ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Comment gérer les clés de registre avec Microsoft Intune pour la migration GPO

Comment gérer les clés de registre avec Microsoft Intune pour la migration GPO

Apprenez à définir, surveiller et gérer les clés du Registre Windows à l'aide de Microsoft Intune via des scripts PowerShell, des remédiations proactives et des applications Win32 lors de la transition depuis les objets de stratégie de groupe.

21 mars 2026 15 min 2
mediumintune 8 étapes 15 min

Pourquoi migrer la gestion du registre de la stratégie de groupe vers Microsoft Intune ?

Alors que les organisations passent d'Active Directory sur site à une gestion axée sur le cloud avec Microsoft Intune, l'un des défis les plus critiques est la migration des configurations des objets de stratégie de groupe (GPO) qui reposent fortement sur les modifications du registre Windows. Contrairement aux GPO qui offrent des capacités d'édition directe du registre, Intune nécessite des approches différentes pour atteindre les mêmes résultats de gestion du registre.

Quelles méthodes Microsoft Intune propose-t-il pour la gestion des clés de registre ?

Microsoft Intune propose trois méthodes principales pour gérer les clés de registre Windows : les remédiations proactives (la méthode préférée pour l'application continue), les scripts de plateforme PowerShell (pour une exécution unique ou planifiée), et les applications Win32 (pour la configuration du registre au moment de l'installation). Chaque méthode répond à des cas d'utilisation différents et présente des avantages spécifiques selon vos besoins.

Comment les remédiations proactives se comparent-elles aux paramètres de registre de la stratégie de groupe traditionnelle ?

Les remédiations proactives offrent une surveillance et une application continues des configurations du registre, similaires à la façon dont les GPO actualisent les paramètres de stratégie. Cependant, contrairement aux GPO qui peuvent éditer directement n'importe quel emplacement du registre via les modèles d'administration, l'approche d'Intune nécessite des scripts PowerShell et une considération attentive du contexte d'exécution (Système vs Utilisateur) pour accéder à différentes ruches de registre comme HKLM et HKCU.

Ce tutoriel vous guidera à travers la mise en œuvre de chaque méthode, de la création de scripts de détection et de remédiation au déploiement d'applications Win32 avec des configurations de registre. Vous apprendrez à gérer les modifications du registre HKLM et HKCU, à résoudre les problèmes courants et à établir des procédures de surveillance pour garantir que vos configurations de registre restent conformes sur l'ensemble de votre parc d'appareils gérés.

Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Intune et vérifiez les autorisations

Commencez par vous connecter au centre d'administration Microsoft Intune pour vérifier votre accès et vos autorisations. C'est votre hub central pour toutes les opérations de gestion du registre.

# Ouvrez votre navigateur web et accédez à :
https://intune.microsoft.com

Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur Intune. Une fois connecté, accédez à Appareils > Scripts et remédiations pour confirmer que vous avez accès aux fonctionnalités de script.

Astuce pro : Ajoutez l'URL du centre d'administration Intune à vos favoris et envisagez d'utiliser un profil de navigateur dédié pour les tâches administratives afin d'éviter les conflits de session.

Vérification : Vous devriez voir l'option "Scripts et remédiations" sous le menu Appareils. Si elle est absente, vérifiez que votre licence inclut l'add-on Intune Suite ou équivalent pour les fonctionnalités de script avancées.

02

Créer un script de détection pour l'existence de clé de registre

Avant de créer ou de modifier des clés de registre, vous avez besoin d'un script de détection qui vérifie si la configuration de registre souhaitée existe. Ce script détermine si une correction est nécessaire.

