Dans ce tutoriel, nous allons apprendre à exporter et importer une stratégie Intune basée sur le "Catalogue des paramètres", ce qui va permettre de transférer facilement un profil de configuration d'un tenant à un autre. Ceci peut aussi être utile pour sauvegarder une stratégie avant d'effectuer des modifications importantes. Une astuce bien pratique.
Depuis octobre 2023 et la mise à jour de service Intune 2310, Intune offre la possibilité aux administrateurs Intune d'exporter et d'importer facilement des stratégies Intune. C'est un gain de temps et peut éviter de devoir créer des stratégies "from scratch".
Mais, attention, pour le moment, la méthode disponible via le Centre d'administration Intune s'applique uniquement sur les profils de configuration basés sur le "Catalogue des paramètres". Autrement dit, sur le type de profil "Catalogue des paramètres" (Catalog settings) visible sur l'image ci-dessous. Si vous avez besoin d'aller plus loin dans l'export/import de configuration Intune : consultez le lien présent à la fin de cet article.
II. Exporter un profil de configuration Intune
Pour cette démonstration, nous allons exporter la stratégie "Windows Update - Désactiver option "Interrompre les mises à jour" présente sur un tenant Microsoft 365 puis l'importer sur un autre tenant Microsoft 365. Il s'agit d'une stratégie pour Windows, mais ceci fonctionne aussi avec les autres plateformes.
Tout d'abord, connectez-vous au Centre d'administration Intune puis cliquez sur "Appareils" dans le menu latéral.
2 - Repérez la stratégie à exporter dans la liste.
3 - Au bout de la ligne correspondante à la stratégie à exporter, cliquez sur le bouton "...".
4 - Cliquez sur "Exporter JSON". Il y a aussi une autre option nommée "Dupliqué", qui permet, comme son nom l'indique, de créer une copie d'une stratégie.
Un pop-up nommé "Télécharger la stratégie" apparaît l'écran. Cliquez sur "Télécharger" pour valider.
Quelques secondes plus tard, un nouveau fichier au format JSON a été téléchargé sur votre machine. La notification "Exporter Azure Policy" est également visible dans le portail Intune.
Par curiosité, vous pouvez ouvrir ce fichier JSON si vous le souhaitez.
III. Importer un profil de configuration Intune
Désormais, nous allons voir comment importer notre stratégie sur un nouveau tenant Microsoft 365, ce qui évite de repartir de zéro ! Sachez que vous pouvez aussi exporter une stratégie et la réimporter sur le même tenant, ce n'est pas un problème. Mais, dans ce cas, pensez aussi à l'option "Dupliqué".
Toujours à partir du portail Intune, suivez le chemin suivant :
1 - Cliquez sur "Appareils" dans le menu de gauche.
Un panneau latéral va s'ouvrir sur la droite. À ce moment-là, vous pourrez sélectionner le fichier JSON à importer. Ce sera l'occasion de sélectionner le fichier de stratégie obtenu quelques minutes auparavant.
Vous devez également nommer la stratégie en remplissant le champ "Nouveau nom" et associer une description. Puis, cliquez sur le bouton "Enregistrer".
Voilà, la stratégie a été importée :
Cliquez sur cette stratégie dans la liste afin de visualiser ses propriétés et son contenu. Vous pourrez constater que l'ensemble des paramètres configurés dans la stratégie sont bien présents. Néanmoins, et c'est plutôt logique, les affectations ne sont pas copiées. C'est à vous d'éditer la stratégie pour l'affecter à un ou plusieurs groupes.
Voilà, vous venez d'importer une stratégie Intune !
IV. Conclusion
À l'avenir, il est fort probable que Microsoft améliore les capacités d'export et d'import intégrées au Centre d'administration Intune. En attendant, vous devez vous satisfaire de la méthode évoquée dans cet article, ou passer par PowerShell grâce au module "Microsoft Graph".
Vous pouvez aussi utiliser l'outil open source IntuneManagement présenté dans l'article ci-dessous et qui permet d'exporter et d'importer toute sa configuration Intune !
Dans ce tutoriel, nous allons découvrir un outil communautaire baptisé IntuneManagement, créé par Mikael Karlsson. Cet outil très puissant s'appuie sur PowerShell pour interroger Microsoft Graph et les API Azure pour permettre une gestion complète de ses configurations Intune !
L'outil IntuneManagement va se connecter à l'environnement Intune de votre tenant Microsoft 365 dans le but de vous permettre d'accomplir certaines tâches non prises en charge ou partiellement prises en charge par le Centre d'administration Intune. Vous pouvez l'utiliser pour exporter et importer vos configurations (ou sauvegarder et restaurer), que ce soit des stratégies de conformité, des stratégies personnalisées, des scripts PowerShell, des applications Intune, ou même des stratégies d'accès conditionnels. Cet outil très puissant et complet peut être utile dans différents scénarios, y compris pour la migration d'un tenant vers un autre.
Vous devez commencer par télécharger la dernière release d'IntuneManagement à partir du GitHub officiel du projet. Vous obtiendrez une archive ZIP qu'il faudra décompresser afin d'obtenir un répertoire avec l'ensemble des fichiers du projet, notamment un ensemble de scripts.
Il existe plusieurs scripts permettant de lancer l'outil : "Start.cmd", "Start-WithApp.cmd", "Start-WithConsole.cmd", "Start-WithJson.cmd", et "Start-IntuneManagement.ps1". Tout dépend de l'usage que vous souhaitez faire de l'outil et j'avoue ne pas avoir testé l'ensemble de ces scripts. Ici, nous allons exécuter le script nommé "Start-IntuneManagement.ps1" (j'ai rencontré des problèmes de connexion via "Start.cmd" avec la version 3.9.6).
.\Start-IntuneManagement.ps1
L'outil va se charger et ouvrir une interface graphique intitulée "Intune Manager". Commencez par accepter les conditions d'utilisation en cochant la case "Accept conditions", puis validez.
Ensuite, vous aurez accès à l'interface de l'application, mais à aucune donnée, car il faut s'authentifier auprès du tenant Microsoft 365. Cliquez sur le bouton en haut à droite afin de lancer la connexion. Connectez-vous à votre tenant. L'outil prend en charge les comptes protégés par MFA.
Une fois que la connexion est effectuée, vous obtiendrez une erreur parce que l'outil n'a pas les permissions pour accéder aux données de votre environnement, notamment via Microsoft Graph. C'est pour cette raison que tous les intitulés sont en rouge dans le menu présent sur la gauche. Cliquez sur votre avatar en haut à droite puis sur "Request consent".
Ensuite, vous devrez valider l'accès pour que cette application ait les permissions suffisantes pour récupérer les données de configuration Intune de votre tenant. Depuis la version 3.9.6, l'outil s'appuie sur Microsoft Graph pour se connecter aux services Microsoft.
III. Prise en main d'IntuneManagement
Désormais, vous pouvez naviguer dans les différentes sections du menu latéral présent sur la gauche. Comme vous pouvez le constater, la liste est longue. À chaque fois, l'outil vous propose plusieurs actions dont la possibilité d'exporter, d'importer et de documenter.
A. Exporter des configurations
Si nous prenons l'exemple de la section "Settings Catalog", elle permet d'obtenir la liste des stratégies de ce type présente sur votre environnement Intune. Vous pouvez exporter chaque stratégie, comme le propose le Centre d'administration Intune, à la différence que là, vous pouvez faire un export en masse de vos stratégies.
Nous pouvons sélectionner toutes les stratégies à exporter puis cliquer sur "Export".
Ensuite, nous devons choisir le répertoire dans lequel effectuer l'export, et se chargera de l'alimenter. L'option "Add company name to path" permet de créer un dossier avec le nom de l'entreprise (définie sur le tenant) afin de stocker les données exportées. Nous avons aussi la possibilité d'exporter les affectations, contrairement à ce que propose l'outil d'export de Microsoft intégré à Intune, via l'option "Export Assignments".
