filtre
L’utilisation des filtres n’est pas possible sur tout les déploiements, il y a quelques limitations comme sur les platform scripts. Vous pouvez retrouver les informations sur cette partie via ce lien : https://learn.microsoft.com/en-us/intune/fundamentals/filters/ref-supported-workloads?tabs=windows-apps%2Cwindows-device-configuration
Vous avez quand vous créer un déploiement, le choix d’inclure ou d’exclure un filtre.
Exemple : Vous avez créer un filtre « device.manufacturer -eq « Microsoft ».
- Include filtered devices > Le déploiement n’aura lieu que sur les devices Microsoft
- Exclude filtered devices > Le déploiement aura lieu sur tout les devices sauf ceux de Microsoft
Lorsque vous séléctionnez un filtre, vous pouvez voir les assignations associés à celui ci.
La vraie puissance : combiner les deux
N’opposez pas les groupes et les filtres, combinez les deux
Assignez une configuration à Tout les appareils puis ajoutez un filtre pour ne cibler que ceux avec Windows 11 ou encore ceux HP. Résultat : une structure de groupes propre et fonctionnelle
| Besoin | Outil recommandé |
|---|---|
| Déployer sur un département entier | Groupe |
| Cibler uniquement Windows 11 dans ce département | Groupe + Filtre |
| Exclure les VMs | Filtre |