Dans ce tutoriel, nous allons apprendre à exporter et importer une stratégie Intune basée sur le "Catalogue des paramètres", ce qui va permettre de transférer facilement un profil de configuration d'un tenant à un autre. Ceci peut aussi être utile pour sauvegarder une stratégie avant d'effectuer des modifications importantes. Une astuce bien pratique.
Depuis octobre 2023 et la mise à jour de service Intune 2310, Intune offre la possibilité aux administrateurs Intune d'exporter et d'importer facilement des stratégies Intune. C'est un gain de temps et peut éviter de devoir créer des stratégies "from scratch".
Mais, attention, pour le moment, la méthode disponible via le Centre d'administration Intune s'applique uniquement sur les profils de configuration basés sur le "Catalogue des paramètres". Autrement dit, sur le type de profil "Catalogue des paramètres" (Catalog settings) visible sur l'image ci-dessous. Si vous avez besoin d'aller plus loin dans l'export/import de configuration Intune : consultez le lien présent à la fin de cet article.
II. Exporter un profil de configuration Intune
Pour cette démonstration, nous allons exporter la stratégie "Windows Update - Désactiver option "Interrompre les mises à jour" présente sur un tenant Microsoft 365 puis l'importer sur un autre tenant Microsoft 365. Il s'agit d'une stratégie pour Windows, mais ceci fonctionne aussi avec les autres plateformes.
Tout d'abord, connectez-vous au Centre d'administration Intune puis cliquez sur "Appareils" dans le menu latéral.
2 - Repérez la stratégie à exporter dans la liste.
3 - Au bout de la ligne correspondante à la stratégie à exporter, cliquez sur le bouton "...".
4 - Cliquez sur "Exporter JSON". Il y a aussi une autre option nommée "Dupliqué", qui permet, comme son nom l'indique, de créer une copie d'une stratégie.
Un pop-up nommé "Télécharger la stratégie" apparaît l'écran. Cliquez sur "Télécharger" pour valider.
Quelques secondes plus tard, un nouveau fichier au format JSON a été téléchargé sur votre machine. La notification "Exporter Azure Policy" est également visible dans le portail Intune.
Par curiosité, vous pouvez ouvrir ce fichier JSON si vous le souhaitez.
III. Importer un profil de configuration Intune
Désormais, nous allons voir comment importer notre stratégie sur un nouveau tenant Microsoft 365, ce qui évite de repartir de zéro ! Sachez que vous pouvez aussi exporter une stratégie et la réimporter sur le même tenant, ce n'est pas un problème. Mais, dans ce cas, pensez aussi à l'option "Dupliqué".
Toujours à partir du portail Intune, suivez le chemin suivant :
1 - Cliquez sur "Appareils" dans le menu de gauche.
Un panneau latéral va s'ouvrir sur la droite. À ce moment-là, vous pourrez sélectionner le fichier JSON à importer. Ce sera l'occasion de sélectionner le fichier de stratégie obtenu quelques minutes auparavant.
Vous devez également nommer la stratégie en remplissant le champ "Nouveau nom" et associer une description. Puis, cliquez sur le bouton "Enregistrer".
Voilà, la stratégie a été importée :
Cliquez sur cette stratégie dans la liste afin de visualiser ses propriétés et son contenu. Vous pourrez constater que l'ensemble des paramètres configurés dans la stratégie sont bien présents. Néanmoins, et c'est plutôt logique, les affectations ne sont pas copiées. C'est à vous d'éditer la stratégie pour l'affecter à un ou plusieurs groupes.
Voilà, vous venez d'importer une stratégie Intune !
IV. Conclusion
À l'avenir, il est fort probable que Microsoft améliore les capacités d'export et d'import intégrées au Centre d'administration Intune. En attendant, vous devez vous satisfaire de la méthode évoquée dans cet article, ou passer par PowerShell grâce au module "Microsoft Graph".
Vous pouvez aussi utiliser l'outil open source IntuneManagement présenté dans l'article ci-dessous et qui permet d'exporter et d'importer toute sa configuration Intune !
Dans ce tutoriel, nous allons découvrir un outil communautaire baptisé IntuneManagement, créé par Mikael Karlsson. Cet outil très puissant s'appuie sur PowerShell pour interroger Microsoft Graph et les API Azure pour permettre une gestion complète de ses configurations Intune !
L'outil IntuneManagement va se connecter à l'environnement Intune de votre tenant Microsoft 365 dans le but de vous permettre d'accomplir certaines tâches non prises en charge ou partiellement prises en charge par le Centre d'administration Intune. Vous pouvez l'utiliser pour exporter et importer vos configurations (ou sauvegarder et restaurer), que ce soit des stratégies de conformité, des stratégies personnalisées, des scripts PowerShell, des applications Intune, ou même des stratégies d'accès conditionnels. Cet outil très puissant et complet peut être utile dans différents scénarios, y compris pour la migration d'un tenant vers un autre.
Vous devez commencer par télécharger la dernière release d'IntuneManagement à partir du GitHub officiel du projet. Vous obtiendrez une archive ZIP qu'il faudra décompresser afin d'obtenir un répertoire avec l'ensemble des fichiers du projet, notamment un ensemble de scripts.
Il existe plusieurs scripts permettant de lancer l'outil : "Start.cmd", "Start-WithApp.cmd", "Start-WithConsole.cmd", "Start-WithJson.cmd", et "Start-IntuneManagement.ps1". Tout dépend de l'usage que vous souhaitez faire de l'outil et j'avoue ne pas avoir testé l'ensemble de ces scripts. Ici, nous allons exécuter le script nommé "Start-IntuneManagement.ps1" (j'ai rencontré des problèmes de connexion via "Start.cmd" avec la version 3.9.6).
.\Start-IntuneManagement.ps1
L'outil va se charger et ouvrir une interface graphique intitulée "Intune Manager". Commencez par accepter les conditions d'utilisation en cochant la case "Accept conditions", puis validez.
Ensuite, vous aurez accès à l'interface de l'application, mais à aucune donnée, car il faut s'authentifier auprès du tenant Microsoft 365. Cliquez sur le bouton en haut à droite afin de lancer la connexion. Connectez-vous à votre tenant. L'outil prend en charge les comptes protégés par MFA.
Une fois que la connexion est effectuée, vous obtiendrez une erreur parce que l'outil n'a pas les permissions pour accéder aux données de votre environnement, notamment via Microsoft Graph. C'est pour cette raison que tous les intitulés sont en rouge dans le menu présent sur la gauche. Cliquez sur votre avatar en haut à droite puis sur "Request consent".
Ensuite, vous devrez valider l'accès pour que cette application ait les permissions suffisantes pour récupérer les données de configuration Intune de votre tenant. Depuis la version 3.9.6, l'outil s'appuie sur Microsoft Graph pour se connecter aux services Microsoft.