Pour déclencher l'export, il convient de cliquer sur le bouton "Export Selected", ou alors sur "Export All" pour exporter toutes les stratégies (peu importe la sélection effectuée au préalable).
Au final, nous obtenons un répertoire nommé "IT-Connect Lab" (nom de l'entreprise) avec un sous-répertoire "SettingsCatalog" qui contient un fichier JSON par stratégie.
Pour chaque section, nous pouvons visualiser la configuration et l'exporter en quelques clics. C'est vraiment la grande force de cet outil ! Ci-dessous, nous pouvons voir qu'il est possible d'exporter les stratégies de configuration d'appareil, via la section "Device Configuration", ce qui n'est pas possible via le portail Intune.
B. Importer des configurations Intune
L'application Intune Manager est capable aussi d'importer des configurations sur votre environnement Intune. Pour explorer cette fonctionnalité, nous allons importer des stratégies Intune qui correspondent aux bonnes pratiques de configuration de Windows issues des guides CIS Benchmark.
Nous allons télécharger les fichiers de stratégies, au format JSON, depuis ce dépôt GitHub communautaire :
Ces stratégies vont nous permettre de renforcer la sécurité de nos appareils Windows 10 et Windows 11 (à tester avant d'appliquer en production, bien entendu).
Il s'agit de stratégies de type "Catalogue des paramètres", donc nous pourrions les importer via le portail Intune. Néanmoins, Intune Manager va nous permettre un import en masse.
Il suffit de se rendre dans "Settings Catalog" dans l'application puis de cliquer sur "Import". Ensuite, nous devons sélectionner le dossier qui contient les fichiers JSON à importer. Plusieurs options sont proposées, notamment pour décider d'importer ou non les tags et les affectations.
Remarque : l'option "Compare" de l'outil vous permet de comparer une stratégie existante avec une stratégie au format JSON, ce qui permet de comparer facilement deux versions d'une même stratégie. Vous pouvez visualiser facilement les différences entre les deux versions.
Quelques secondes plus tard, ces stratégies sont importées dans Intune et visibles à partir du portail. Il ne reste plus qu'à en profiter !
C. Export en masse de la configuration Intune
Pour finir sur les fonctionnalités d'export (et d'import), nous allons évoquer la fonctionnalité de "Bulk Export" de l'outil, accessible via le menu "Bulk" ! Elle va vous permettre d'exporter tout ou partie de la configuration de votre tenant Intune en quelques clics !
Vous pouvez sélectionner ce que vous souhaitez exporter ou non, et l'outil s'occupe du reste ! Attention, pour les applications, les packages MSI, Intunewin, etc... ne sont pas exportés, mais les scripts le seront.
Une fois l'export terminé, vous obtenez un répertoire avec toutes vos configurations. Il est possible de tout réimporter sur un autre tenant, ce qui peut être utile si vous migrez d'un tenant à un autre. Nous pouvons aussi utiliser cette fonction pour faire une sauvegarde à l'instant t de nos configurations.
D. Générer une documentation Intune
Terminons par la cerise sur le gâteau : la possibilité de générer une documentation de votre configuration ! Pour cela, vous pouvez utiliser le bouton "Document" présent dans chaque section d'Intune Manager, ou utiliser le menu "Bulk" puis "Document Types".
Plusieurs options s'offrent à vous, comme le format du rapport : CSV, HTML, Markdown et même Word (s'il est installé sur la machine depuis laquelle Intune Manager est exécuté). Vous pouvez aussi sélectionner la langue, parmi un large choix, dont l'anglais, le français, l'espagnol, l'italien et l'allemand.
Ensuite, vous laissez travailler l'outil et il va générer une documentation complète pour résumer votre configuration, en intégrant une table des matières. Que ce soit pour documenter son SI ou effectuer un audit, cette fonctionnalité est redoutable.
Voici un exemple de rapport HTML :
IV. Conclusion
IntuneManagement est vraiment un excellent outil que tout administrateur d'Intune doit connaître ! Il a une réelle valeur ajoutée et facilite les opérations d'export, d'import, voire même de sauvegarde et de restauration d'une certaine façon, en plus de vous permettre de générer une documentation à la volée de votre configuration.
Dans ce tutoriel, nous allons apprendre à déployer la suite Microsoft 365 Apps sur des appareils Windows 10 et Windows 11 à l'aide de la solution Intune. Ceci va permettre d'installer les applications de la suite Office sur les machines des utilisateurs : Word, Outlook, Excel, PowerPoint, Access, etc... Et même Visio et Project, si vous avez besoin et que vous disposez des abonnements adaptés.
Nous allons voir que Microsoft a tout prévu pour faciliter le déploiement de la suite Microsoft 365 Apps à partir d'Intune. Vous n'aurez qu'à vous laisser guider par ce tutoriel pour atteindre votre objectif final : automatiser le déploiement des applications Office sur vos PC Windows.
D'autres articles sur le sujet du déploiement d'applications avec Intune sont disponibles sur notre site :
Commençons par évoquer les prérequis nécessaires pour suivre ce tutoriel.
Système d'exploitation des appareils Windows : Windows 10 version 1703 (ou supérieure) ou Windows 11
Des abonnements Microsoft 365 avec les applications Microsoft 365 Apps intégrées : Business Standard, Business Premium, E3, E5, etc.
Des appareils inscrits dans Entra ID et Intune : Join et Hybrid Join
Plusieurs déploiements Microsoft 365 Apps ne sont pas pris en charge. Un seul déploiement sera distribué à l’appareil (donc attention à l'affectation de la stratégie, notamment si vous créez plusieurs stratégies pour cette même application).
Bien entendu, vous devez aussi disposer d'une licence Microsoft Intune : le "Plan 1" de base sera suffisant.
III. Déployer les applications Microsoft 365 Apps avec Intune
Commencez par vous connecter au Centre d'administration Microsoft Intune.
Une fois connecté au portail Intune, suivez ce chemin :
1 - Cliquez sur "Applications" sur la gauche puis sur "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Choisissez la valeur "Windows 10 et ultérieur" sous "Applications Microsoft 365" car Microsoft a créé un type d'application spécifique pour faciliter le déploiement de Microsoft 365 Apps.
Cliquez sur le bouton "Sélectionner" pour valider.
Un assistant s'exécute. Il va vous permettre de personnaliser le déploiement de la suite Microsoft 365 Apps. Vous devez commencer par définir les informations globales sur l'application. J'attire votre attention sur ces options :
Nom de la suite : vous pouvez corriger la valeur afin d'indiquer "Microsoft 365 Apps pour Windows".
Catégorie : choisissez la catégorie que vous souhaitez, même si "Productivité" qui est présélectionné me semble adapté.
Afficher ceci en tant qu'application à la une dans le Portail d'entreprise : choisissez "Oui" si vous désirez que cette application soit visible dans l'application Portail d'entreprise (voir ce tutoriel à ce sujet), ce qui sera utile si vous voulez mettre à disposition cette application en libre-service.
Cliquez sur "Suivant". Éventuellement, vous pouvez modifier les autres valeurs, selon vos besoins.
L'étape "Configurer la suite d'applications" se présente à vous. Vous avez le choix entre deux formats pour les paramètres de configuration :
Concepteur de configuration : utiliser les paramètres de configuration proposés par l'interface Intune, c'est ce que nous allons faire.
Entrer des données XML : ceci permet d'avoir une zone de saisie dans laquelle vous pouvez coller le code XML obtenu à l'aide de l'outil "Office Deployment Tool (ODT)", afin de personnaliser la configuration d'Office.
