Votre application MSI apparaît dans Intune mais reste invisible dans le Portail d’entreprise ? Suivez ce guide pas‑à‑pas pour comprendre les causes les plus courantes et appliquer des correctifs fiables, de l’affectation à la détection en passant par la synchronisation et les journaux.
Application MSI Intune non affichée dans le Portail d’entreprise : contexte
Un administrateur a importé un paquet MSI dans Microsoft Intune. L’application est visible et correctement répertoriée dans Applications > Windows du centre d’administration, mais les utilisateurs finaux ne la voient pas dans le Portail d’entreprise (Company Portal) sur Windows 10/11. Cette situation est fréquente et, bonne nouvelle, le diagnostic suit un nombre limité de causes logiques : affectation, ciblage de l’OS, règles de détection, visibilité côté Portail et délais de propagation.
Ce que disait la discussion d’origine
La seule réponse fournie renvoyait vers un forum spécialisé, en indiquant qu’aucun ingénieur Intune n’intervenait sur le forum consulté. Recommandation : republier la question sur Microsoft Q&A (rubrique Intune) pour obtenir une assistance dédiée.
Pourquoi une application MSI peut ne pas apparaître dans Company Portal
- Affectation inadaptée : l’app n’est pas Disponible ou n’est pas ciblée sur le bon groupe (utilisateur ou appareil).
- Inadéquation OS/archi : le MSI vise un OS ou une architecture qui ne correspond pas (x86/x64).
- Détection « déjà installée » : une règle de détection renvoie « Présent », cachant l’app en mode Disponible.
- Synchronisation et cache : le Portail d’entreprise n’a pas encore reçu la nouvelle politique (délai de propagation, cache local).
- Contexte/licence : l’utilisateur n’est pas licencié Intune ou n’est pas connecté avec le compte Entra ID (ex‑Azure AD) ciblé.
Plan d’action express (≈15 minutes)
- Vérifier l’affectation : définir l’app en Disponible (ou Requise si installation silencieuse souhaitée) pour un groupe test d’utilisateurs et/ou d’appareils.
- Forcer la synchronisation sur l’appareil test :
- Portail d’entreprise : Paramètres > Synchroniser.
- Windows : Paramètres > Comptes > Accès professionnel ou scolaire > Informations > Synchroniser.
- Confirmer le compte : l’utilisateur est bien connecté au Portail avec le même compte Entra ID que celui ciblé par l’affectation.
- Contrôler l’OS et l’architecture : l’appareil correspond à la cible (Windows 10/11, x86/x64).
- Inspecter la détection : si une version est déjà installée (ou détectée), l’app Disponible est masquée. Adapter la détection ou passer en Win32 pour plus de contrôle.
Réponse & pistes de résolution — récapitulatif structuré
| Action proposée | Détails |
|---|---|
| Redirection vers le forum spécialisé Intune | La seule réponse reçue indique qu’aucun ingénieur Intune n’est présent sur le forum consulté ; il est conseillé de republier la question sur Microsoft Q&A (rubrique Intune) pour obtenir une assistance dédiée. |
| Vérifications techniques complémentaires | Affectation : confirmer que l’application est définie comme Disponible (ou Requise) pour les groupes d’utilisateurs ou d’appareils adéquats. Type d’appareil : vérifier que l’OS ciblé par le MSI correspond à l’OS de l’appareil (Windows 10/11) et que l’architecture (x86/x64) est correcte. Règles de détection : s’assurer que la détection renvoie bien Absent quand l’app n’est pas installée ; une détection mal configurée peut masquer l’app. Portail d’entreprise : demander aux utilisateurs de lancer une synchronisation manuelle et de vérifier qu’ils sont connectés avec le même compte Entra ID que celui ciblé. Délai de propagation : après le chargement initial du MSI, compter jusqu’à ~60 minutes (parfois plus) pour la réplication Cloud et le rafraîchissement du Portail. Journalisation : Côté client : consulter IntuneManagementExtension.log et CompanyPortal.log. Côté portail d’admin : utiliser Intune > Dépannage + support pour vérifier si l’app est bien « Assignée » à l’utilisateur. |
Checklist de diagnostic complète
| Élément | Où vérifier | Ce qu’on cherche | À corriger si… |
|---|---|---|---|
| Affectation | Intune > Applications > Windows > [Votre MSI] > Affectations | Mode Disponible ou Requise sur un groupe de test pertinent | Aucun groupe ciblé, ou mauvais groupe : ajouter un groupe pilote (utilisateurs et/ou appareils) |