III. Prise en main d'IntuneManagement
Désormais, vous pouvez naviguer dans les différentes sections du menu latéral présent sur la gauche. Comme vous pouvez le constater, la liste est longue. À chaque fois, l'outil vous propose plusieurs actions dont la possibilité d'exporter, d'importer et de documenter.
A. Exporter des configurations
Si nous prenons l'exemple de la section "Settings Catalog", elle permet d'obtenir la liste des stratégies de ce type présente sur votre environnement Intune. Vous pouvez exporter chaque stratégie, comme le propose le Centre d'administration Intune, à la différence que là, vous pouvez faire un export en masse de vos stratégies.
Nous pouvons sélectionner toutes les stratégies à exporter puis cliquer sur "Export".
Ensuite, nous devons choisir le répertoire dans lequel effectuer l'export, et se chargera de l'alimenter. L'option "Add company name to path" permet de créer un dossier avec le nom de l'entreprise (définie sur le tenant) afin de stocker les données exportées. Nous avons aussi la possibilité d'exporter les affectations, contrairement à ce que propose l'outil d'export de Microsoft intégré à Intune, via l'option "Export Assignments".
Pour déclencher l'export, il convient de cliquer sur le bouton "Export Selected", ou alors sur "Export All" pour exporter toutes les stratégies (peu importe la sélection effectuée au préalable).
Au final, nous obtenons un répertoire nommé "IT-Connect Lab" (nom de l'entreprise) avec un sous-répertoire "SettingsCatalog" qui contient un fichier JSON par stratégie.
Pour chaque section, nous pouvons visualiser la configuration et l'exporter en quelques clics. C'est vraiment la grande force de cet outil ! Ci-dessous, nous pouvons voir qu'il est possible d'exporter les stratégies de configuration d'appareil, via la section "Device Configuration", ce qui n'est pas possible via le portail Intune.
B. Importer des configurations Intune
L'application Intune Manager est capable aussi d'importer des configurations sur votre environnement Intune. Pour explorer cette fonctionnalité, nous allons importer des stratégies Intune qui correspondent aux bonnes pratiques de configuration de Windows issues des guides CIS Benchmark.
Nous allons télécharger les fichiers de stratégies, au format JSON, depuis ce dépôt GitHub communautaire :
Ces stratégies vont nous permettre de renforcer la sécurité de nos appareils Windows 10 et Windows 11 (à tester avant d'appliquer en production, bien entendu).
Il s'agit de stratégies de type "Catalogue des paramètres", donc nous pourrions les importer via le portail Intune. Néanmoins, Intune Manager va nous permettre un import en masse.
Il suffit de se rendre dans "Settings Catalog" dans l'application puis de cliquer sur "Import". Ensuite, nous devons sélectionner le dossier qui contient les fichiers JSON à importer. Plusieurs options sont proposées, notamment pour décider d'importer ou non les tags et les affectations.
Remarque : l'option "Compare" de l'outil vous permet de comparer une stratégie existante avec une stratégie au format JSON, ce qui permet de comparer facilement deux versions d'une même stratégie. Vous pouvez visualiser facilement les différences entre les deux versions.
Quelques secondes plus tard, ces stratégies sont importées dans Intune et visibles à partir du portail. Il ne reste plus qu'à en profiter !
C. Export en masse de la configuration Intune
Pour finir sur les fonctionnalités d'export (et d'import), nous allons évoquer la fonctionnalité de "Bulk Export" de l'outil, accessible via le menu "Bulk" ! Elle va vous permettre d'exporter tout ou partie de la configuration de votre tenant Intune en quelques clics !
Vous pouvez sélectionner ce que vous souhaitez exporter ou non, et l'outil s'occupe du reste ! Attention, pour les applications, les packages MSI, Intunewin, etc... ne sont pas exportés, mais les scripts le seront.
Une fois l'export terminé, vous obtenez un répertoire avec toutes vos configurations. Il est possible de tout réimporter sur un autre tenant, ce qui peut être utile si vous migrez d'un tenant à un autre. Nous pouvons aussi utiliser cette fonction pour faire une sauvegarde à l'instant t de nos configurations.
D. Générer une documentation Intune
Terminons par la cerise sur le gâteau : la possibilité de générer une documentation de votre configuration ! Pour cela, vous pouvez utiliser le bouton "Document" présent dans chaque section d'Intune Manager, ou utiliser le menu "Bulk" puis "Document Types".
Plusieurs options s'offrent à vous, comme le format du rapport : CSV, HTML, Markdown et même Word (s'il est installé sur la machine depuis laquelle Intune Manager est exécuté). Vous pouvez aussi sélectionner la langue, parmi un large choix, dont l'anglais, le français, l'espagnol, l'italien et l'allemand.
Ensuite, vous laissez travailler l'outil et il va générer une documentation complète pour résumer votre configuration, en intégrant une table des matières. Que ce soit pour documenter son SI ou effectuer un audit, cette fonctionnalité est redoutable.
Voici un exemple de rapport HTML :
IV. Conclusion
IntuneManagement est vraiment un excellent outil que tout administrateur d'Intune doit connaître ! Il a une réelle valeur ajoutée et facilite les opérations d'export, d'import, voire même de sauvegarde et de restauration d'une certaine façon, en plus de vous permettre de générer une documentation à la volée de votre configuration.
Dans ce tutoriel, nous allons apprendre à déployer la suite Microsoft 365 Apps sur des appareils Windows 10 et Windows 11 à l'aide de la solution Intune. Ceci va permettre d'installer les applications de la suite Office sur les machines des utilisateurs : Word, Outlook, Excel, PowerPoint, Access, etc... Et même Visio et Project, si vous avez besoin et que vous disposez des abonnements adaptés.
Nous allons voir que Microsoft a tout prévu pour faciliter le déploiement de la suite Microsoft 365 Apps à partir d'Intune. Vous n'aurez qu'à vous laisser guider par ce tutoriel pour atteindre votre objectif final : automatiser le déploiement des applications Office sur vos PC Windows.
D'autres articles sur le sujet du déploiement d'applications avec Intune sont disponibles sur notre site :
Commençons par évoquer les prérequis nécessaires pour suivre ce tutoriel.
Système d'exploitation des appareils Windows : Windows 10 version 1703 (ou supérieure) ou Windows 11
Des abonnements Microsoft 365 avec les applications Microsoft 365 Apps intégrées : Business Standard, Business Premium, E3, E5, etc.
Des appareils inscrits dans Entra ID et Intune : Join et Hybrid Join
Plusieurs déploiements Microsoft 365 Apps ne sont pas pris en charge. Un seul déploiement sera distribué à l’appareil (donc attention à l'affectation de la stratégie, notamment si vous créez plusieurs stratégies pour cette même application).