Le fait de choisir "Concepteur de configuration" donne accès à différentes options. Tout d'abord, nous pouvons choisir les applications Office que nous souhaitons installer. Dans cet exemple, seules 5 applications seront installées : Excel, Outlook, PowerPoint, Teams et Word. Via l'option "Sélectionner d'autres applications Office (licence obligatoire)", vous pouvez ajouter Visio et/ou Project, en supplément.
Puis, nous devons sélectionner le type d'architecture, ici "64 bits" sera sélectionné. Aujourd'hui, la quasi-majorité des machines utilisent une architecture 64 bits. De plus, vous devez choisir :
Le format de fichier par défaut : le format "Office Open XML Format" correspond au format officiel de la suite Office.
Canal de mise à jour : permet d'indiquer sur quel canal de mise à jour, vous souhaitez "vous brancher" pour recevoir les mises à jour. Pour la production, je vous recommande : "Canal d'entreprise mensuel" ou "Canal Entreprise semi-annuel". Dans les deux cas, vous bénéficiez chaque mois des correctifs pour la sécurité et la résolution de bugs. Avec le "Canal d'entreprise mensuel", vous avez accès aux nouvelles fonctionnalités tous les mois, tandis qu'avec le "Canal Entreprise semi-annuel", vous avez accès aux nouvelles fonctionnalités deux fois par an (tous les 6 mois, environ).
En complément, voici d'autres options à configurer :
Supprimer les autres versions : sélectionnez "Oui" pour que les autres versions de Microsoft Office soient automatiquement supprimées.
Version à installer / version spécifique : vous pouvez sélectionner une version spécifique à installer, ou tout simplement déployer la dernière en date (vis-à-vis du canal sélectionné).
Utiliser l'activation de l'ordinateur partagé : ceci est utile lorsque plusieurs utilisateurs utilisent le même ordinateur, afin d'éviter qu'une activation soit décomptée sur le compte de l'utilisateur (voir cet article pour cette notion : Microsoft Office - Shared computers). Sélectionnez "Non", sauf si vous avez un besoin spécifique.
Accepter les termes du contrat de licence.... : choisissez "Oui" pour ne pas être perturbé par cette étape lors du premier lancement d'une application Office.
Langues : par défaut, Office va se caler sur la langue du système, mais vous pouvez ajouter un ou plusieurs langues supplémentaires si vous le souhaitez.
Quand c'est bon pour vous, poursuivez.
L'étape "Affectations" se présente à l'écran. Il s'agit de l'étape habituelle pour affecter la stratégie à un ou plusieurs groupes. Ici, l'application Microsoft 365 Apps sera obligatoire pour les appareils membres du groupe "PC_Windows" donc elle sera installée automatiquement.
Poursuivez, vérifiez votre configuration et validez la création de la stratégie.
IV. Tester sur un appareil
Désormais, la stratégie doit être testée sur un appareil qui rentre dans le périmètre de celle-ci. Après synchronisation, la suite Microsoft 365 Apps est correctement déployée par l'intermédiaire du composant Intune Management Extension.
Les applications ne seront pas épinglées dans le menu Démarrer, mais elles sont visibles dans la liste de toutes les applications.
En parallèle, le déploiement de l'application peut être suivi à l'aide du portail Intune.
V. Conclusion
En suivant ce tutoriel pas à pas, vous devriez être en mesure de déployer la suite Microsoft 365 Apps sur vos appareils Windows ! Microsoft a fait le nécessaire pour rendre le déploiement des applications Microsoft Office relativement simplement, et nous n'allons pas nous plaindre.
Pour obtenir des informations supplémentaires et prendre connaissances des "problèmes connus" relatifs à ce déploiement, consultez la documentation de Microsoft :
Dans ce tutoriel, nous allons apprendre à synchroniser manuellement un appareil Windows inscrit dans Microsoft Intune. Cette manipulation peut s'avérer utile si vous venez de créer une nouvelle stratégie sur Intune et que vous souhaitez vérifier son bon fonctionnement, sans avoir à attendre. Ceci peut être pratique également en phase de dépannage sur un appareil Windows (stratégie non redescendue, stratégie en erreur, etc.).
Si vous avez l'habitude de travailler avec un Active Directory et les stratégies de groupe, vous recherchez surement un équivalent à la célèbre commande "gpupdate". À l'heure actuelle, cette commande n'existe pas pour Intune, à moins d'utiliser PowerShell mais cela implique de s'appuyer sur le module Microsoft Graph.
Dans cet article, nous allons étudier différentes possibilités, que ce soit depuis l'appareil à synchroniser en lui-même ou à partir du Centre d'administration Intune. Ceci nous donnera aussi l'occasion d'évoquer les cycles de synchronisation par défaut d'Intune, pour Windows et les autres OS pris en charge.
II. Les cycles de synchronisation Intune
Le cycle d'actualisation ou fréquence d'actualisation par défaut pour les appareils inscrits sur Intune, et peu importe le système d'exploitation, est de 8 heures. Cela signifie que lorsqu'une nouvelle stratégie est créée, elle peut mettre jusqu'à 8 heures à "redescendre" sur les appareils.
Voici un tableau récapitulatif :
Plateforme
Fréquence d'actualisation
Android, AOSP
Environ toutes les 8 heures
iOS/iPadOS
Environ toutes les 8 heures
macOS
Environ toutes les 8 heures
Windows 10/11
Environ toutes les 8 heures
Windows 8.1
Environ toutes les 8 heures
Néanmoins, lorsqu'un appareil vient de s'inscrire dans Intune, la fréquence d'actualisation est un peu différente. Il y aura des synchronisations rapprochées au départ, comme le montre le tableau ci-dessous.
Plateforme
Fréquence d'actualisation
Android, AOSP
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
iOS/iPadOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
macOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
Windows 10/11
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Windows 8.1
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Les informations présentées dans les tableaux ci-dessus sont issues de la documentation Microsoft :
Certaines actions impliquent une synchronisation "dès que possible", où Intune notifie l'appareil qu'il doit se synchroniser maintenant. Voici ce que l'on peut lire sur cette page de la documentation Microsoft : "Les appareils se connectent à Intune lorsqu'ils reçoivent une notification de connexion ou lors de la connexion programmée. Lorsque vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l'appareil pour qu'il s'enregistre et reçoive ces mises à jour. Par exemple, une notification est envoyée lorsqu'une action de verrouillage, de réinitialisation du code d'accès, d'application ou d'attribution de stratégie est exécutée."
Par ailleurs, il n'est pas à exclure qu'il y ait quelques exceptions et des cycles d'actualisation différents sur certaines fonctionnalités spécifiques d'Intune. C'est le cas avec les stratégies d'App Protection comme l'explique cette page.
III. Synchroniser un appareil Windows
Nous allons nous intéresser à différentes façons de synchroniser un appareil Windows, que ce soit depuis l'appareil en lui-même, depuis le Centre d'administration Microsoft Intune ou à l'aide de PowerShell.
A. Synchroniser à partir des paramètres de Windows
La première méthode à connaître, et que nous avons déjà évoqué dans de précédents articles, consiste à utiliser l'interface de gestion des paramètres de Windows.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Ceci va permettre de déclencher une synchronisation, et il ne vous reste plus qu'à patienter le temps qu'elle soit effectuée.
B. Synchroniser à partir du Portail d'entreprise
Parmi les fonctionnalités de l'application "Portail d'entreprise" appelée également "Company Portal", il y a la possibilité de lancer une synchronisation sans passer par les paramètres du système Windows. Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Une autre possibilité, c'est d'effectuer un clic droit sur "Portail d'entreprise" dans le menu Démarrer afin de cliquer sur le bouton "Synchroniser cet appareil". Le problème, c'est que cette entrée est visible seulement lorsque l'on effectue un clic droit à partir de la liste de toutes les applications (si l'application est épinglée au menu Démarrer et que l'on passe par ce raccourci, cela n'est pas proposé).