Créez un nouveau fichier PowerShell nommé detect-registry.ps1 avec le contenu suivant :

# Script de détection pour les paramètres de registre d'Adobe Acrobat DC
# Cela vérifie si le chemin et les valeurs de registre requis existent

try {
    # Vérifiez si le chemin de registre existe
    $registryPath = "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cIPM"
    
    if (Test-Path $registryPath) {
        # Vérifiez si des valeurs de registre spécifiques existent avec les bons paramètres
        $value1 = Get-ItemProperty -Path $registryPath -Name "bDontShowMsgWhenViewingDoc" -ErrorAction SilentlyContinue
        $value2 = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown" -Name "bIsSCReducedModeEnforcedEx" -ErrorAction SilentlyContinue
        
        if ($value1.bDontShowMsgWhenViewingDoc -eq 0 -and $value2.bIsSCReducedModeEnforcedEx -eq 1) {
            Write-Output "La configuration du registre est conforme"
            exit 0  # Conforme - aucune correction nécessaire
        }
    }
    
    Write-Output "La configuration du registre nécessite une correction"
    exit 1  # Non conforme - correction requise
}
catch {
    Write-Output "Erreur lors de la vérification du registre : $($_.Exception.Message)"
    exit 1  # Erreur - déclencher la correction
}
Avertissement : Testez toujours vos scripts de détection localement d'abord. Des codes de sortie incorrects (0 pour conforme, 1 pour non conforme) entraîneront un comportement inattendu dans Intune.

Vérification : Testez le script localement en exécutant powershell.exe -ExecutionPolicy Bypass -File detect-registry.ps1 et en vérifiant le code de sortie avec echo $LASTEXITCODE.

03

Créer un script de remédiation pour la gestion des clés de registre

Le script de remédiation crée ou modifie les clés de registre lorsque le script de détection trouve une non-conformité. Ce script s'exécute avec des privilèges élevés pour effectuer les modifications nécessaires.

Créez remediate-registry.ps1 avec le contenu suivant :

# Script de remédiation pour les paramètres de registre d'Adobe Acrobat DC
# Cela crée les clés et valeurs de registre requises

try {
    # Créez le chemin de registre s'il n'existe pas
    $registryPath = "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cIPM"
    
    if (-not (Test-Path $registryPath)) {
        New-Item -Path $registryPath -Force | Out-Null
        Write-Output "Chemin de registre créé : $registryPath"
    }
    
    # Définissez les valeurs de registre
    New-ItemProperty -LiteralPath $registryPath -Name "bDontShowMsgWhenViewingDoc" -Value 0 -PropertyType DWord -Force | Out-Null
    Write-Output "Défini bDontShowMsgWhenViewingDoc = 0"
    
    New-ItemProperty -LiteralPath "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown" -Name "bIsSCReducedModeEnforcedEx" -Value 1 -PropertyType DWord -Force | Out-Null
    Write-Output "Défini bIsSCReducedModeEnforcedEx = 1"
    
    Write-Output "Remédiation du registre terminée avec succès"
    exit 0  # Succès
}
catch {
    Write-Output "Erreur lors de la remédiation : $($_.Exception.Message)"
    exit 1  # Échec
}

Pour les clés de registre HKCU, modifiez le script pour utiliser les chemins HKCU:\ à la place :

# Exemple pour la modification du registre HKCU
$registryPath = "HKCU:\SOFTWARE\MyCompany\Settings"
New-Item -Path $registryPath -Force | Out-Null
New-ItemProperty -LiteralPath $registryPath -Name "UserPreference" -Value "Enabled" -PropertyType String -Force | Out-Null

Vérification : Testez le script de remédiation localement et vérifiez que les clés de registre sont créées en utilisant les commandes regedit ou Get-ItemProperty.

04

Déployer la gestion du registre via des remédiations proactives

Les remédiations proactives sont la méthode recommandée pour la gestion continue des clés de registre. Cela crée un mécanisme de surveillance et d'application qui s'exécute selon un calendrier.

Dans le centre d'administration Intune, accédez à Appareils > Scripts et remédiations > Scripts de plateforme et cliquez sur Créer, puis sélectionnez Windows 10 et versions ultérieures.