Bien entendu, vous devez aussi disposer d'une licence Microsoft Intune : le "Plan 1" de base sera suffisant.
III. Déployer les applications Microsoft 365 Apps avec Intune
Commencez par vous connecter au Centre d'administration Microsoft Intune.
Une fois connecté au portail Intune, suivez ce chemin :
1 - Cliquez sur "Applications" sur la gauche puis sur "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Choisissez la valeur "Windows 10 et ultérieur" sous "Applications Microsoft 365" car Microsoft a créé un type d'application spécifique pour faciliter le déploiement de Microsoft 365 Apps.
Cliquez sur le bouton "Sélectionner" pour valider.
Un assistant s'exécute. Il va vous permettre de personnaliser le déploiement de la suite Microsoft 365 Apps. Vous devez commencer par définir les informations globales sur l'application. J'attire votre attention sur ces options :
Nom de la suite : vous pouvez corriger la valeur afin d'indiquer "Microsoft 365 Apps pour Windows".
Catégorie : choisissez la catégorie que vous souhaitez, même si "Productivité" qui est présélectionné me semble adapté.
Afficher ceci en tant qu'application à la une dans le Portail d'entreprise : choisissez "Oui" si vous désirez que cette application soit visible dans l'application Portail d'entreprise (voir ce tutoriel à ce sujet), ce qui sera utile si vous voulez mettre à disposition cette application en libre-service.
Cliquez sur "Suivant". Éventuellement, vous pouvez modifier les autres valeurs, selon vos besoins.
L'étape "Configurer la suite d'applications" se présente à vous. Vous avez le choix entre deux formats pour les paramètres de configuration :
Concepteur de configuration : utiliser les paramètres de configuration proposés par l'interface Intune, c'est ce que nous allons faire.
Entrer des données XML : ceci permet d'avoir une zone de saisie dans laquelle vous pouvez coller le code XML obtenu à l'aide de l'outil "Office Deployment Tool (ODT)", afin de personnaliser la configuration d'Office.
Le fait de choisir "Concepteur de configuration" donne accès à différentes options. Tout d'abord, nous pouvons choisir les applications Office que nous souhaitons installer. Dans cet exemple, seules 5 applications seront installées : Excel, Outlook, PowerPoint, Teams et Word. Via l'option "Sélectionner d'autres applications Office (licence obligatoire)", vous pouvez ajouter Visio et/ou Project, en supplément.
Puis, nous devons sélectionner le type d'architecture, ici "64 bits" sera sélectionné. Aujourd'hui, la quasi-majorité des machines utilisent une architecture 64 bits. De plus, vous devez choisir :
Le format de fichier par défaut : le format "Office Open XML Format" correspond au format officiel de la suite Office.
Canal de mise à jour : permet d'indiquer sur quel canal de mise à jour, vous souhaitez "vous brancher" pour recevoir les mises à jour. Pour la production, je vous recommande : "Canal d'entreprise mensuel" ou "Canal Entreprise semi-annuel". Dans les deux cas, vous bénéficiez chaque mois des correctifs pour la sécurité et la résolution de bugs. Avec le "Canal d'entreprise mensuel", vous avez accès aux nouvelles fonctionnalités tous les mois, tandis qu'avec le "Canal Entreprise semi-annuel", vous avez accès aux nouvelles fonctionnalités deux fois par an (tous les 6 mois, environ).
En complément, voici d'autres options à configurer :
Supprimer les autres versions : sélectionnez "Oui" pour que les autres versions de Microsoft Office soient automatiquement supprimées.
Version à installer / version spécifique : vous pouvez sélectionner une version spécifique à installer, ou tout simplement déployer la dernière en date (vis-à-vis du canal sélectionné).
Utiliser l'activation de l'ordinateur partagé : ceci est utile lorsque plusieurs utilisateurs utilisent le même ordinateur, afin d'éviter qu'une activation soit décomptée sur le compte de l'utilisateur (voir cet article pour cette notion : Microsoft Office - Shared computers). Sélectionnez "Non", sauf si vous avez un besoin spécifique.
Accepter les termes du contrat de licence.... : choisissez "Oui" pour ne pas être perturbé par cette étape lors du premier lancement d'une application Office.
Langues : par défaut, Office va se caler sur la langue du système, mais vous pouvez ajouter un ou plusieurs langues supplémentaires si vous le souhaitez.
Quand c'est bon pour vous, poursuivez.
L'étape "Affectations" se présente à l'écran. Il s'agit de l'étape habituelle pour affecter la stratégie à un ou plusieurs groupes. Ici, l'application Microsoft 365 Apps sera obligatoire pour les appareils membres du groupe "PC_Windows" donc elle sera installée automatiquement.
Poursuivez, vérifiez votre configuration et validez la création de la stratégie.
IV. Tester sur un appareil
Désormais, la stratégie doit être testée sur un appareil qui rentre dans le périmètre de celle-ci. Après synchronisation, la suite Microsoft 365 Apps est correctement déployée par l'intermédiaire du composant Intune Management Extension.
Les applications ne seront pas épinglées dans le menu Démarrer, mais elles sont visibles dans la liste de toutes les applications.
En parallèle, le déploiement de l'application peut être suivi à l'aide du portail Intune.
V. Conclusion
En suivant ce tutoriel pas à pas, vous devriez être en mesure de déployer la suite Microsoft 365 Apps sur vos appareils Windows ! Microsoft a fait le nécessaire pour rendre le déploiement des applications Microsoft Office relativement simplement, et nous n'allons pas nous plaindre.
Pour obtenir des informations supplémentaires et prendre connaissances des "problèmes connus" relatifs à ce déploiement, consultez la documentation de Microsoft :
Dans ce tutoriel, nous allons apprendre à synchroniser manuellement un appareil Windows inscrit dans Microsoft Intune. Cette manipulation peut s'avérer utile si vous venez de créer une nouvelle stratégie sur Intune et que vous souhaitez vérifier son bon fonctionnement, sans avoir à attendre. Ceci peut être pratique également en phase de dépannage sur un appareil Windows (stratégie non redescendue, stratégie en erreur, etc.).
Si vous avez l'habitude de travailler avec un Active Directory et les stratégies de groupe, vous recherchez surement un équivalent à la célèbre commande "gpupdate". À l'heure actuelle, cette commande n'existe pas pour Intune, à moins d'utiliser PowerShell mais cela implique de s'appuyer sur le module Microsoft Graph.
Dans cet article, nous allons étudier différentes possibilités, que ce soit depuis l'appareil à synchroniser en lui-même ou à partir du Centre d'administration Intune. Ceci nous donnera aussi l'occasion d'évoquer les cycles de synchronisation par défaut d'Intune, pour Windows et les autres OS pris en charge.