C. Synchroniser un appareil depuis le portail Intune
Désormais, nous allons basculer sur le Centre d'administration Intune puisqu'il intègre deux fonctionnalités permettant de lancer une synchronisation sur un ou plusieurs appareils.
Tout d'abord, quand vous accédez à la liste des "Appareils" et qu'ensuite, vous cliquez sur un appareil dans la liste, vous verrez apparaître un bouton nommé "Synchroniser" dans la "Vue d'ensemble". Il vous suffit de cliquer sur ce bouton.
Une fenêtre de confirmation apparaît, cliquez sur "Oui" et cela va envoyer un signal à la machine pour qu'elle se synchronise.
D. Synchroniser en masse des appareils depuis le portail Intune
Le Centre d'administration Intune vous offre aussi la possibilité d'effectuer des actions en masse sur une sélection d'appareils. La synchronisation fait partie des actions envisageables. Voici la marche à suivre :
1 - Cliquez sur "Appareils" dans le menu de gauche du portail Intune
2 - Cliquez sur "Tous les appareils".
3 - Cliquez sur le bouton "Actions d'appareil en bloc".
Un assistant va s'exécuter. Plusieurs options sont à configurer :
1 - Vous devez commencer par choisir le système d'exploitation, donc prenez "Windows".
2 - Sélectionnez le type d'appareil "Appareils physiques".
3 - Comme type d'action à exécuter, sélectionnez "Synchroniser".
Passez à l'étape suivante. Vous devrez alors cliquer sur "Sélectionner les appareils à inclure" afin de sélectionner un ou plusieurs appareils, dans la limite de 100 appareils (limite actuelle).
Ensuite, poursuivez jusqu'à la fin de la création de la tâche. Une notification au sein d'Intune vous indiquera si la tâche a été lancée, ou non.
E. Synchroniser un appareil avec PowerShell
Avec PowerShell, nous pouvons interagir avec les services Cloud de Microsoft tels qu'Azure et Intune par l'intermédiaire de Microsoft Graph. Il y a un ensemble de modules PowerShell disponibles et à utiliser en fonction des usages. Nous allons voir comment utiliser Microsoft Graph avec PowerShell pour synchroniser un appareil (puis plusieurs appareils).
Commencez par ouvrir une console PowerShell en tant qu'administrateur afin d'installer les modules Microsoft Graph. Vous pouvez tout installer, ou uniquement installer ceux dont vous avez besoin. Peut-être que vous avez déjà ces modules sur votre machine si vous avez l'habitude d'interagir avec les services Microsoft avec PowerShell.
Puis, exécutez la commande suivante pour basculer dans une console PowerShell avec la stratégie d'exécution "RemoteSigned", sinon vous allez obtenir des erreurs par la suite (si vous êtes en "Restricted", par exemple).
powershell.exe -ExecutionPolicy RemoteSigned
Installez tous les modules Microsoft Graph (alternative ci-dessous) :
Install-Module Microsoft.Graph
Si vous préférez limiter l'installation au strict minimum, installez ceci :
Le module "Microsoft.Graph.DeviceManagement" contient le cmdlet "Get-MgDeviceManagementManagedDevice" que nous allons utiliser par la suite pour récupérer des informations sur les appareils.
Le module "Microsoft.Graph.DeviceManagement.Actions" contient le cmdlet "Sync-MgDeviceManagementManagedDevice" que nous allons utiliser pour déclencher une synchronisation sur un appareil.
Ensuite, connectez-vous à Microsoft Graph avec PowerShell. Nous pourrions établir une connexion globale, mais nous allons plutôt limiter notre connexion à certains scopes correspondants à nos besoins. Ceci pour des raisons de sécurité et pour limiter les droits de la session que nous allons initier.
Suite à l'exécution de cette commande, vous êtes invités à vous authentifier auprès de votre tenant Microsoft 365. Puis, vous devez valider la demande d'autorisations émise par l'application Microsoft Graph.
Quand c'est fait, un message doit s'afficher dans la console : "Welcome to Microsoft Graph!". Il signifie en quelque sorte que vous pouvez commencer à interroger Intune à partir de PowerShell, car la connexion est établie.
Commençons par l'exécution d'une première commande qui va retourner la liste de tous vos appareils, aussi bien Windows que les autres plateformes, en retournant les propriétés "DeviceName" et "LastSyncDateTime" qui correspondent respectivement au nom de l'appareil et à sa date de dernière synchronisation. Le paramètre "-All" est important, car si vous avez beaucoup d'appareils, la liste sera incomplète s'il n'est pas précisé.
Si vous souhaitez obtenir ces informations uniquement pour les appareils Windows, vous devez ajouter un filtre sur la propriété "OperatingSystem". Il y a deux façons d'effectuer ce filtre :
Vous devez stocker le résultat du cmdlet "Get-MgDeviceManagementManagedDevice" dans une variable afin de récupérer l'ID de l'appareil à cibler. Dans l'exemple ci-dessous, nous allons ajouter un filtre basé sur l'opérateur "Contains" pour rechercher la machine "PC-ITC-02". C'est sur cette machine que nous souhaitons forcer une synchronisation.
Le résultat est stocké dans la variable "$Target". Elle contient un ensemble de propriétés au sujet de cet appareil, dont la propriété "Id" qui est requise par le cmdlet "Sync-MgDeviceManagementManagedDevice".
Ainsi, voici comment nous allons forcer la synchronisation sur cet appareil :
Cette commande ne retourne pas de résultat dans la console, mais l'ordre de synchronisation sera bien envoyé à l'appareil.
F. Synchroniser plusieurs appareils avec PowerShell
Grâce à l'utilisation de PowerShell, nous allons pouvoir cibler plusieurs appareils et créer des filtres sur-mesure.
Voici un premier exemple pour obtenir la liste de tous les appareils dont le nom commence par "PC-ITC", ce qui permettra de cibler les appareils nommés "PC-ITC-01", "PC-ITC-02", etc.
Voici un second exemple pour obtenir la liste de tous les appareils dont le nom contient la chaine de caractères "ITC" (peu importe si cela est au début, à la fin, au milieu, etc.).
Ensuite, nous pouvons stocker le résultat dans une variable et parcourir la liste d'appareils avec une boucle ForEach dans le but de déclencher une synchronisation sur chaque appareil.
$Targets = Get-MgDeviceManagementManagedDevice -Filter "Startswith(deviceName,'PC-ITC')"
ForEach ($Device in $Targets) {
try {
Sync-MgDeviceManagementManagedDevice -ManagedDeviceId $Device.id -ErrorAction Stop
Write-Host "$($device.DeviceName) - Synchronisation exécutée" -ForegroundColor Green
}
catch {
Write-Host "$($device.DeviceName) - Echec de l'opération avec l'erreur : $($_.Exception.Message)" -ForegroundColor Red
}
}
Pour chaque appareil, il y aura un retour dans la console pour indiquer si la commande "Sync-MgDeviceManagementManagedDevice" s'est exécutée correctement ou non. Attention, ceci n'indique pas réellement le résultat de la synchronisation.
PC-ITC-02 - Synchronisation exécutée
IV. Conclusion
Suite à la lecture de cet article, vous êtes capable de forcer la synchronisation d'un appareil Windows inscrit dans Intune pour qu'il récupère les dernières stratégies qui lui sont affectées !
Il y a deux autres méthodes que j'aurais pu indiquer et qui fonctionnent assez bien. La première, c'est le fait de redémarrer l'appareil Windows, mais ceci est un peu contraignant si un utilisateur travaille sur son ordinateur. La seconde, c'est le fait de redémarrer le service "IntuneManagementExtension" pour une actualisation liée aux applications et aux scripts.
Dans cet article, nous allons introduire le Portail d'entreprise ou Company portal pour que vous puissiez avoir une idée plus précise de l'intérêt de cette fonctionnalité d'Intune, qui peut vous rendre bien des services.
Nous allons évoquer les fonctionnalités clés, le déploiement de l'application sur Windows, et nous découvrirons l'interface de cette même application.