| Contexte d’affectation | Intune > Groupes (Entra ID) | L’utilisateur et/ou l’appareil appartiennent bien au groupe | Membre manquant ou règle dynamique trop restrictive : corriger la règle, attendre l’évaluation, ou ajouter en statique pour le test |
| Licence & connexion | Centre d’administration M365 / Portail d’entreprise | Licence Intune présente ; Portail connecté avec le bon compte | Affecter une licence, demander à l’utilisateur de se reconnecter avec le compte visé |
| OS & architecture | Appareil (Paramètres > Système > Informations) | Windows 10/11, x86/x64 correspondant à la cible du MSI | Publier la version adaptée (par ex. x64) ou utiliser un package Win32 avec requirement rules |
| Détection | Propriétés de l’application / Règles | Détection cohérente (GUID MSI, registre, fichier) | Si la détection renvoie Présent, l’app Disponible est masquée : corriger la règle |
| Synchronisation | Portail d’entreprise / Paramètres Windows | Synchronisation manuelle effectuée | Demander une synchro, redémarrer si besoin, patienter le temps de propagation |
| Journaux côté client | Fichiers de logs & Observateur d’événements | Absence d’erreurs IME/DMClient, détection attendue | Analyser les erreurs, ajuster l’installation ou la détection |
| Portail d’entreprise | Intune > Dépannage + support | L’app figure comme « Assignée » pour l’utilisateur | Si « Non assignée », revoir l’affectation et la cible |
Affectation et visibilité dans Company Portal
Le Portail d’entreprise n’affiche que les applications éligibles pour l’utilisateur et l’appareil. Les règles de base :
- Disponible : l’utilisateur voit l’application et peut l’installer à la demande. Si la détection renvoie « Présent », l’app peut être masquée.
- Requise : l’app s’installe automatiquement (silencieusement). Généralement, elle n’apparaît pas dans la liste des apps à installer, ce qui est souvent souhaité pour les déploiements imposés.
Conseils pragmatiques :
- Ciblez au moins un groupe d’utilisateurs et un groupe d’appareils pendant vos tests ; certains environnements observent des latences différentes selon le type de groupe.
- Évitez les filtres trop restrictifs (par exemple un filtre d’appareil qui exclut sans le vouloir les postes pilotes).
- Documentez le contexte choisi (utilisateur vs appareil) pour faciliter le support et la réversibilité.
Règles de détection MSI : éviter le faux « Déjà installé »
Avec un MSI importé en tant qu’application Windows (ligne de produit), Intune sait détecter l’installation via le ProductCode (GUID). Si la détection croit trouver l’app déjà présente, le Portail masque l’app en mode Disponible. Causes courantes :
- Une version antérieure (ou parallèle x86/x64) est installée et partage le même GUID ;
- Le MSI supporte uniquement une installation par utilisateur alors que vous attendiez une installation machine ;
- Des restes en registre (clés Uninstall) trompent la détection.
Bonnes pratiques de détection :
- Pour un MSI Win32 (empaqueté), utilisez la détection par MSI product code ou par registre sur une clé/valeur précise (
DisplayVersion). Ajoutez un chemin WOW6432Node si l’app est 32 bits sur OS 64 bits. - En cas de faux positifs, ciblez un fichier binaire clé (version exacte) comme détection additionnelle.
Exemple de clés de registre utiles
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{GUID}
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{GUID}
Valeurs fréquentes : DisplayName, DisplayVersion, Publisher, InstallLocation
Exemples PowerShell (inspection locale)
# Lister les applis MSI visibles via les clés Uninstall (machine)
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*' |
Select-Object DisplayName, DisplayVersion, PSChildName, UninstallString |
Sort-Object DisplayName
# Vérifier la présence d'un GUID précis (x64 & x86)
$guid = '{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}'
$paths = @(
"HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall$guid",
"HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall$guid"
)
$exists = $paths | ForEach-Object { Test-Path $_ }
$exists -contains $true Synchronisation, délais et cache
Après l’ajout d’une application ou la modification d’une affectation, laissez du temps à la réplication Cloud. Sur Windows, la synchronisation MDM suit des cadences régulières, et le Portail d’entreprise possède un cache local.
- Actions utiles : synchroniser depuis le Portail, déclencher une synchro MDM depuis Windows, redémarrer le service « Intune Management Extension », puis redémarrer le poste si nécessaire.