Configurez les paramètres suivants :

  • Nom : "Configuration du registre Adobe Acrobat DC"
  • Description : "Gère les paramètres de sécurité d'Adobe Acrobat DC via des clés de registre"

Dans la section Paramètres du script :

  • Fichier de script de détection : Téléchargez votre detect-registry.ps1
  • Fichier de script de remédiation : Téléchargez votre remediate-registry.ps1
  • Exécuter ce script en utilisant les identifiants connectés : Non (pour les clés HKLM)
  • Appliquer la vérification de la signature du script : Non
  • Exécuter le script dans l'hôte PowerShell 64 bits : Oui
Astuce pro : Pour les clés de registre HKCU, réglez "Exécuter ce script en utilisant les identifiants connectés" sur Oui. Cela garantit que le script s'exécute dans le contexte de l'utilisateur et peut accéder aux ruches de registre spécifiques à l'utilisateur.

Configurez le calendrier :

  • Fréquence d'exécution : Quotidienne
  • Heure de début : 02:00 AM (en dehors des heures de bureau)

Vérification : Après avoir créé la remédiation, vérifiez l'onglet "Vue d'ensemble" pour voir l'état du déploiement et tout résultat initial des appareils ciblés.

05

Attribuer la gestion du registre aux groupes d'appareils

Ciblez la gestion de votre registre sur des groupes d'appareils spécifiques pour contrôler quelles machines reçoivent la configuration. Cela permet des déploiements progressifs et des tests.

Dans votre configuration de Remédiation Proactive, cliquez sur l'onglet Affectations. Configurez ce qui suit :

Inclure des groupes :

  • Cliquez sur Ajouter un groupe
  • Recherchez et sélectionnez votre groupe d'appareils cible (par exemple, "Stations de travail gérées par IT")
  • Définissez le Type d'affectation sur "Requis"

Exclure des groupes : Ajoutez tous les groupes qui doivent être exclus de cette politique (par exemple, "Appareils de test" lors du déploiement en production).

# Commande PowerShell pour vérifier l'appartenance au groupe (à exécuter sur l'appareil cible)
Get-WmiObject -Class Win32_ComputerSystem | Select-Object Name, Domain

# Vérifiez si l'appareil est joint à Azure AD
dsregcmd /status | findstr "AzureAdJoined"

Cliquez sur Réviser + créer pour finaliser l'affectation.

Avertissement : Testez toujours les modifications du registre sur un petit groupe pilote d'abord. Les modifications du registre peuvent affecter la fonctionnalité des applications et la stabilité du système.

Vérification : Surveillez le déploiement dans Appareils > Scripts et remédiations > Scripts de plateforme. Sélectionnez votre script et consultez l'onglet "Statut de l'appareil" pour voir quels appareils ont appliqué la configuration avec succès.

06

Créer une application Win32 pour la configuration du registre lors de l'installation

Pour les clés de registre qui doivent être définies lors de l'installation de l'application, utilisez la méthode d'application Win32. Cela est idéal pour les paramètres de registre spécifiques aux logiciels.

Tout d'abord, téléchargez l'outil Microsoft Win32 Content Prep Tool v1.11.4 depuis :

https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool/releases

Créez une structure de dossiers pour votre application Win32 :

mkdir C:\IntuneApps\RegistryConfig
cd C:\IntuneApps\RegistryConfig

Créez un script install.ps1 :

# install.ps1 - Configuration du registre lors du déploiement de l'application
Start-Transcript -Path "C:\Windows\Temp\RegistryConfig-Install.log"

try {
    # Créer des clés de registre spécifiques à l'application
    $appRegPath = "HKLM:\SOFTWARE\MyCompany\ApplicationSettings"
    New-Item -Path $appRegPath -Force | Out-Null
    