II. Les cycles de synchronisation Intune
Le cycle d'actualisation ou fréquence d'actualisation par défaut pour les appareils inscrits sur Intune, et peu importe le système d'exploitation, est de 8 heures. Cela signifie que lorsqu'une nouvelle stratégie est créée, elle peut mettre jusqu'à 8 heures à "redescendre" sur les appareils.
Voici un tableau récapitulatif :
Plateforme
Fréquence d'actualisation
Android, AOSP
Environ toutes les 8 heures
iOS/iPadOS
Environ toutes les 8 heures
macOS
Environ toutes les 8 heures
Windows 10/11
Environ toutes les 8 heures
Windows 8.1
Environ toutes les 8 heures
Néanmoins, lorsqu'un appareil vient de s'inscrire dans Intune, la fréquence d'actualisation est un peu différente. Il y aura des synchronisations rapprochées au départ, comme le montre le tableau ci-dessous.
Plateforme
Fréquence d'actualisation
Android, AOSP
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
iOS/iPadOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
macOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
Windows 10/11
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Windows 8.1
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Les informations présentées dans les tableaux ci-dessus sont issues de la documentation Microsoft :
Certaines actions impliquent une synchronisation "dès que possible", où Intune notifie l'appareil qu'il doit se synchroniser maintenant. Voici ce que l'on peut lire sur cette page de la documentation Microsoft : "Les appareils se connectent à Intune lorsqu'ils reçoivent une notification de connexion ou lors de la connexion programmée. Lorsque vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l'appareil pour qu'il s'enregistre et reçoive ces mises à jour. Par exemple, une notification est envoyée lorsqu'une action de verrouillage, de réinitialisation du code d'accès, d'application ou d'attribution de stratégie est exécutée."
Par ailleurs, il n'est pas à exclure qu'il y ait quelques exceptions et des cycles d'actualisation différents sur certaines fonctionnalités spécifiques d'Intune. C'est le cas avec les stratégies d'App Protection comme l'explique cette page.
III. Synchroniser un appareil Windows
Nous allons nous intéresser à différentes façons de synchroniser un appareil Windows, que ce soit depuis l'appareil en lui-même, depuis le Centre d'administration Microsoft Intune ou à l'aide de PowerShell.
A. Synchroniser à partir des paramètres de Windows
La première méthode à connaître, et que nous avons déjà évoqué dans de précédents articles, consiste à utiliser l'interface de gestion des paramètres de Windows.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Ceci va permettre de déclencher une synchronisation, et il ne vous reste plus qu'à patienter le temps qu'elle soit effectuée.
B. Synchroniser à partir du Portail d'entreprise
Parmi les fonctionnalités de l'application "Portail d'entreprise" appelée également "Company Portal", il y a la possibilité de lancer une synchronisation sans passer par les paramètres du système Windows. Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Une autre possibilité, c'est d'effectuer un clic droit sur "Portail d'entreprise" dans le menu Démarrer afin de cliquer sur le bouton "Synchroniser cet appareil". Le problème, c'est que cette entrée est visible seulement lorsque l'on effectue un clic droit à partir de la liste de toutes les applications (si l'application est épinglée au menu Démarrer et que l'on passe par ce raccourci, cela n'est pas proposé).
C. Synchroniser un appareil depuis le portail Intune
Désormais, nous allons basculer sur le Centre d'administration Intune puisqu'il intègre deux fonctionnalités permettant de lancer une synchronisation sur un ou plusieurs appareils.
Tout d'abord, quand vous accédez à la liste des "Appareils" et qu'ensuite, vous cliquez sur un appareil dans la liste, vous verrez apparaître un bouton nommé "Synchroniser" dans la "Vue d'ensemble". Il vous suffit de cliquer sur ce bouton.
Une fenêtre de confirmation apparaît, cliquez sur "Oui" et cela va envoyer un signal à la machine pour qu'elle se synchronise.
D. Synchroniser en masse des appareils depuis le portail Intune
Le Centre d'administration Intune vous offre aussi la possibilité d'effectuer des actions en masse sur une sélection d'appareils. La synchronisation fait partie des actions envisageables. Voici la marche à suivre :
1 - Cliquez sur "Appareils" dans le menu de gauche du portail Intune
2 - Cliquez sur "Tous les appareils".
3 - Cliquez sur le bouton "Actions d'appareil en bloc".
Un assistant va s'exécuter. Plusieurs options sont à configurer :
1 - Vous devez commencer par choisir le système d'exploitation, donc prenez "Windows".
2 - Sélectionnez le type d'appareil "Appareils physiques".
3 - Comme type d'action à exécuter, sélectionnez "Synchroniser".
Passez à l'étape suivante. Vous devrez alors cliquer sur "Sélectionner les appareils à inclure" afin de sélectionner un ou plusieurs appareils, dans la limite de 100 appareils (limite actuelle).
Ensuite, poursuivez jusqu'à la fin de la création de la tâche. Une notification au sein d'Intune vous indiquera si la tâche a été lancée, ou non.
E. Synchroniser un appareil avec PowerShell
Avec PowerShell, nous pouvons interagir avec les services Cloud de Microsoft tels qu'Azure et Intune par l'intermédiaire de Microsoft Graph. Il y a un ensemble de modules PowerShell disponibles et à utiliser en fonction des usages. Nous allons voir comment utiliser Microsoft Graph avec PowerShell pour synchroniser un appareil (puis plusieurs appareils).
Commencez par ouvrir une console PowerShell en tant qu'administrateur afin d'installer les modules Microsoft Graph. Vous pouvez tout installer, ou uniquement installer ceux dont vous avez besoin. Peut-être que vous avez déjà ces modules sur votre machine si vous avez l'habitude d'interagir avec les services Microsoft avec PowerShell.
Puis, exécutez la commande suivante pour basculer dans une console PowerShell avec la stratégie d'exécution "RemoteSigned", sinon vous allez obtenir des erreurs par la suite (si vous êtes en "Restricted", par exemple).
powershell.exe -ExecutionPolicy RemoteSigned
Installez tous les modules Microsoft Graph (alternative ci-dessous) :
Install-Module Microsoft.Graph
Si vous préférez limiter l'installation au strict minimum, installez ceci :
Le module "Microsoft.Graph.DeviceManagement" contient le cmdlet "Get-MgDeviceManagementManagedDevice" que nous allons utiliser par la suite pour récupérer des informations sur les appareils.
Le module "Microsoft.Graph.DeviceManagement.Actions" contient le cmdlet "Sync-MgDeviceManagementManagedDevice" que nous allons utiliser pour déclencher une synchronisation sur un appareil.
Ensuite, connectez-vous à Microsoft Graph avec PowerShell. Nous pourrions établir une connexion globale, mais nous allons plutôt limiter notre connexion à certains scopes correspondants à nos besoins. Ceci pour des raisons de sécurité et pour limiter les droits de la session que nous allons initier.