- Temporisation : prévoir jusqu’à ~60 minutes (parfois davantage) pour voir l’app apparaître après un premier import.
- Cache du Portail : si le comportement reste anormal, tenter une réinitialisation de l’app Company Portal (Paramètres > Applications > Company Portal > Options avancées > Réinitialiser).
Journaux et outils de diagnostic
Les logs apportent des preuves objectives et accélèrent la résolution.
| Source | Emplacement | Ce qu’on y voit |
|---|---|---|
| Intune Management Extension | C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log | Évaluation des affectations, règles de détection, déclenchement d’installations Win32/MSI |
| Company Portal | C:\Users\<user>\AppData\Local\Packages\MicrosoftCorporationII.WindowsCompanyPortal_8wekyb3d8bbwe\LocalState\ | Journal CompanyPortal.log, informations sur la synchronisation et l’interface |
| Observateur d’événements | Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider (DMClient) | Inscription MDM, synchronisations, erreurs de stratégie |
| Collecte guidée | Dans le Portail d’entreprise : Paramètres > Collecter les diagnostics | Zip de logs prêt pour le support : utile en cas d’escalade |
Problèmes liés au package MSI
Certains MSI ne sont pas « cloud‑friendly ». Vérifications à faire :
- Signature & intégrité : éviter les MSI altérés ou reconditionnés par des outils exotiques.
- Contexte d’installation : privilégier le machine context (SYSTEM). Les MSI qui imposent une installation par utilisateur peuvent poser des problèmes de détection et d’élévation.
- Prérequis : .NET, VC++ Redistributable, services spécifiques… Déployez les dépendances avant ou utilisez un package Win32 avec dépendances.
- Custom actions interactives : bannir les invites UI ; installez en silencieux (
msiexec /i app.msi /qn /norestart).
Astuce : si vous butez sur les limites d’un MSI « ligne de produit », empaquetez l’app au format Win32 (outil Microsoft Win32 Content Prep). Vous gagnerez en contrôle (détections multiples, conditions, dépendances, supersedence).
MSI (ligne de produit) vs Win32 : quand choisir quoi ?
| Critère | MSI (LoB) | Win32 |
|---|---|---|
| Mise en paquet | Import direct du MSI | Conversion en .intunewin (outil dédié) |
| Détection | Automatique via GUID MSI | Flexible : MSI, registre, fichier, script |
| Dépendances | Limitées | Support des dépendances (ordre maîtrisé) |
| Supersedence | Restreint | Évolué (remplacement/mise à niveau) |
| Résilience | Simple à publier | Meilleur contrôle en environnements hétérogènes |
| Cas d’usage | MSI propre, sans prérequis | Apps complexes, upgrades, cohabitation x86/x64 |
Scénarios fréquents & correctifs
- L’app est « Disponible », mais invisible : la détection renvoie Présent. Désinstallez l’ancienne version ou corrigez la détection (Win32 recommandé).
- Visible pour certains, pas pour d’autres : appartenance de groupe dynamique différée. Ajoutez temporairement les testeurs en statique et laissez le temps d’évaluation.
- App 32 bits sur OS 64 bits : clé de détection sous WOW6432Node. Ajoutez une règle miroir.
- Compte erroné dans le Portail : l’utilisateur a plusieurs comptes. Demandez la déconnexion/reconnexion avec le compte Entra ID ciblé.
- Dépôt récent : propagation incomplète. Forcer la synchro, patienter, vérifier l’état dans Dépannage + support.
- App requise mais attendue en libre-service : une affectation Requise n’apparaît pas comme installable dans le Portail. Basculer en Disponible pour l’usage self‑service.
- Proxy/filtrage : si les services MDM/WNS sont filtrés, la synchro est erratique. Valider l’accès sortant nécessaire (liste d’URL/ports de l’organisation).
- Package corrompu : réimporter le MSI depuis une source fiable ou passer en Win32.
Procédure pas à pas (détaillée)
- Confirmer l’éligibilité
- OS de l’appareil : Windows 10/11 pris en charge par l’app.
- Architecture : publier x64 si l’appareil est x64 (préférable), x86 si l’app l’exige.
- Valider l’affectation
- Créer un groupe d’utilisateurs Pilote-Intune et y ajouter 1‑2 testeurs.
- Dans l’app, onglet Affectations : définir Disponible pour ce groupe.