    # Définir les valeurs de configuration
    New-ItemProperty -Path $appRegPath -Name "ConfigVersion" -Value "2.1" -PropertyType String -Force
    New-ItemProperty -Path $appRegPath -Name "AutoUpdate" -Value 1 -PropertyType DWord -Force
    New-ItemProperty -Path $appRegPath -Name "TelemetryEnabled" -Value 0 -PropertyType DWord -Force
    
    Write-Output "Configuration du registre terminée avec succès"
    exit 0
}
catch {
    Write-Error "Échec de la configuration du registre : $($_.Exception.Message)"
    exit 1
}
finally {
    Stop-Transcript
}

Créez le package .intunewin :

IntuneWinAppUtil.exe -c "C:\IntuneApps\RegistryConfig" -s "install.ps1" -o "C:\IntuneApps\Output"

Vérification : Vérifiez que le fichier .intunewin a été créé avec succès dans le répertoire de sortie avant de procéder à son téléchargement sur Intune.

07

Déployer une application Win32 avec configuration du registre

Téléchargez et configurez votre application Win32 dans Intune pour déployer les paramètres du registre en même temps que les installations d'applications.

Dans le centre d'administration Intune, accédez à Applications > Windows > Ajouter et sélectionnez Application Windows (Win32).

Configurez les informations du package d'application :

  • Sélectionner le fichier du package d'application : Téléchargez votre fichier .intunewin
  • Nom : "Package de configuration du registre"
  • Description : "Configure les paramètres du registre spécifiques à l'application"
  • Éditeur : Le nom de votre organisation

Définissez la configuration du programme :

  • Commande d'installation : powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -File install.ps1
  • Commande de désinstallation : powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Remove-Item 'HKLM:\SOFTWARE\MyCompany\ApplicationSettings' -Recurse -Force"
  • Comportement d'installation : Système
  • Comportement de redémarrage de l'appareil : Aucune action spécifique

Configurez les règles de détection :

  • Format des règles : Configurer manuellement les règles de détection
  • Type de règle : Registre
  • Chemin de la clé : HKLM\SOFTWARE\MyCompany\ApplicationSettings
  • Nom de la valeur : ConfigVersion
  • Méthode de détection : Comparaison de chaînes
  • Opérateur : Égal à
  • Valeur : 2.1

Vérification : Après le déploiement, vérifiez le "Statut d'installation de l'appareil" pour confirmer l'installation réussie et la configuration du registre sur les appareils cibles.

08

Surveiller la conformité de la configuration du registre et résoudre les problèmes

Établissez des procédures de surveillance et de dépannage pour vous assurer que vos configurations de registre fonctionnent correctement sur l'ensemble de votre parc d'appareils.

Surveiller les remédiations proactives :

  1. Accédez à Appareils > Scripts et remédiations > Scripts de plateforme
  2. Sélectionnez votre script de configuration de registre
  3. Consultez l'onglet Statut de l'appareil pour obtenir des informations de conformité

Créez une politique de conformité personnalisée pour une surveillance supplémentaire :

# Script de détection de conformité personnalisé
$registryPath = "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cIPM"
$complianceData = @{
    "RegistryPathExists" = (Test-Path $registryPath)
    "ConfigurationApplied" = $false
}

if ($complianceData.RegistryPathExists) {
    $value = Get-ItemProperty -Path $registryPath -Name "bDontShowMsgWhenViewingDoc" -ErrorAction SilentlyContinue
    $complianceData.ConfigurationApplied = ($value.bDontShowMsgWhenViewingDoc -eq 0)
}

# Sortie des données de conformité au format JSON
$complianceData | ConvertTo-Json

Étapes courantes de dépannage :

  • Erreurs d'exécution de script : Vérifiez les journaux de l'appareil dans C:\Windows\Temp pour les transcriptions PowerShell
  • Problèmes de permission : Vérifiez que le contexte d'exécution du script (Système vs Utilisateur) correspond aux exigences de la ruche de registre
  • Échecs de détection : Testez les scripts de détection localement avec powershell.exe -ExecutionPolicy Bypass -File detect-registry.ps1
Astuce pro : Activez la journalisation des scripts PowerShell via la stratégie de groupe ou Intune pour capturer des informations d'exécution détaillées pour le dépannage des problèmes de registre complexes.