II. Les fonctionnalités du Company Portal d'Intune
A. À quoi sert le Portail d'entreprise ?
Le Portail d'entreprise met à disposition des utilisateurs des informations utiles sur leur organisation et il leur donne accès à des actions pratiques en mode "self-service", comme la possibilité d'installer des applications, de déclencher la synchronisation d'un appareil ou encore de vérifier l'état de la conformité d'un appareil. Par ailleurs, l'enrollment d'un appareil peut être effectué via cette application, plutôt que par les paramètres du système.
Le Portail d'entreprise joue un rôle important dans le déploiement des applications via Intune. En effet, vous avez la possibilité de définir une des "applications en vedette", c'est-à-dire des applications disponibles et mises en avant dans le Portail d'entreprise. Ceci peut être utile pour mettre à disposition une application pour vos utilisateurs, sans que l'installation soit automatique : c'est l'utilisateur qui a la main.
Ceci s'applique aux applications dont l'option "Afficher ceci en tant qu'application à la une dans Portail d'entreprise" est définie sur "Oui". Vous pouvez tout à fait changer cette option sur vos applications existantes.
B. Les applications Portail d'entreprise
Le Portail d'entreprise Intune est accessible de plusieurs façons puisqu'il y a un portail Web et des applications, notamment une application Windows et une application mobile sur Android et iOS. N'importe quel utilisateur, à partir de son appareil inscrit et de son compte, peut accéder au Portail d'entreprise avec un navigateur via cette adresse :
Par ailleurs, l'application est accessible dans le Microsoft Store :
Désormais, nous allons voir comment déployer cette application via Intune.
III. Déployer l'application Company Portal sur Windows
Nous allons apprendre à déployer l'application Company Portal sur Windows à partir d'une stratégie d'applications Intune. Cette application étant publiée dans le Microsoft Store accessible depuis Windows, nous pouvons effectuer cette opération facilement.
Si vous n'êtes pas familier avec le déploiement d'applications du Microsoft Store via Intune, je vous recommande la lecture de cet article :
À partir du Centre d'administration Intune, vous devez créer une nouvelle application :
Cliquez sur "Applications", puis "Windows" et cliquez sur le bouton "Ajouter".
Dans le panneau latéral, choisissez le type d'application "Application Microsoft Store (nouvelle)" et suivez l'assistant.
À l'étape "Informations sur l'application", cliquez sur "Rechercher l’application Microsoft Store (nouvelle)" afin de rechercher "company portal". Sélectionnez l'application "Company portal" de type "UWP" visible dans la liste et cliquez sur "Sélectionner".
Ensuite, vous devez configurer cette application. Vous pouvez commencer par indiquer son nom en français, à savoir "Portail d'entreprise". Vous avez le choix entre une installation par utilisateur ou par machine (système). Indiquez également un logo, que vous pouvez récupérer sur Google via une recherche d'image.
Passez à l'étape "Affectations" et sélectionnez les groupes qui doivent bénéficier de cette application.
Poursuivez jusqu'à la fin pour finaliser la création de l'application.
IV. Aperçu du Company Portal sur Windows
Une fois que l'appareil aura effectué une synchronisation, l'application "Company Portal" sera visible sur Windows et vous pourrez commencer à l'explorer. L'image ci-dessous montre la section "Appareils" où l'utilisateur peut avoir un aperçu de l'ensemble des appareils dont il est déclaré comme propriétaire.
Par ailleurs, à partir du moment où une application ou plusieurs applications sont mises en avant dans le Portail d'entreprise, elles sont visibles directement dans l'interface de celui-ci. Si l'application n'est pas installée et qu'elle est disponible pour un utilisateur, il peut décider de l'installer.
Pour forcer la synchronisation d'un appareil à partir du Portail d'entreprise, Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Sachez que vous avez aussi la possibilité de modifier l'apparence du Portail d'entreprise, en jouant sur les paramètres de branding de votre organisation, directement à partir du Centre d'administration Intune. En cliquant sur ce lien, vous serez redirigé directement vers la page de configuration. Au-delà de l'apparence, vous pourrez aussi activer/désactiver certaines fonctionnalités, notamment celle-ci qui peut être gênante :
Pour en savoir plus, consultez cette documentation de Microsoft :
Suite à la lecture de cet article, vous en savez plus sur le Portail d'entreprise de Microsoft Intune et vous êtes désormais en mesure de procéder à son déploiement et à sa personnalisation. Son atout principal, c'est le fait de permettre la publication d'applications auprès des utilisateurs. L'étape de branding est simple à effectuer, mais elle est importante, car elle permet d'ajouter le logo de votre entreprise, les coordonnées, etc.
Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.
Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.
Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.
En ce qui me concerne, voici la configuration que je souhaite déployer :
Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.
De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.
Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.
III. Le propriétaire de l'appareil est administrateur local
Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.
Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".
Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.
L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.
Voici un aperçu de ces deux paramètres :
IV. Gérer les administrateurs des appareils : deux solutions
Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :
Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra
Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.
Avec une stratégie de sécurité Intune
Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.
V. Préparer le groupe de sécurité Entra ID
À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.
Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.
Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.
Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".
Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.
L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...
Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.
Ensuite, nous devons configurer d'autres paramètres :
Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
Type de sélection de l'utilisateur :
Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs
Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.
Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.
Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.
Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.
Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.
Nous pouvons continuer... Jusqu'à l'étape n°4.
Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".
Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !
VII. Tester la stratégie Intune
La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.
Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.
Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).
Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).
Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).
Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :
Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :
Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae
Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !
Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.
VIII. Conclusion
Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".
Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :
Dans ce tutoriel, nous allons aborder la notion de "Stratégies de conformité" dans Microsoft Intune. Qu'est-ce qu'une stratégie de conformité ? Quel est l'intérêt d'une stratégie de conformité ? Comment configurer une stratégie de conformité Windows dans Intune ? Cet article répondra à ces différentes questions.
II. Qu'est-ce qu'une stratégie de conformité Intune ?
Une stratégie de conformité Intune va permettre à une entreprise de s'assurer que tous les appareils utilisés par les employés respectent les règles de base en matière de sécurité.
Par exemple, nous allons pouvoir nous assurer que le pare-feu est actif sur Windows et qu'il y a bien une protection antivirus opérationnelle. Si ce n'est pas le cas, nous allons recevoir une alerte et il sera possible de limiter les tentatives d’accès effectués à partir de cet appareil non conforme.
La stratégie de conformité est d'autant plus intéressante lorsqu'elle est couplée avec les stratégies d'accès conditionnel puisque nous pourrons accorder une autorisation d'accès uniquement si l'appareil respecte sa stratégie de conformité. Ce qui permet de bloquer les connexions à partir d'un appareil non conforme.
Dans la suite de cet article, nous allons apprendre à configurer les paramètres généraux de cette fonctionnalité, avant de configurer les paramètres de notifications et de créer une stratégie de conformité Intune.
Cette stratégie de conformité Windows aura pour objectif de vérifier les points suivants :
Pare-feu Windows Defender actif
Module TPM actif
Antivirus actif
Logiciel anti-espion et logiciel anti-malware actifs
Protection en temps réel active
Nous pourrions ajouter d'autres conditions comme la vérification du Secure Boot, l'état de BitLocker, etc.
III. Stratégies de conformité : paramètres généraux
Nous allons commencer par configurer les paramètres de stratégie de conformité au niveau du tenant Microsoft 365. Autrement dit, il s'agit de paramètres communs à l'ensemble des appareils, des utilisateurs et des stratégies.
Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :
Ensuite, cliquez sur "Appareils" puis sur "Conformité" afin de pouvoir cliquer sur le bouton "Paramètres de conformité". Vous pouvez aussi passer par "Sécurité du point de terminaison", "Conformité de l'appareil" puis "Paramètres de conformité".