- Forcer la synchronisation
- Portail d’entreprise : Paramètres > Synchroniser.
- Windows : Accès professionnel ou scolaire > Informations > Synchroniser.
- Attendre quelques minutes, puis relancer le Portail.
- Inspecter la détection
- Si l’app n’apparaît toujours pas, vérifier si l’ancienne version est installée (Panneau de config / Applications & fonctionnalités).
- Registre : rechercher la clé Uninstall correspondante et la valeur DisplayVersion.
- Lire les journaux
- IntuneManagementExtension.log : repérer l’évaluation de l’app.
- CompanyPortal.log : voir la réception de la disponibilité et le rendu.
- DMClient (Observateur d’événements) : erreurs de synchro MDM éventuelles.
- Décider d’un repackage Win32
- Si la détection MSI est ambiguë (cohabitation de versions, custom actions), publiez au format Win32 avec des règles de détection robustes.
Bonnes pratiques pour ne plus revivre ce problème
- Standardisez les affectations : toujours un groupe Pilote (utilisateurs) et un groupe Appareils dédié.
- Rédigez la détection avant l’empaquetage : cible, registre/fichier, versions tolérées.
- Documentez l’architecture : lister si l’app existe en x86/x64 et choisir la cible par défaut.
- Automatisez la vérification : script de contrôle (présence clé registre, version) avant de passer en production.
- Adoptez Win32 dès que l’app nécessite des prérequis, des upgrades maîtrisés ou un enchaînement d’installations.
- Surveillez le service : en cas d’anomalies globales, vérifier l’état des services cloud de l’organisation.
FAQ
Pourquoi l’app apparaît dans Intune mais pas dans le Portail ?
Parce que l’affectation ne rend pas l’app éligible pour l’utilisateur/appareil, ou parce que la détection indique « déjà installé », ou encore parce que la synchro n’a pas abouti. Les cinq sections précédentes couvrent ces cas.
Dois‑je toujours cibler des groupes d’utilisateurs ?
Non, mais c’est recommandé pour la visibilité côté Portail. Pendant les tests, ciblez à la fois un petit groupe d’utilisateurs et un groupe d’appareils.
Mon MSI s’installe mais n’apparaît pas en « Disponible » : normal ?
Oui, s’il est détecté comme présent, le Portail n’affiche plus l’option d’installation. Utilisez la page Installé du Portail pour vérifier sa présence.
Je dois pousser l’app sans qu’elle soit visible :
Utilisez une affectation Requise. L’app sera installée silencieusement et ne figurera pas dans la galerie du Portail.
Quand basculer en Win32 ?
Dès qu’il y a prérequis, dépendances, upgrades contrôlés ou que la détection MSI est sujette à caution. Win32 permet une détection multiple et une supersedence propre.
Informations supplémentaires utiles
- Les MSI non signés ou compressés via des outils externes peuvent être rejetés. Testez l’import d’un MSI « propre » pour isoler le problème.
- Si l’application doit rester invisible mais installée silencieusement, préférez l’affectation Requise plutôt que Disponible.
- Les applications Win32 empaquetées avec le Microsoft Win32 Content Prep Tool offrent un contrôle plus fin : conditions, scripts pré/post‑installation, dépendances, redémarrages.
Résumé
Un MSI visible dans Intune mais absent du Portail d’entreprise est quasi toujours lié à un trio Affectation – Détection – Synchronisation. Commencez par rendre l’app Disponible pour un groupe pilote bien identifié, forcez une synchro et validez la connexion Entra ID. Si l’app demeure invisible, suspectez un faux positif de détection (version déjà présente, GUID commun, reste de registre) et basculez si besoin en Win32 pour reprendre la main. Les journaux (IntuneManagementExtension.log, CompanyPortal.log, DMClient) fourniront la preuve technique qui oriente la correction. Enfin, si vous avez besoin d’un avis expert, reformulez le cas sur Microsoft Q&A (Intune) avec vos logs clés : vous obtiendrez des pistes ciblées et reproductibles.
En résumé : la discussion initiale n’a fourni qu’une redirection vers Microsoft Q&A, sans solution technique. Les vérifications listées dans cet article constituent les étapes standard et éprouvées pour diagnostiquer une application Intune qui n’apparaît pas dans le Portail d’entreprise, tout en vous donnant des leviers additionnels (Win32, détection avancée, journaux) pour régler durablement le problème.