Bonne nouvelle pour les admins Intune : Microsoft apporte enfin un contrôle natif sur le fameux prompt Autoriser mon organisation à gérer mon appareil (Allow my organization to manage my device) qui apparaît quand un utilisateur ajoute un compte pro/école sur Windows.

Le problème

Le problème (en particulier dans les scénarios BYOD) était l'inscription indésirable, avec des inscriptions "inattendues" sur des appareils personnels, alors que parfois nous ne voulions qu'une inscription Entra (device registration) sans gestion complète.

Ce qui change

Un nouveau paramètre, en Public Preview, permet de désactiver l’inscription MDM au moment de l’ajout du compte : Disable MDM enrollment when adding a work or school account on Windows (dans Microsoft Graph, le nom du paramètre est isMdmEnrollmentDuringRegistrationDisabled).

Concrètement, il devient possible de dissocier l’enregistrement de l’appareil dans Microsoft Entra ID et l’inscription automatique en MDM (Intune).

L'utilisateur ne verra plus le pop-up:

Précision sur ce nouveau paramètre

  • Il s’applique aux utilisateurs ciblés par la config d’auto-enrollment MDM
  • Il concerne les appareils Entra registered / Workplace joined
  • Il vise surtout le flux “ajout de compte” via Edge ou des apps natives comme Teams, Outlook.

Ce n’est pas un blocage total, ce paramètre empêche seulement l’option d’enrôlement MDM dans ce flux précis.

Un utilisateur peut toujours avoir son périphérique enrôlé :

  • via Windows Settings (si éligible à l’auto-enrollment)
  • via des prompts liés à l’accès à une ressource qui exige l’inscription MDM

Comment modifier ce paramètre

Méthode via PowerShell

Je l’ai implémenté dans mon module PS365 qui est disponible sur PowerShell Gallery:

Install-Module PS365 -Scope CurrentUser

Connect-MgGraph -Scopes 'Policy.ReadWrite.MobilityManagement'

Set-IntuneAutoMDMEnrollmentPolicy -State enabled

Méthode manuelle

Depuis le centre d’admin Intune > Devices > Enrollment > Automatic Enrollment > Disable MDM enrollment when adding work or school account on Windows : Yes

Intune
Microsoft 365
Previous Post Fixing ADMX Import Error in Intune: "NamespaceMissing:Microsoft.Policies.Windows"
Next Post Intune Auto-enrollment: new setting to block MDM enrollment when adding a work or school account

Comments

banner-Bastien Perez
Bastien Perez's avatar

Freelance Microsoft 365 - Active Directory - Modern Workplace

France