Comment contrôler les raccourcis du menu Démarrer de Windows à l'aide de Microsoft Intune

Avant de créer des stratégies dans Intune, vous devez capturer la disposition souhaitée du menu Démarrer à partir d'un appareil de test Windows 11. Cela génère la configuration JSON qu'Intune déploiera sur vos appareils gérés.

Configurez votre menu Démarrer idéal sur un appareil de test Windows 11 en épinglant et en désépinglant les applications selon vos besoins. Une fois configuré, ouvrez PowerShell en tant qu'administrateur et exécutez la commande d'exportation :

Export-StartLayout -Path "C:\temp\StartLayout.json"

Cette commande crée un fichier JSON contenant votre configuration actuelle du menu Démarrer. Le format JSON est requis pour les appareils Windows 11, remplaçant l'ancien format XML utilisé dans Windows 10.

Ouvrez le fichier JSON généré pour en examiner le contenu :

Get-Content "C:\temp\StartLayout.json"

Le fichier doit contenir une structure similaire à celle-ci :

{
  "pinnedList": [
    {
      "desktopAppLink": "%ALLUSERSPROFILE%\\Microsoft\\Windows\\Start Menu\\Programs\\Microsoft Edge.lnk"
    },
    {
      "packagedAppId": "Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"
    }
  ]
}

Vérification : Confirmez que le fichier JSON existe et contient une syntaxe valide en l'ouvrant dans un éditeur de texte ou en exécutant Test-Json -Path "C:\temp\StartLayout.json".

Accédez au centre d'administration Microsoft Endpoint Manager pour créer un profil de configuration personnalisé qui contrôlera les dispositions du menu Démarrer dans votre organisation.

Connectez-vous à https://endpoint.microsoft.com et accédez à Appareils > Windows > Profils de configuration. Cliquez sur Créer un profil et sélectionnez :

• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Personnalisé

Fournissez un nom descriptif tel que "Disposition du menu Démarrer de l'entreprise" et ajoutez une description détaillée expliquant l'objectif de la politique.

Dans la section Paramètres de configuration, cliquez sur Ajouter pour créer votre premier paramètre OMA-URI :

Nom : Configurer les épingles de démarrage
Description : Définit les applications épinglées personnalisées dans le menu Démarrer
OMA-URI : ./Vendor/MSFT/Policy/Config/Start/ConfigureStartPins
Type de données : Chaîne
Valeur : [Collez votre contenu JSON complet de l'étape 1]

Ajoutez un deuxième paramètre OMA-URI pour masquer la section Recommandé :

Nom : Masquer la section Recommandé
Description : Supprime les applications recommandées du menu Démarrer
OMA-URI : ./Vendor/MSFT/Policy/Config/Start/HideRecommendedSection
Type de données : Entier
Valeur : 1

Ajoutez un troisième paramètre pour empêcher les utilisateurs de modifier le menu Démarrer :

Nom : Verrouiller le menu Démarrer
Description : Empêche la personnalisation du menu Démarrer par l'utilisateur
OMA-URI : ./Vendor/MSFT/Policy/Config/Start/LockStart
Type de données : Entier
Valeur : 1

Vérification : Vérifiez que les trois paramètres OMA-URI sont correctement configurés avant de procéder aux affectations.

Configurez les paramètres d'affectation pour déployer votre stratégie de menu Démarrer à des groupes d'appareils ou d'utilisateurs spécifiques au sein de votre organisation.

Dans l'onglet Affectations de votre profil de configuration, cliquez sur Ajouter un groupe pour sélectionner les groupes cibles. Vous pouvez affecter à :

• Groupes d'appareils : S'applique quel que soit l'utilisateur connecté
• Groupes d'utilisateurs : Suit les utilisateurs sur différents appareils
• Tous les appareils/utilisateurs : Déploiement à l'échelle de l'organisation

Définissez le type d'affectation en fonction de vos besoins :

Type d'affectation : Requis
Filtre : Aucun (ou créer des filtres personnalisés)
Règles d'applicabilité : Non configuré

Configurez les paramètres de portée de la stratégie :

• Requis : La stratégie doit être appliquée et ne peut pas être supprimée par les utilisateurs
• Disponible : Les utilisateurs peuvent choisir d'appliquer la stratégie
• Non configuré : La stratégie n'est pas appliquée

Examinez le résumé de l'affectation et cliquez sur Créer pour déployer le profil de configuration.