Ici, nous allons retrouver deux paramètres importants :
Nous allons configurer ces deux options :
Marquer les appareils sans stratégie de conformité comme étant, et nous allons passer l'option sur "Non conforme". Ainsi, nous partons du principe qu'un appareil n'est pas conforme : nous ne faisons pas confiance à l'appareil avant qu'il soit analysé.
Période de validité de l'état de conformité (jours), et nous allons indiquer "30" ce qui signifie qu'un appareil identifié comme conforme bénéficiera de ce statut pendant 30 jours.
Il est à noter que la période de compliance peut être comprise entre 1 et 120 jours.
Une fois les paramètres définis, cliquez sur "Enregistrer".
IV. Stratégies de conformité : notifications
La seconde étape consiste à configurer le système de notifications, ce qui permettra notamment de recevoir un e-mail lorsqu'un appareil non conforme sera détecté. Toujours sous "Conformité", basculez sur l'onglet "Notifications" puis cliquez sur "Créer une notification".
Donnez un nom à ce modèle de notification, par exemple "Notification de base - Compliance". Ensuite, nous avons plusieurs options de base pour personnaliser l'e-mail, notamment dans le but d'intégrer des éléments permettant d'identifier votre entreprise (un logo, par exemple). Cette interface ne permettra pas de choisir un logo ou de configurer les valeurs des autres options.
Pour visualiser les valeurs attribuées à ces options, vous devez accéder aux paramètres de personnalisation du tenant. Suivez la procédure suivante :
1 - Cliquez sur "Administration de locataire".
2 - Cliquez sur "Personnalisation".
3 - Cliquez sur "Modifier".
Ensuite, il ne vous reste plus qu'à configurer les différentes options telles que le nom de l'organisation, le logo, etc...
Quand ce sera fait, retournez dans l'assistant de création d'une notification afin de passer à la seconde étape. Vous devez choisir la langue, et définir l'objet de l'e-mail ("Appareil non conforme", par exemple) ainsi que le corps du message (certaines balises HTML sont prises en charge). Puisqu'il s'agit du premier modèle de notifications, nous allons le définir par défaut.
Pour personnaliser le message avec des valeurs dynamiques (le nom de l'utilisateur ou de l'appareil, par exemple), vous pouvez utiliser "des variables", comme décrit dans cette page de la documentation Microsoft.
Ce qui donne :
Passez à l'étape "Vérifier + créer" afin de passer en revue votre paramétrage et cliquez sur "Créer".
Voilà, votre modèle de notification est créé !
V. Créer une stratégie de conformité Intune
Nous allons créer une stratégie de conformité pour définir les critères que doit respecter un appareil afin d'être considéré comme conforme. Cette fois-ci, basculez sur l'onglet "Stratégies" et cliquez sur "Créer une stratégie". À cet emplacement, vous avez également accès à l'onglet "Scripts" qui permet de créer des scripts PowerShell pour de la "mise en conformité sur-mesure" puisque c'est votre script qui va faire l'évaluation (nous pouvons imaginer un script PowerShell pour vérifier l'espace disque restant sur le volume système).
Un panneau latéral apparait sur la droite. Choisissez la plateforme "Windows 10 et ultérieur" et poursuivez. Ceci vous donne l'occasion de constater que cette fonctionnalité n'est pas limitée à Windows.
Bienvenue dans l'assistant de création d'une stratégie de conformité Intune !
Commencez par donner un nom à cette stratégie et indiquez une description. La description s'avère utile pour donner quelques indications sur le contenu de cette stratégie.
La section "Conformité personnalisée" sert à créer vos propres règles contenues dans un fichier JSON généré à partir d'un script PowerShell. Cette méthode est décrite dans la documentation Microsoft, sur cette page.
Descendez dans la page... Nous allons pouvoir exiger la vérification de certains éléments en jouant sur les options présentes dans chaque section : Intégrité de l'appareil, Propriétés de l'appareil, etc...
Commencez par la section "Intégrité de l'appareil" qui présente l'avantage de permettre de vérifier la configuration de BitLocker, du démarrage sécurisé et l'intégrité du code sur la machine Windows. Avant d'activer la vérification BitLocker, il convient de créer une stratégie de configuration de BitLocker.
La section "Propriétés de l'appareil" sert à vérifier la version du système d'exploitation Windows. Ainsi, vous pourriez considérer qu'un appareil qui exécute une version de Windows 10 qui n'est plus sous support, n'est pas conforme. Pour obtenir les numéros de version, vous pouvez vous référer à la documentation Microsoft, notamment ce lien :
Par ailleurs, vous pouvez aussi utiliser la commande "winver" sur un appareil puisqu'elle retourne un numéro de build. Toutefois, méfiez-vous avec les numéros de version, vous devez utiliser ce format : 10.0.X.X. Ainsi, pour la build "22631.2715", nous devons préciser la valeur suivante : 10.0.22631.2715.
Ce numéro de version correspond à Windows 11 23H2 avec les mises à jour de novembre 2023, ce qui signifie que l'on peut cibler une version majeure et un niveau de mise à jour des machines. Pour Windows 11 23H2 avec les mises à jour d'avril 2024, la valeur à utiliser est légèrement différente dû à la différence de niveau de mise à jour : 10.0.22631.3447.
Voici un exemple :
La section "Conformité de Configuration Manager" s'adresse aux personnes en co-gestion avec (System Center) Configuration Manager.
Le volet "Sécurité système" s'adresse aux administrateurs qui souhaitent effectuer des vérifications sur la configuration et l'utilisation des mots de passe sur un appareil. À la fin de la section, il y a tout de même des paramètres que nous allons activer pour vérifier l'état du pare-feu, du module TPM, de l'antivirus, et du logiciel anti-espion.
Puis, un peu plus bas, nous allons pouvoir activer certains contrôles liés à Defender :
Vous avez aussi un paramètre spécifique à "Microsoft Defender for Endpoint" pour vérifier le niveau de risque d'un appareil. C'est très intéressant pour les entreprises équipées avec cette solution sur leur appareil Windows.
Passez à l'étape "Actions en cas de non conformité". Ici, nous allons créer plusieurs règles :
Marquer l'appareil comme non conforme immédiatement.
Envoyer un e-mail à l'utilisateur final (grâce à notre modèle de notifications précédemment créé !) - L'administrateur aura aussi l'e-mail.
Ajouter un appareil à la liste des mises hors service 20 jours après la non-conformité. Ceci est facultatif, mais permet d'ajouter l'appareil à la liste "Mettre hors service les appareils non conformes". Lorsqu'un administrateur retire un appareil de cette liste, ceci enclenche la suppression de toutes les données de l'entreprise de l'appareil et le retire de la gestion Intune. A utiliser avec précaution.
Remarque : pour certains appareils, notamment sous Android, macOS, iOS et iPadOS, il est possible de verrouiller l'appareil à distance s'il n'est pas conforme. Ceci correspond à la fonction Remote Lock.
Pour finir, l'étape "Affectations" que l'on a l'habitude de croiser dans les assistants Intune se présente à l'écran. L'objectif étant d'affecter cette stratégie de conformité à un groupe d'appareils, comme ici le groupe "PC_Corporate".
Attention : n'oubliez pas que nous avons activé une option au niveau du tenant pour déclarer non conformes tous les appareils sans stratégie de conformité. S'il s'agit de votre stratégie de conformité de base, vous pouvez l'appliquer directement à tous les appareils.
Révisez votre configuration et cliquez sur le bouton "Créer" pour finaliser la création de la stratégie de conformité.
Voilà, la stratégie de conformité va être déployée sur les appareils qui rentrent dans le périmètre de l'affectation.
VI. Suivre l'état des appareils
Suite au déploiement de cette stratégie, les appareils sont analysés via la stratégie de conformité et un état s'affiche directement dans la colonne "Compatibilité" de la liste des appareils inscrits dans Intune. Ici, nous pouvons voir que l'appareil "PC-ITC-01" n'est pas conforme.