Suite à l'exécution de cette commande, vous êtes invités à vous authentifier auprès de votre tenant Microsoft 365. Puis, vous devez valider la demande d'autorisations émise par l'application Microsoft Graph.
Quand c'est fait, un message doit s'afficher dans la console : "Welcome to Microsoft Graph!". Il signifie en quelque sorte que vous pouvez commencer à interroger Intune à partir de PowerShell, car la connexion est établie.
Commençons par l'exécution d'une première commande qui va retourner la liste de tous vos appareils, aussi bien Windows que les autres plateformes, en retournant les propriétés "DeviceName" et "LastSyncDateTime" qui correspondent respectivement au nom de l'appareil et à sa date de dernière synchronisation. Le paramètre "-All" est important, car si vous avez beaucoup d'appareils, la liste sera incomplète s'il n'est pas précisé.
Si vous souhaitez obtenir ces informations uniquement pour les appareils Windows, vous devez ajouter un filtre sur la propriété "OperatingSystem". Il y a deux façons d'effectuer ce filtre :
Vous devez stocker le résultat du cmdlet "Get-MgDeviceManagementManagedDevice" dans une variable afin de récupérer l'ID de l'appareil à cibler. Dans l'exemple ci-dessous, nous allons ajouter un filtre basé sur l'opérateur "Contains" pour rechercher la machine "PC-ITC-02". C'est sur cette machine que nous souhaitons forcer une synchronisation.
Le résultat est stocké dans la variable "$Target". Elle contient un ensemble de propriétés au sujet de cet appareil, dont la propriété "Id" qui est requise par le cmdlet "Sync-MgDeviceManagementManagedDevice".
Ainsi, voici comment nous allons forcer la synchronisation sur cet appareil :
Cette commande ne retourne pas de résultat dans la console, mais l'ordre de synchronisation sera bien envoyé à l'appareil.
F. Synchroniser plusieurs appareils avec PowerShell
Grâce à l'utilisation de PowerShell, nous allons pouvoir cibler plusieurs appareils et créer des filtres sur-mesure.
Voici un premier exemple pour obtenir la liste de tous les appareils dont le nom commence par "PC-ITC", ce qui permettra de cibler les appareils nommés "PC-ITC-01", "PC-ITC-02", etc.
Voici un second exemple pour obtenir la liste de tous les appareils dont le nom contient la chaine de caractères "ITC" (peu importe si cela est au début, à la fin, au milieu, etc.).
Ensuite, nous pouvons stocker le résultat dans une variable et parcourir la liste d'appareils avec une boucle ForEach dans le but de déclencher une synchronisation sur chaque appareil.
$Targets = Get-MgDeviceManagementManagedDevice -Filter "Startswith(deviceName,'PC-ITC')"
ForEach ($Device in $Targets) {
try {
Sync-MgDeviceManagementManagedDevice -ManagedDeviceId $Device.id -ErrorAction Stop
Write-Host "$($device.DeviceName) - Synchronisation exécutée" -ForegroundColor Green
}
catch {
Write-Host "$($device.DeviceName) - Echec de l'opération avec l'erreur : $($_.Exception.Message)" -ForegroundColor Red
}
}
Pour chaque appareil, il y aura un retour dans la console pour indiquer si la commande "Sync-MgDeviceManagementManagedDevice" s'est exécutée correctement ou non. Attention, ceci n'indique pas réellement le résultat de la synchronisation.
PC-ITC-02 - Synchronisation exécutée
IV. Conclusion
Suite à la lecture de cet article, vous êtes capable de forcer la synchronisation d'un appareil Windows inscrit dans Intune pour qu'il récupère les dernières stratégies qui lui sont affectées !
Il y a deux autres méthodes que j'aurais pu indiquer et qui fonctionnent assez bien. La première, c'est le fait de redémarrer l'appareil Windows, mais ceci est un peu contraignant si un utilisateur travaille sur son ordinateur. La seconde, c'est le fait de redémarrer le service "IntuneManagementExtension" pour une actualisation liée aux applications et aux scripts.
Dans cet article, nous allons introduire le Portail d'entreprise ou Company portal pour que vous puissiez avoir une idée plus précise de l'intérêt de cette fonctionnalité d'Intune, qui peut vous rendre bien des services.
Nous allons évoquer les fonctionnalités clés, le déploiement de l'application sur Windows, et nous découvrirons l'interface de cette même application.
II. Les fonctionnalités du Company Portal d'Intune
A. À quoi sert le Portail d'entreprise ?
Le Portail d'entreprise met à disposition des utilisateurs des informations utiles sur leur organisation et il leur donne accès à des actions pratiques en mode "self-service", comme la possibilité d'installer des applications, de déclencher la synchronisation d'un appareil ou encore de vérifier l'état de la conformité d'un appareil. Par ailleurs, l'enrollment d'un appareil peut être effectué via cette application, plutôt que par les paramètres du système.
Le Portail d'entreprise joue un rôle important dans le déploiement des applications via Intune. En effet, vous avez la possibilité de définir une des "applications en vedette", c'est-à-dire des applications disponibles et mises en avant dans le Portail d'entreprise. Ceci peut être utile pour mettre à disposition une application pour vos utilisateurs, sans que l'installation soit automatique : c'est l'utilisateur qui a la main.
Ceci s'applique aux applications dont l'option "Afficher ceci en tant qu'application à la une dans Portail d'entreprise" est définie sur "Oui". Vous pouvez tout à fait changer cette option sur vos applications existantes.
B. Les applications Portail d'entreprise
Le Portail d'entreprise Intune est accessible de plusieurs façons puisqu'il y a un portail Web et des applications, notamment une application Windows et une application mobile sur Android et iOS. N'importe quel utilisateur, à partir de son appareil inscrit et de son compte, peut accéder au Portail d'entreprise avec un navigateur via cette adresse :
Par ailleurs, l'application est accessible dans le Microsoft Store :
Désormais, nous allons voir comment déployer cette application via Intune.
III. Déployer l'application Company Portal sur Windows
Nous allons apprendre à déployer l'application Company Portal sur Windows à partir d'une stratégie d'applications Intune. Cette application étant publiée dans le Microsoft Store accessible depuis Windows, nous pouvons effectuer cette opération facilement.
Si vous n'êtes pas familier avec le déploiement d'applications du Microsoft Store via Intune, je vous recommande la lecture de cet article :
À partir du Centre d'administration Intune, vous devez créer une nouvelle application :
Cliquez sur "Applications", puis "Windows" et cliquez sur le bouton "Ajouter".
Dans le panneau latéral, choisissez le type d'application "Application Microsoft Store (nouvelle)" et suivez l'assistant.