Vérification : Accédez à Appareils > Surveiller > Configuration de l'appareil pour confirmer que le profil apparaît comme "En attente" ou "Réussi" pour les appareils cibles.

Créez et déployez des scripts PowerShell via Intune pour ajouter des raccourcis personnalisés qui peuvent ne pas être disponibles via l'épinglage d'application standard.

Créez un script PowerShell pour déployer des raccourcis personnalisés comme l'application Musique. Enregistrez ce script sous Deploy-StartMenuShortcuts.ps1 :

# Créer un raccourci Musique
$WshShell = New-Object -ComObject WScript.Shell
$ShortcutPath = "$env:ProgramData\Microsoft\Windows\Start Menu\Programs\Music.url"
$Shortcut = $WshShell.CreateShortcut($ShortcutPath)
$Shortcut.TargetPath = "ms-music:"
$Shortcut.IconLocation = "C:\Windows\System32\shell32.dll,13"
$Shortcut.Save()

# Créer un raccourci d'application personnalisé
$AppShortcut = $WshShell.CreateShortcut("$env:ProgramData\Microsoft\Windows\Start Menu\Programs\Company Portal.lnk")
$AppShortcut.TargetPath = "C:\Program Files\Microsoft\CompanyPortal\CompanyPortal.exe"
$AppShortcut.Save()

Write-Output "Raccourcis du menu Démarrer déployés avec succès"

Dans le centre d'administration Intune, accédez à Appareils > Scripts et cliquez sur Ajouter > Windows 10+. Téléchargez votre script PowerShell avec ces paramètres :

Nom : Déployer les raccourcis du menu Démarrer
Description : Ajoute des raccourcis personnalisés au menu Démarrer
Emplacement du script : [Télécharger Deploy-StartMenuShortcuts.ps1]
Exécuter ce script avec les identifiants de l'utilisateur connecté : Non
Appliquer la vérification de la signature du script : Non
Exécuter le script dans l'hôte PowerShell 64 bits : Oui

Affectez le script aux mêmes groupes que votre profil de configuration pour garantir un déploiement cohérent.

Vérification : Vérifiez le statut d'exécution du script dans Appareils > Scripts > [Votre Script] > Statut de l'appareil et vérifiez que les raccourcis apparaissent dans le menu Démarrer des appareils cibles.

Contrôlez si les utilisateurs peuvent modifier la disposition de leur menu Démarrer ou s'ils doivent utiliser exclusivement la configuration définie par l'organisation.

Créez un profil de configuration supplémentaire spécifiquement pour les autorisations des utilisateurs. Accédez à Appareils > Profils de configuration > Créer un profil avec ces paramètres :

• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Personnalisé
• Nom : "Autorisations Utilisateur Menu Démarrer"

Ajoutez des paramètres OMA-URI pour contrôler les capacités de personnalisation des utilisateurs :

Nom : Autoriser les Éléments Épinglés
OMA-URI : ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderItems
Type de données : Entier
Valeur : 0 (désactiver) ou 1 (activer)

Nom : Désactiver les Menus Contextuels
OMA-URI : ./Vendor/MSFT/Policy/Config/Start/DisableContextMenus
Type de données : Entier
Valeur : 1 (désactiver les menus clic droit)

Pour les organisations nécessitant de la flexibilité, créez différents profils d'autorisation :

Vérification : Testez les autorisations des utilisateurs en vous connectant aux appareils cibles et en essayant d'épingler/désépingler des applications du menu Démarrer.

Implémentez des procédures de surveillance et de dépannage pour garantir que vos politiques du menu Démarrer se déploient avec succès sur tous les appareils cibles.

Surveillez le statut de déploiement des politiques via le centre d'administration Intune. Accédez à Appareils > Surveiller > Configuration de l'appareil pour voir les statistiques de déploiement :

• Réussi : Politique appliquée avec succès
• Erreur : Échec de l'application de la politique
• Conflit : Plusieurs politiques conflictuelles
• Non applicable : L'appareil ne répond pas aux exigences

Pour un dépannage détaillé, accédez aux rapports d'appareils individuels en cliquant sur un appareil spécifique dans Appareils > Tous les appareils, puis en examinant la section Configuration de l'appareil.

Commandes de dépannage courantes pour les appareils finaux :

# Forcer la synchronisation des politiques sur l'appareil cible
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Vérifier le statut d'application des politiques
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\Start" -Name ConfigureStartPins

# Voir les journaux des politiques du menu Démarrer
Get-WinEvent -LogName "Microsoft-Windows-Shell-Core/Operational" | Where-Object {$_.Message -like "*Start*"}

Créez un script PowerShell de dépannage pour les équipes du service d'assistance :

# Script de dépannage des politiques du menu Démarrer
$PolicyPath = "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\Start"
$ConfigValue = Get-ItemProperty -Path $PolicyPath -Name "ConfigureStartPins" -ErrorAction SilentlyContinue

if ($ConfigValue) {
    Write-Output "La politique du menu Démarrer est appliquée"
    Write-Output "Valeur de la politique : $($ConfigValue.ConfigureStartPins)"
} else {
    Write-Output "Politique du menu Démarrer non trouvée - vérifiez le déploiement Intune"
}

# Vérifier les politiques conflictuelles
$ConflictingPolicies = Get-ChildItem -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer" -ErrorAction SilentlyContinue
if ($ConflictingPolicies) {
    Write-Output "Avertissement : Paramètres de stratégie de groupe conflictuels détectés"
}

Vérification : Exécutez le script de dépannage sur les appareils problématiques et examinez les tableaux de bord de rapports Intune pour confirmer que les taux de réussite de déploiement des politiques dépassent 95 %.

Effectuez des tests complets pour vous assurer que votre configuration du menu Démarrer fonctionne correctement dans différents scénarios utilisateur et types d'appareils.

Créez une liste de contrôle systématique pour la validation :

1. Inscription d'un nouvel appareil : Testez sur des appareils nouvellement inscrits
2. Mises à jour d'appareils existants : Vérifiez que la politique s'applique aux appareils précédemment configurés
3. Scénarios de profil utilisateur : Testez avec des profils utilisateur nouveaux et existants
4. Différentes versions de Windows : Validez sur Windows 10 et Windows 11

Utilisez ce script PowerShell pour valider la configuration du menu Démarrer sur les appareils de test :

# Script de validation du menu Démarrer
$StartLayoutPath = "$env:LOCALAPPDATA\Microsoft\Windows\Shell\LayoutModification.xml"
$PolicyApplied = Test-Path $StartLayoutPath

Write-Output "Résultats de la validation du menu Démarrer :"
Write-Output "================================"
Write-Output "Fichier de mise en page existant : $PolicyApplied"

if ($PolicyApplied) {
    $LayoutContent = Get-Content $StartLayoutPath
    Write-Output "Taille du fichier de mise en page : $((Get-Item $StartLayoutPath).Length) octets"
    
    # Vérifiez les applications épinglées spécifiques
    $PinnedApps = $LayoutContent | Select-String "desktopAppLink|packagedAppId"
    Write-Output "Applications épinglées trouvées : $($PinnedApps.Count)"
    
    foreach ($App in $PinnedApps) {
        Write-Output "  - $($App.Line.Trim())"
    }
}

# Testez les restrictions de personnalisation utilisateur
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Windows\Explorer"
$StartPinned = Get-ItemProperty -Path $RegistryPath -Name "LockedStartLayout" -ErrorAction SilentlyContinue

if ($StartPinned) {
    Write-Output "Le menu Démarrer est verrouillé : $($StartPinned.LockedStartLayout -eq 1)"
} else {
    Write-Output "Statut de verrouillage du menu Démarrer : Non configuré"
}

Documentez les résultats des tests et créez un plan de retour en arrière :

# Script de retour d'urgence
# Supprimez l'application de la politique du menu Démarrer
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device\Start" -Name "ConfigureStartPins" -Force -ErrorAction SilentlyContinue

# Effacez les modifications de mise en page spécifiques à l'utilisateur
Remove-Item -Path "$env:LOCALAPPDATA\Microsoft\Windows\Shell\LayoutModification.xml" -Force -ErrorAction SilentlyContinue

# Redémarrez Explorer pour appliquer les modifications
Stop-Process -Name "explorer" -Force
Start-Process "explorer.exe"

Vérification : Confirmez que les applications épinglées apparaissent correctement, que les restrictions utilisateur fonctionnent comme prévu et que la mise en page du menu Démarrer reste cohérente après les cycles de déconnexion/reconnexion de l'utilisateur.