Si nous cliquons sur cet appareil, nous pouvons obtenir des précisions. Nous voyons bien qu'il ne respecte pas notre politique.
En fait, le détail de l'analyse nous montre que le pare-feu de la machine est dans un état "non conforme". En effet, sur cet appareil, le pare-feu Windows est désactivé.
Dans le même temps, une notification par e-mail a été envoyée ! Cette notification reprend bien les éléments configurés dans notre modèle de notifications et dans les paramètres de personnalisation (textes, logo, etc.).
Désormais, il va falloir faire le nécessaire pour qu'il soit de nouveau conforme...!
VII. Conclusion
Suite à la lecture de ce tutoriel, vous êtes en mesure de créer votre première stratégie de conformité Intune pour vos appareils Windows. Avant de modifier les paramètres au niveau du tenant, effectuez une première stratégie de conformité afin de la tester sur quelques appareils de votre parc informatique.
Dans ce tutoriel, nous allons apprendre à activer et configurer le chiffrement BitLocker sur des machines Windows 10 et Windows 11 à l'aide d'une stratégie de chiffrement de disque Intune. Suite à la mise en place de ce tutoriel, vous serez en mesure d'automatiser le chiffrement des disques de vos ordinateurs Windows, grâce au composant BitLocker pris en charge nativement par les systèmes d'exploitation de Microsoft.
Cette procédure est identique pour les appareils Windows Joined et Hybrid Joined à Microsoft Entra ID. Que la machine soit jointe à Entra ID ou à l'Active Directory, elle sera capable de stocker les informations associées au chiffrement BitLocker, notamment la clé de récupération, directement dans le service de gestion des identités auquel elle appartient.
Notre objectif va être de mettre en place BitLocker en automatisant sa configuration de façon silencieuse, ce qui signifie qu'aucune interaction n'est attendue de la part de l'utilisateur. Ceci implique de faire l'impasse sur certaines fonctionnalités (la saisie d'un code PIN pour déverrouiller le lecteur "BitLocké", par exemple). Cette configuration convient aux machines équipées d'une puce TPM et elle permet de chiffrer les appareils Windows sans pour autant alourdir la charge de travail de l'équipe IT. Une alternative serait de "prompter" l'utilisateur pour qu'il configure BitLocker mais ceci implique une interaction de sa part.
En complément de ce tutoriel, vous pouvez vous référer à ces liens :
Afin de pouvoir activer et configurer BitLocker de façon automatique et silencieuse, nous devons respecter un ensemble de prérequis.
Si les utilisateurs finaux se connectent aux appareils en tant qu’administrateurs, l’appareil doit utiliser Windows 10 version 1803 ou ultérieure, ou Windows 11.
Si les utilisateurs finaux se connectent aux appareils en tant qu’utilisateurs standard, l’appareil doit utiliser Windows 10 version 1809 ou ultérieure, ou Windows 11.
L’appareil doit être intégré à Entra ID, en tant qu'appareil Microsoft Entra Joined ou Microsoft Entra Hybrid Join.
L’appareil doit disposer d'un module TPM 1.2, ou supérieur.
Le mode BIOS doit être défini sur UEFI natif uniquement.
Nous pouvons ajouter que le disque ne doit pas être chiffré avec une solution tierce, sinon il y aura un conflit.
Pour configurer BitLocker sur des appareils Windows à l'aide d'Intune, il y a deux possibilités :
Créer une stratégie sous la forme d'un profil de configuration Windows et sélectionner le modèle "Endpoint Protection". Il regroupe des paramètres pour le Pare-feu Windows, Microsoft Defender SmartScreen, etc... Ainsi qu'une section "Chiffrement Windows" pour BitLocker.
Créer une stratégie de type "Chiffrement de disque" dans la section "Sécurité du point de terminaison" d'Intune.
Nous allons utiliser cette seconde possibilité, car elle est recommandée par Microsoft et de par son positionnement dans Intune, elle me semble plus adaptée.
III. Intune : créer une stratégie BitLocker
A. Créer une stratégie de chiffrement de disque
Tout d'abord, connectez-vous sur le portail d'administration de Microsoft Intune :
Quand vous êtes sur le portail, effectuez les actions suivantes :
1 - Cliquez sur "Sécurité du point de terminaison" sur la gauche
2 - Cliquez sur "Chiffrement de disque"
3 - Cliquez sur "Créer une stratégie".
Un panneau latéral va s'ouvrir sur la droite. Sélectionnez "Windows 10 et ultérieur" comme "Plateforme", puis prenez le profil "BitLocker" puisque c'est, de toute façon, le seul choix disponible actuellement.
Commencez par nommer ce profil, par exemple : "Windows - Chiffrer disques avec BitLocker".
Désormais, à l'étape "Paramètres de configuration", vous avez devant les yeux deux sections : "Modèles d'administration" et "BitLocker".
Nous allons configurer les différents paramètres présents à ces deux emplacements.
B. Activer et exiger BitLocker
Nous allons commencer par la section "BitLocker" car c'est la plus rapide à configurer. Elle est très importante, car elle va nous permettre d'exiger le chiffrement des disques sur les appareils.
Exiger le chiffrement des appareils : sélectionnez "Activé" pour que BitLocker chiffre les données de l'appareil.
Autoriser l'avertissement pour un autre chiffrement de disque : sélectionnez "Désactivé" pour masquer les éventuelles notifications liées au chiffrement du disque, ceci est nécessaire pour accéder à la prochaine option et activer BitLocker de façon silencieuse.
Autoriser le chiffrement utilisateur standard : sélectionnez "Activé" pour que le chiffrement BitLocker soit activé et configuré automatiquement, même si l'utilisateur connecté à la machine n'est pas Administrateur local.
Configurer la rotation du mot de passe de récupération : conserver "Non configuré", ce qui revient à activer cette fonctionnalité et celle-ci implique que l'appareil soit joint à Entra ID (direct ou hybride).
Passez à la suite, où nous allons passer en revue les paramètres présents dans "Modèles d'administration".
C. BitLocker sur les lecteurs de données amovibles
La section "Modèles d'administration" est découpée en plusieurs groupes de paramètres afin de pouvoir ajuster le comportement de BitLocker pour les différents types de lecteurs : amovible, système, etc. Nous allons les parcourir dans l'ordre. La première partie concerne les lecteurs de données amovibles.
1 - Control use of BitLocker on removable drives : sélectionnez "Enabled" pour autoriser le chiffrement des lecteurs amovibles (non automatique)
2 - Allow users to apply BitLocker protection on removable data drives (Device) : sélectionnez "True" pour qu'un utilisateur puisse activer BitLocker sur un périphérique de stockage amovible.
3 - Enforce drive encryption type on removable data drives : forcer la méthode de chiffrement lorsqu'un lecteur amovible est chiffré avec BitLocker.
4 - Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
5 - Allow user to suspend and decrypt BitLocker protection on removable data drives : sélectionnez "False" pour que l'utilisateur ne soit pas en mesure de désactiver BitLocker, ou de le suspendre, sur un lecteur de données amovible.
6 - Deny write access to removable drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les périphériques amovibles non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.
Voilà pour la première partie.
D. BitLocker sur les lecteurs de données fixes
Désormais, nous allons configurer la seconde partie dédiée aux lecteurs de données fixes, et il nous restera à configurer BitLocker pour le lecteur système.
- Enforce drive encryption type on fixed data drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur les disques fixes (hors système d'exploitation).
- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
- Choose how BitLocker-protected fixed drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.
- Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives : ce paramètre doit être activé pour que BitLocker chiffre les disques fixes uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).
- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).
- Save BitLocker recovery information to AD DS for fixed data drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).
- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.
- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres (format de la future clé de récupération).
- Deny write access to fixed drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les lecteurs fixes non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.