À l'étape "Informations sur l'application", cliquez sur "Rechercher l’application Microsoft Store (nouvelle)" afin de rechercher "company portal". Sélectionnez l'application "Company portal" de type "UWP" visible dans la liste et cliquez sur "Sélectionner".
Ensuite, vous devez configurer cette application. Vous pouvez commencer par indiquer son nom en français, à savoir "Portail d'entreprise". Vous avez le choix entre une installation par utilisateur ou par machine (système). Indiquez également un logo, que vous pouvez récupérer sur Google via une recherche d'image.
Passez à l'étape "Affectations" et sélectionnez les groupes qui doivent bénéficier de cette application.
Poursuivez jusqu'à la fin pour finaliser la création de l'application.
IV. Aperçu du Company Portal sur Windows
Une fois que l'appareil aura effectué une synchronisation, l'application "Company Portal" sera visible sur Windows et vous pourrez commencer à l'explorer. L'image ci-dessous montre la section "Appareils" où l'utilisateur peut avoir un aperçu de l'ensemble des appareils dont il est déclaré comme propriétaire.
Par ailleurs, à partir du moment où une application ou plusieurs applications sont mises en avant dans le Portail d'entreprise, elles sont visibles directement dans l'interface de celui-ci. Si l'application n'est pas installée et qu'elle est disponible pour un utilisateur, il peut décider de l'installer.
Pour forcer la synchronisation d'un appareil à partir du Portail d'entreprise, Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Sachez que vous avez aussi la possibilité de modifier l'apparence du Portail d'entreprise, en jouant sur les paramètres de branding de votre organisation, directement à partir du Centre d'administration Intune. En cliquant sur ce lien, vous serez redirigé directement vers la page de configuration. Au-delà de l'apparence, vous pourrez aussi activer/désactiver certaines fonctionnalités, notamment celle-ci qui peut être gênante :
Pour en savoir plus, consultez cette documentation de Microsoft :
Suite à la lecture de cet article, vous en savez plus sur le Portail d'entreprise de Microsoft Intune et vous êtes désormais en mesure de procéder à son déploiement et à sa personnalisation. Son atout principal, c'est le fait de permettre la publication d'applications auprès des utilisateurs. L'étape de branding est simple à effectuer, mais elle est importante, car elle permet d'ajouter le logo de votre entreprise, les coordonnées, etc.
Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.
Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.
Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.
En ce qui me concerne, voici la configuration que je souhaite déployer :
Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.
De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.
Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.
III. Le propriétaire de l'appareil est administrateur local
Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.
Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".
Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.
L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.
Voici un aperçu de ces deux paramètres :
IV. Gérer les administrateurs des appareils : deux solutions
Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :
Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra
Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.
Avec une stratégie de sécurité Intune
Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.
V. Préparer le groupe de sécurité Entra ID
À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.
Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.
Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.
Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".
Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.
L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...
Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.
Ensuite, nous devons configurer d'autres paramètres :
Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
Type de sélection de l'utilisateur :
Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs
Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.
Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.
Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.
Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.
Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.
Nous pouvons continuer... Jusqu'à l'étape n°4.
Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".
Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !
VII. Tester la stratégie Intune
La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.
Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.
Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).
Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).
Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).
Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :
Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :
Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae
Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !
Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.
VIII. Conclusion
Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".
Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :
Dans ce tutoriel, nous allons aborder la notion de "Stratégies de conformité" dans Microsoft Intune. Qu'est-ce qu'une stratégie de conformité ? Quel est l'intérêt d'une stratégie de conformité ? Comment configurer une stratégie de conformité Windows dans Intune ? Cet article répondra à ces différentes questions.
II. Qu'est-ce qu'une stratégie de conformité Intune ?
Une stratégie de conformité Intune va permettre à une entreprise de s'assurer que tous les appareils utilisés par les employés respectent les règles de base en matière de sécurité.
Par exemple, nous allons pouvoir nous assurer que le pare-feu est actif sur Windows et qu'il y a bien une protection antivirus opérationnelle. Si ce n'est pas le cas, nous allons recevoir une alerte et il sera possible de limiter les tentatives d’accès effectués à partir de cet appareil non conforme.
La stratégie de conformité est d'autant plus intéressante lorsqu'elle est couplée avec les stratégies d'accès conditionnel puisque nous pourrons accorder une autorisation d'accès uniquement si l'appareil respecte sa stratégie de conformité. Ce qui permet de bloquer les connexions à partir d'un appareil non conforme.
Dans la suite de cet article, nous allons apprendre à configurer les paramètres généraux de cette fonctionnalité, avant de configurer les paramètres de notifications et de créer une stratégie de conformité Intune.
Cette stratégie de conformité Windows aura pour objectif de vérifier les points suivants :
Pare-feu Windows Defender actif
Module TPM actif
Antivirus actif
Logiciel anti-espion et logiciel anti-malware actifs
Protection en temps réel active
Nous pourrions ajouter d'autres conditions comme la vérification du Secure Boot, l'état de BitLocker, etc.
III. Stratégies de conformité : paramètres généraux
Nous allons commencer par configurer les paramètres de stratégie de conformité au niveau du tenant Microsoft 365. Autrement dit, il s'agit de paramètres communs à l'ensemble des appareils, des utilisateurs et des stratégies.
Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :
Ensuite, cliquez sur "Appareils" puis sur "Conformité" afin de pouvoir cliquer sur le bouton "Paramètres de conformité". Vous pouvez aussi passer par "Sécurité du point de terminaison", "Conformité de l'appareil" puis "Paramètres de conformité".
Ici, nous allons retrouver deux paramètres importants :
Nous allons configurer ces deux options :
Marquer les appareils sans stratégie de conformité comme étant, et nous allons passer l'option sur "Non conforme". Ainsi, nous partons du principe qu'un appareil n'est pas conforme : nous ne faisons pas confiance à l'appareil avant qu'il soit analysé.
Période de validité de l'état de conformité (jours), et nous allons indiquer "30" ce qui signifie qu'un appareil identifié comme conforme bénéficiera de ce statut pendant 30 jours.
Il est à noter que la période de compliance peut être comprise entre 1 et 120 jours.
Une fois les paramètres définis, cliquez sur "Enregistrer".
IV. Stratégies de conformité : notifications
La seconde étape consiste à configurer le système de notifications, ce qui permettra notamment de recevoir un e-mail lorsqu'un appareil non conforme sera détecté. Toujours sous "Conformité", basculez sur l'onglet "Notifications" puis cliquez sur "Créer une notification".
Donnez un nom à ce modèle de notification, par exemple "Notification de base - Compliance". Ensuite, nous avons plusieurs options de base pour personnaliser l'e-mail, notamment dans le but d'intégrer des éléments permettant d'identifier votre entreprise (un logo, par exemple). Cette interface ne permettra pas de choisir un logo ou de configurer les valeurs des autres options.