Vérification : Exécutez la commande suivante sur un appareil géré pour vérifier les paramètres du registre :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cIPM" | Format-List

Questions Fréquentes

Microsoft Intune peut-il modifier directement les clés du registre Windows comme les objets de stratégie de groupe ?+
Non, Microsoft Intune ne peut pas modifier directement des clés de registre Windows arbitraires comme les GPO. Le CSP du Registre est obsolète, et Intune s'appuie sur des scripts PowerShell via les remédiations proactives, les scripts de plateforme ou les applications Win32 pour modifier les paramètres du registre. Cela nécessite de créer des scripts de détection et de remédiation plutôt que d'utiliser des modèles administratifs directs.
Quelle est la différence entre l'accès au registre HKLM et HKCU dans les scripts Intune ?+
Les clés de registre HKLM (Local Machine) nécessitent que les scripts s'exécutent dans le contexte Système et affectent tous les utilisateurs de l'appareil. Les clés de registre HKCU (Current User) nécessitent que les scripts s'exécutent dans le contexte Utilisateur et n'affectent que l'utilisateur connecté. Vous devez configurer correctement le contexte d'exécution dans Intune - contexte Système pour les modifications HKLM et contexte Utilisateur pour les modifications HKCU.
Comment dépanner les modifications de registre échouées dans Microsoft Intune ?+
Vérifiez l'état de l'appareil dans le centre d'administration Intune sous Scripts et remédiations pour les messages d'erreur. Consultez les journaux d'exécution PowerShell dans C:\Windows\Temp sur les appareils cibles. Vérifiez les codes de sortie des scripts (0 pour succès, 1 pour échec) et testez les scripts localement avec PowerShell -ExecutionPolicy Bypass. Les problèmes courants incluent un contexte d'exécution incorrect, des problèmes de permission et des chemins de registre mal formés.
Quelle méthode devrais-je utiliser pour l'application continue du registre dans Intune ?+
Utilisez les remédiations proactives pour l'application continue du registre, car elles offrent une surveillance continue et une remédiation automatique selon un calendrier. Les scripts de plateforme sont meilleurs pour les configurations ponctuelles, tandis que les applications Win32 sont idéales pour les paramètres de registre à appliquer lors de l'installation de logiciels. Les remédiations proactives reproduisent le plus fidèlement le comportement des GPO avec un rafraîchissement et une application périodiques.
Ai-je besoin d'une licence spéciale pour les fonctionnalités de gestion du registre dans Microsoft Intune ?+
Oui, les remédiations proactives nécessitent Microsoft Intune Plan 1 ou supérieur, plus l'add-on Intune Suite pour des capacités de script avancées. Les scripts de plateforme de base sont inclus avec la licence standard d'Intune. Le déploiement d'applications Win32 est inclus avec Intune Plan 1. Assurez-vous que votre licence prend en charge la méthode de gestion du registre que vous prévoyez de mettre en œuvre.
Tags
#intune#registre#powershell

Intelligence Complémentaire

Approfondissez vos connaissances

Comment configurer SSO Google Chrome avec Azure AD en utilisant Microsoft Intune
tutorial
Cloud Computing

Comment configurer SSO Google Chrome avec Azure AD en utilisant Microsoft Intune

Explorer
Comment gérer les clés de registre avec Microsoft Intune pour la migration GPO
tutorial
Cloud Computing

Comment gérer les clés de registre avec Microsoft Intune pour la migration GPO

Explorer
Comment déployer des polices personnalisées sur des appareils Windows à l'aide de Microsoft Intune
tutorial
Cloud Computing

Comment déployer des polices personnalisées sur des appareils Windows à l'aide de Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte