Skip to content

Configurer beem Device Management – Microsoft Intune

Ce guide vous explique comment connecter beem à Microsoft Intune pour beem Device Management, afin que l’état de conformité des appareils puisse être appliqué au moment de l’accès au réseau.

Conditions préalables

  • L'utilisateur qui crée l'application dans Microsoft Entra ID doit disposer du rôle Global Administrator, Application Administrator ou Cloud Application Administrator.
  • L'utilisateur qui crée le profil beem Device Management dans Concerto doit disposer des droits nécessaires pour créer ce profil (rôle Enterprise Administrator).

Pour créer le profil de gestion des appareils beem dans Concerto, vous devez disposer des informations suivantes issues de l'application Entra ID que vous venez de créer :

ChampValeur
Directory (tenant) IDDirectory (tenant) ID de l'application Microsoft Entra ID
Application (client) IDApplication (client) ID de l'application Microsoft Entra ID
Client SecretValeur du secret client

Créer l'application dans Microsoft Entra ID

Connectez-vous au Microsoft Entra ID portal en tant que Global Administrator, Application Administrator ou Cloud Application Administrator.

  1. Ouvrez Microsoft Entra ID — cliquez sur l'icône Microsoft Entra ID, ou saisissez « Microsoft Entra » dans le champ de recherche, puis sélectionnez l'icône Microsoft Entra ID.

  2. Cliquez sur App registrations.

  3. Sélectionnez All applications.

  4. Sélectionnez New registration.

  5. Saisissez un nom pour l'application. Ne modifiez pas les autres paramètres et cliquez sur Register.

  6. Cliquez sur Manage.

  7. Sélectionnez API permissions.

  8. Sélectionnez Add a permission.

  9. Dans la section Microsoft APIs, sélectionnez l'application Intune.

  10. Sélectionnez Application permissions.

  11. Dans le champ de recherche des autorisations, saisissez « get_device_compliance », sélectionnez l'autorisation « get_device_compliance », puis cliquez sur Add permissions.

  12. Sélectionnez à nouveau Add a permission.

  13. Sélectionnez « Microsoft Graph ».

  14. Sélectionnez Delegated permissions.

  15. Dans le champ de recherche des autorisations, saisissez AdministrativeUnit.Read.All, ouvrez le conteneur, puis sélectionnez l'autorisation. Ajoutez les autorisations suivantes de la même manière si elles n'ont pas déjà été ajoutées lors de la création de l'application :

    • Device.Read
    • DeviceManagementApps.Read.All
    • DeviceManagementManagedDevices.PrivilegedOperations.All
    • DeviceManagementManagedDevices.Read.All
    • email
    • openid
    • profile
    • User.Read
    • User.ReadBasic.All
  16. Une fois toutes les autorisations sélectionnées, cliquez sur Add permissions.

  17. Sélectionnez à nouveau Add a permission.

  18. Sélectionnez Microsoft Graph.

  19. Sélectionnez Application permissions.

  20. Dans le champ de recherche des autorisations, saisissez DeviceManagementManagedDevices.PrivilegedOperations.All, ouvrez le conteneur, puis sélectionnez l'autorisation. Ajoutez DeviceManagementManagedDevices.Read.All de la même manière.

  21. Une fois toutes les autorisations sélectionnées, cliquez sur Add permissions.

  22. Sélectionnez Grant admin consent pour votre tenant.

  23. Cliquez sur Yes. Les autorisations requises sont désormais configurées.

  24. Dans le menu, sélectionnez Certificates & secrets.

  25. Cliquez sur New client secret.

  26. Saisissez une description dans le champ Description. Dans la liste déroulante Expires sélectionnez l'option qui vous convient ou conservez la valeur par défaut, puis cliquez sur Add.

  27. Copiez l'Value e du secret client à l'aide de l'icône de copie située à la fin du champ. Vous aurez besoin de cette valeur pour la configuration dans Concerto.

    ::: avertissement Copiez dès maintenant la valeur du secret client — elle ne sera plus visible une fois que vous aurez quitté l'application. :::

  28. Sélectionnez Overview dans le menu.

  29. Copiez les valeurs Application (client) ID et Directory (tenant) ID à l'aide de l'icône de copie située à la fin de chaque ligne. Vous aurez besoin de ces deux valeurs pour la configuration dans Concerto.

Ajouter un profil beem Device Management

Connectez-vous à Concerto avec un utilisateur disposant des droits nécessaires pour créer un profil beem Device Management (rôle Enterprise Administrator).

Pour configurer le profil, vous avez besoin des informations suivantes :

ChampValeur
NameUn nom pour le profil
DescriptionUne description du profil, par exemple « Profil MDM Microsoft Intune »
TagsUne ou plusieurs balises, si nécessaire
Directory (tenant) IDDirectory (tenant) ID de l'application Microsoft Entra ID
Application (client) IDApplication (client) ID de l'application Microsoft Entra ID
Client SecretValeur du secret client
Authentication Domainlogin.microsoftonline.com
API Domaingraph.microsoft.com
  1. Dans le tenant, sélectionnez Configure, puis Partner Integration, puis Unified Endpoint Management.

  2. Sélectionnez Microsoft Intune, puis cliquez sur le bouton Get Started.

  3. Remplissez les champs obligatoires en utilisant les informations du tableau ci-dessus.

  4. Cliquez sur le bouton Save. La configuration a été enregistrée avec succès.

  5. Cliquez sur Publish (en haut à droite) pour publier la configuration sur la ou les passerelles afin qu'elle devienne active.

  6. Dans la fenêtre « Gateway Publish Status », cliquez sur le bouton Publish.

    ::: avertissement La publication applique non seulement cette configuration, mais également toutes les modifications en attente apportées à d'autres configurations. :::

Créer une règle de stratégie pour vérifier l'état de conformité du périphérique

Connectez-vous à Concerto avec un utilisateur disposant des droits nécessaires pour créer une règle de stratégie.

  1. Dans le tenant beem, sélectionnez Configure, puis Secure Access, puis Client-based Access, puis Policy Rules.

  2. Cliquez sur le bouton Add.

  3. Effectuez l'étape 1 (Système d'exploitation) et l'étape 2 (Utilisateurs et groupes). À l'étape 3 (État de sécurité des terminaux), cliquez sur le bouton Customize dans le volet Device Compliance Status.

  4. Sélectionnez l'option « Managed Devices » (Modifier le statut) et choisissez le statut approprié. Une fois le statut défini, cliquez sur « Retour » ou « Suivant ».

  5. Suivez les étapes 4, 5 et 6. À l'étape 7 (Client Configuration), cliquez sur le bouton Customize dans le volet Client Controls.

  6. Dans le champ Certificate Issuer, saisissez la chaîne «Microsoft Intune MDM Device CA».

    ::: avertissement Il est indispensable de spécifier l'Certificate Issuer. Si vous ne le faites pas, le client d'accès sécurisé n'enverra pas l'identifiant de l'appareil lors de la connexion aux passerelles, et la politique appropriée ne sera donc pas appliquée. :::