Voilà pour la seconde partie.
E. BitLocker sur les lecteurs de système d'exploitation
Maintenant, nous allons configurer la troisième partie dédiée au lecteur du système d'exploitation Windows. Nous retrouvons des mêmes paramètres communs vis-à-vis de la partie précédente, ainsi que des paramètres supplémentaires.
- Enforce drive encryption type on operating system drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur le disque du système d'exploitation, c'est-à-dire le lecteur "C" de l'appareil.
- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
- Require additional authentication at startup : activez ce paramètre pour pouvoir imposer l'utilisation du TPM à l'étape suivante (ceci permet la lecture des informations via la puce TPM). Sinon, il faut configurer un code PIN, ce qui implique une interaction de la part de l'utilisateur.
- Configure TPM startup key and PIN : conserver uniquement l'utilisation du TPM via l'option "Do not allow startup key and PIN with TPM".
- Configure TPM startup : sélectionnez "Require TPM" pour que BitLocker s'appuie sur TPM et que ce soit un "prérequis".
- Configure TPM startup PIN : sélectionnez "Do not allow startup PIN with TPM" pour ne pas permettre l'utilisation d'un code PIN à partir du moment où la puce TPM est déjà utilisée.
- Configure TPM startup key : sélectionnez "Do not allow startup key with TPM" pour ne pas permettre l'utilisation d'une clé de démarrage à partir du moment où la puce TPM est déjà utilisée. Il s'agit d'une clé USB avec les informations permettant de déverrouiller le lecteur BitLocker (alternative quand la machine est dépourvue de puce TPM).
Les autres options visibles sur l'image sont ignorées, car elles concernent les paramètres pour le code PIN.
Puis, nous devons nous intéresser à d'autres options toujours dans la même partie :
- Choose how BitLocker-protected operating system drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.
- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.
- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).
- Do not enable BitLocker until recovery information is stored to AD DS for operating system drives : ce paramètre doit être activé pour que BitLocker chiffre le disque système uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).
- Save BitLocker recovery information to AD DS for operating system drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).
- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres.
Voilà, vous pouvez passer à la suite : ce sera la dernière partie !
F. Personnaliser les méthodes de chiffrement
Cette dernière partie sert à préciser les méthodes de chiffrement, c'est-à-dire les algorithmes de chiffrement à utiliser pour les différents types de lecteur. Ceci permettra d'avoir une configuration homogène sur toutes les machines.
À ce sujet, Microsoft recommande d'utiliser l'algorithme XTS-AES pour les lecteurs fixes et les lecteurs de systèmes d'exploitation. Pour les disques amovibles, Microsoft recommande d'utiliser l'algorithme AES-CBC 128 bits ou AES-CBC 256 bits, si le disque est utilisé sur d'autres appareils qui ne fonctionnent pas sous Windows 10 (version 1511).
Voilà, vous venez de passer en revue la configuration de BitLocker pour les différents types de lecteur.
G. Finaliser la création de la stratégie
Vous pouvez poursuivre la configuration de la stratégie, avec notamment l'étape "Affectations" où vous devez affecter la stratégie à un ou plusieurs groupes d'appareils. Dans le cas présent, la stratégie est affectée au groupe "PC_Windows_BitLocker". Je vous encourage à tester cette stratégie sur un petit groupe d'appareils, pour commencer.
Poursuivez afin de terminer la création de la stratégie.
La stratégie de chiffrement de disque est prête, désormais, nous allons tester sur un appareil Windows.
IV. Tester la stratégie BitLocker
Sur un appareil Windows 11 membre du groupe "PC_Windows_BitLocker", la stratégie BitLocker s'applique correctement. Tout d'abord, nous pouvons constater que l'icône BitLocker est présent sur le disque local correspond au système. Si nous allons faire un tour dans les paramètres BitLocker, nous pouvons constater que BitLocker est activé et que les paramètres de sécurité sont définis par l'administrateur système, c'est-à-dire par notre stratégie.
V. Monitoring du déploiement BitLocker
Du côté du Centre d'administration Microsoft Intune, vous pouvez également suivre le déploiement de cette stratégie. Voici l'emplacement sous lequel vous pourrez trouver des informations :
1 - Cliquez sur "Appareils".
2 - Cliquez sur "Moniteur".
3 - Cliquez sur "État du chiffrement de l'appareil" pour accéder à ce rapport prêt à l'emploi.
Ici, vous pouvez obtenir une liste de tous les appareils et, à chaque fois, vous avez des informations intéressantes sur chacun d'entre eux : le système d'exploitation, la version de la puce TPM, ainsi que l'état du chiffrement. De plus, la colonne "Préparation du chiffrement" indique si l'appareil répond aux exigences pour l'activation de BitLocker.
À partir du moment où la stratégie BitLocker est déployée et qu'elle s'est appliquée, la colonne "État du chiffrement" passe de "Non chiffré" à "Chiffré". Voici un exemple :
VI. Récupérer la clé de récupération BitLocker
Pour finir, nous allons voir comment récupérer la clé de récupération BitLocker d'un appareil à partir de Microsoft Entra ID. En effet, ici, il s'agit d'un appareil joint directement à Entra ID. Sachez que cette information est également accessible via le portail Intune et l'utilisateur propriétaire de l'appareil peut également accéder à cette clé de récupération.
Avant toute chose, sachez que sur l'appareil en local, vous pouvez consulter le journal "BitLocker-API" présent dans l'Observateur d'événements pour voir l'activité de BitLocker. Ci-dessous, l'événement avec l'ID 845 nous indique que les informations de récupération pour le lecteur C ont été sauvegardées avec succès dans Azure AD (Entra ID) ! D'ailleurs, ceci était une condition à respecter avant que le disque soit chiffré.
A. Récupérer la clé de récupération BitLocker depuis Entra ID
À partir du Centre d'administration Microsoft Entra, nous pouvons récupérer la clé de récupération BitLocker de cet appareil.
Dans la section "Appareils", puis "Tous les appareils", nous pouvons cliquer sur l'appareil "PC-ITC-02" utilisé pour cette démo et accéder à "Clés BitLocker (préversion)" afin d'avoir accès aux informations BitLocker. Ici, il n'y a qu'une seule clé de récupération, car cet appareil n'a qu'un seul disque.
Si nous cliquons sur le bouton "Afficher la clé de récupération", ceci permet d'avoir la clé de récupération en clair. Ainsi, dans un scénario de recovery où l'on aurait besoin de déverrouiller ce lecteur, nous pourrions utiliser cette clé de récupération pour accéder aux données du disque.
B. Récupérer la clé de récupération BitLocker depuis Intune
La clé de récupération est également accessible via le portail Intune, via la section "Clés de récupération" d'un appareil. En fait, nous retrouvons les mêmes informations qu'avec le portail Entra ID.
C. Récupérer la clé de récupération en tant que propriétaire de l'appareil
L'utilisateur qui est propriétaire de l'appareil peut également visualiser la clé de récupération BitLocker. Par exemple, l'utilisateur Guy Mauve est propriétaire de l'appareil "PC-ITC-02". Si, à partir de son compte, j'accède à la section "Périphériques", je peux voir cet appareil et cliquer sur le bouton "Afficher les clés BitLocker" pour accéder à cette information.
En suivant ce tutoriel, vous devriez être en mesure de déployer BitLocker sur vos appareils pour gérer le chiffrement du disque Windows, mais aussi des autres disques potentiellement connectés à l'appareil. Vous pouvez aussi alléger la configuration en définissant uniquement les options pour le disque système, mais c'est tout de même préférable d'avoir un déploiement homogène et complet de BitLocker. De plus, vous êtes capable de récupérer la clé de récupération d'un appareil, en cas de besoin.
Si vous avez un doute sur un paramètre de configuration, référez-vous à la documentation Microsoft puisque tout est expliqué.
Connexion