Pour visualiser les valeurs attribuées à ces options, vous devez accéder aux paramètres de personnalisation du tenant. Suivez la procédure suivante :
1 - Cliquez sur "Administration de locataire".
2 - Cliquez sur "Personnalisation".
3 - Cliquez sur "Modifier".
Ensuite, il ne vous reste plus qu'à configurer les différentes options telles que le nom de l'organisation, le logo, etc...
Quand ce sera fait, retournez dans l'assistant de création d'une notification afin de passer à la seconde étape. Vous devez choisir la langue, et définir l'objet de l'e-mail ("Appareil non conforme", par exemple) ainsi que le corps du message (certaines balises HTML sont prises en charge). Puisqu'il s'agit du premier modèle de notifications, nous allons le définir par défaut.
Pour personnaliser le message avec des valeurs dynamiques (le nom de l'utilisateur ou de l'appareil, par exemple), vous pouvez utiliser "des variables", comme décrit dans cette page de la documentation Microsoft.
Ce qui donne :
Passez à l'étape "Vérifier + créer" afin de passer en revue votre paramétrage et cliquez sur "Créer".
Voilà, votre modèle de notification est créé !
V. Créer une stratégie de conformité Intune
Nous allons créer une stratégie de conformité pour définir les critères que doit respecter un appareil afin d'être considéré comme conforme. Cette fois-ci, basculez sur l'onglet "Stratégies" et cliquez sur "Créer une stratégie". À cet emplacement, vous avez également accès à l'onglet "Scripts" qui permet de créer des scripts PowerShell pour de la "mise en conformité sur-mesure" puisque c'est votre script qui va faire l'évaluation (nous pouvons imaginer un script PowerShell pour vérifier l'espace disque restant sur le volume système).
Un panneau latéral apparait sur la droite. Choisissez la plateforme "Windows 10 et ultérieur" et poursuivez. Ceci vous donne l'occasion de constater que cette fonctionnalité n'est pas limitée à Windows.
Bienvenue dans l'assistant de création d'une stratégie de conformité Intune !
Commencez par donner un nom à cette stratégie et indiquez une description. La description s'avère utile pour donner quelques indications sur le contenu de cette stratégie.
La section "Conformité personnalisée" sert à créer vos propres règles contenues dans un fichier JSON généré à partir d'un script PowerShell. Cette méthode est décrite dans la documentation Microsoft, sur cette page.
Descendez dans la page... Nous allons pouvoir exiger la vérification de certains éléments en jouant sur les options présentes dans chaque section : Intégrité de l'appareil, Propriétés de l'appareil, etc...
Commencez par la section "Intégrité de l'appareil" qui présente l'avantage de permettre de vérifier la configuration de BitLocker, du démarrage sécurisé et l'intégrité du code sur la machine Windows. Avant d'activer la vérification BitLocker, il convient de créer une stratégie de configuration de BitLocker.
La section "Propriétés de l'appareil" sert à vérifier la version du système d'exploitation Windows. Ainsi, vous pourriez considérer qu'un appareil qui exécute une version de Windows 10 qui n'est plus sous support, n'est pas conforme. Pour obtenir les numéros de version, vous pouvez vous référer à la documentation Microsoft, notamment ce lien :
Par ailleurs, vous pouvez aussi utiliser la commande "winver" sur un appareil puisqu'elle retourne un numéro de build. Toutefois, méfiez-vous avec les numéros de version, vous devez utiliser ce format : 10.0.X.X. Ainsi, pour la build "22631.2715", nous devons préciser la valeur suivante : 10.0.22631.2715.
Ce numéro de version correspond à Windows 11 23H2 avec les mises à jour de novembre 2023, ce qui signifie que l'on peut cibler une version majeure et un niveau de mise à jour des machines. Pour Windows 11 23H2 avec les mises à jour d'avril 2024, la valeur à utiliser est légèrement différente dû à la différence de niveau de mise à jour : 10.0.22631.3447.
Voici un exemple :
La section "Conformité de Configuration Manager" s'adresse aux personnes en co-gestion avec (System Center) Configuration Manager.
Le volet "Sécurité système" s'adresse aux administrateurs qui souhaitent effectuer des vérifications sur la configuration et l'utilisation des mots de passe sur un appareil. À la fin de la section, il y a tout de même des paramètres que nous allons activer pour vérifier l'état du pare-feu, du module TPM, de l'antivirus, et du logiciel anti-espion.
Puis, un peu plus bas, nous allons pouvoir activer certains contrôles liés à Defender :
Vous avez aussi un paramètre spécifique à "Microsoft Defender for Endpoint" pour vérifier le niveau de risque d'un appareil. C'est très intéressant pour les entreprises équipées avec cette solution sur leur appareil Windows.
Passez à l'étape "Actions en cas de non conformité". Ici, nous allons créer plusieurs règles :
Marquer l'appareil comme non conforme immédiatement.
Envoyer un e-mail à l'utilisateur final (grâce à notre modèle de notifications précédemment créé !) - L'administrateur aura aussi l'e-mail.
Ajouter un appareil à la liste des mises hors service 20 jours après la non-conformité. Ceci est facultatif, mais permet d'ajouter l'appareil à la liste "Mettre hors service les appareils non conformes". Lorsqu'un administrateur retire un appareil de cette liste, ceci enclenche la suppression de toutes les données de l'entreprise de l'appareil et le retire de la gestion Intune. A utiliser avec précaution.
Remarque : pour certains appareils, notamment sous Android, macOS, iOS et iPadOS, il est possible de verrouiller l'appareil à distance s'il n'est pas conforme. Ceci correspond à la fonction Remote Lock.
Pour finir, l'étape "Affectations" que l'on a l'habitude de croiser dans les assistants Intune se présente à l'écran. L'objectif étant d'affecter cette stratégie de conformité à un groupe d'appareils, comme ici le groupe "PC_Corporate".
Attention : n'oubliez pas que nous avons activé une option au niveau du tenant pour déclarer non conformes tous les appareils sans stratégie de conformité. S'il s'agit de votre stratégie de conformité de base, vous pouvez l'appliquer directement à tous les appareils.
Révisez votre configuration et cliquez sur le bouton "Créer" pour finaliser la création de la stratégie de conformité.
Voilà, la stratégie de conformité va être déployée sur les appareils qui rentrent dans le périmètre de l'affectation.
VI. Suivre l'état des appareils
Suite au déploiement de cette stratégie, les appareils sont analysés via la stratégie de conformité et un état s'affiche directement dans la colonne "Compatibilité" de la liste des appareils inscrits dans Intune. Ici, nous pouvons voir que l'appareil "PC-ITC-01" n'est pas conforme.
Si nous cliquons sur cet appareil, nous pouvons obtenir des précisions. Nous voyons bien qu'il ne respecte pas notre politique.
En fait, le détail de l'analyse nous montre que le pare-feu de la machine est dans un état "non conforme". En effet, sur cet appareil, le pare-feu Windows est désactivé.
Dans le même temps, une notification par e-mail a été envoyée ! Cette notification reprend bien les éléments configurés dans notre modèle de notifications et dans les paramètres de personnalisation (textes, logo, etc.).
Désormais, il va falloir faire le nécessaire pour qu'il soit de nouveau conforme...!
VII. Conclusion
Suite à la lecture de ce tutoriel, vous êtes en mesure de créer votre première stratégie de conformité Intune pour vos appareils Windows. Avant de modifier les paramètres au niveau du tenant, effectuez une première stratégie de conformité afin de la tester sur quelques appareils de votre parc informatique.
Dans ce tutoriel, nous allons apprendre à activer et configurer le chiffrement BitLocker sur des machines Windows 10 et Windows 11 à l'aide d'une stratégie de chiffrement de disque Intune. Suite à la mise en place de ce tutoriel, vous serez en mesure d'automatiser le chiffrement des disques de vos ordinateurs Windows, grâce au composant BitLocker pris en charge nativement par les systèmes d'exploitation de Microsoft.
Cette procédure est identique pour les appareils Windows Joined et Hybrid Joined à Microsoft Entra ID. Que la machine soit jointe à Entra ID ou à l'Active Directory, elle sera capable de stocker les informations associées au chiffrement BitLocker, notamment la clé de récupération, directement dans le service de gestion des identités auquel elle appartient.
Notre objectif va être de mettre en place BitLocker en automatisant sa configuration de façon silencieuse, ce qui signifie qu'aucune interaction n'est attendue de la part de l'utilisateur. Ceci implique de faire l'impasse sur certaines fonctionnalités (la saisie d'un code PIN pour déverrouiller le lecteur "BitLocké", par exemple). Cette configuration convient aux machines équipées d'une puce TPM et elle permet de chiffrer les appareils Windows sans pour autant alourdir la charge de travail de l'équipe IT. Une alternative serait de "prompter" l'utilisateur pour qu'il configure BitLocker mais ceci implique une interaction de sa part.
En complément de ce tutoriel, vous pouvez vous référer à ces liens :
Afin de pouvoir activer et configurer BitLocker de façon automatique et silencieuse, nous devons respecter un ensemble de prérequis.
Si les utilisateurs finaux se connectent aux appareils en tant qu’administrateurs, l’appareil doit utiliser Windows 10 version 1803 ou ultérieure, ou Windows 11.
Si les utilisateurs finaux se connectent aux appareils en tant qu’utilisateurs standard, l’appareil doit utiliser Windows 10 version 1809 ou ultérieure, ou Windows 11.
L’appareil doit être intégré à Entra ID, en tant qu'appareil Microsoft Entra Joined ou Microsoft Entra Hybrid Join.
L’appareil doit disposer d'un module TPM 1.2, ou supérieur.
Le mode BIOS doit être défini sur UEFI natif uniquement.
Nous pouvons ajouter que le disque ne doit pas être chiffré avec une solution tierce, sinon il y aura un conflit.
Pour configurer BitLocker sur des appareils Windows à l'aide d'Intune, il y a deux possibilités :
Créer une stratégie sous la forme d'un profil de configuration Windows et sélectionner le modèle "Endpoint Protection". Il regroupe des paramètres pour le Pare-feu Windows, Microsoft Defender SmartScreen, etc... Ainsi qu'une section "Chiffrement Windows" pour BitLocker.
Créer une stratégie de type "Chiffrement de disque" dans la section "Sécurité du point de terminaison" d'Intune.
Nous allons utiliser cette seconde possibilité, car elle est recommandée par Microsoft et de par son positionnement dans Intune, elle me semble plus adaptée.
III. Intune : créer une stratégie BitLocker
A. Créer une stratégie de chiffrement de disque
Tout d'abord, connectez-vous sur le portail d'administration de Microsoft Intune :
Quand vous êtes sur le portail, effectuez les actions suivantes :
1 - Cliquez sur "Sécurité du point de terminaison" sur la gauche
2 - Cliquez sur "Chiffrement de disque"
3 - Cliquez sur "Créer une stratégie".
Un panneau latéral va s'ouvrir sur la droite. Sélectionnez "Windows 10 et ultérieur" comme "Plateforme", puis prenez le profil "BitLocker" puisque c'est, de toute façon, le seul choix disponible actuellement.
Commencez par nommer ce profil, par exemple : "Windows - Chiffrer disques avec BitLocker".
Désormais, à l'étape "Paramètres de configuration", vous avez devant les yeux deux sections : "Modèles d'administration" et "BitLocker".
Nous allons configurer les différents paramètres présents à ces deux emplacements.
B. Activer et exiger BitLocker
Nous allons commencer par la section "BitLocker" car c'est la plus rapide à configurer. Elle est très importante, car elle va nous permettre d'exiger le chiffrement des disques sur les appareils.
Exiger le chiffrement des appareils : sélectionnez "Activé" pour que BitLocker chiffre les données de l'appareil.
Autoriser l'avertissement pour un autre chiffrement de disque : sélectionnez "Désactivé" pour masquer les éventuelles notifications liées au chiffrement du disque, ceci est nécessaire pour accéder à la prochaine option et activer BitLocker de façon silencieuse.
Autoriser le chiffrement utilisateur standard : sélectionnez "Activé" pour que le chiffrement BitLocker soit activé et configuré automatiquement, même si l'utilisateur connecté à la machine n'est pas Administrateur local.
Configurer la rotation du mot de passe de récupération : conserver "Non configuré", ce qui revient à activer cette fonctionnalité et celle-ci implique que l'appareil soit joint à Entra ID (direct ou hybride).
Passez à la suite, où nous allons passer en revue les paramètres présents dans "Modèles d'administration".
C. BitLocker sur les lecteurs de données amovibles
La section "Modèles d'administration" est découpée en plusieurs groupes de paramètres afin de pouvoir ajuster le comportement de BitLocker pour les différents types de lecteurs : amovible, système, etc. Nous allons les parcourir dans l'ordre. La première partie concerne les lecteurs de données amovibles.
1 - Control use of BitLocker on removable drives : sélectionnez "Enabled" pour autoriser le chiffrement des lecteurs amovibles (non automatique)
2 - Allow users to apply BitLocker protection on removable data drives (Device) : sélectionnez "True" pour qu'un utilisateur puisse activer BitLocker sur un périphérique de stockage amovible.
3 - Enforce drive encryption type on removable data drives : forcer la méthode de chiffrement lorsqu'un lecteur amovible est chiffré avec BitLocker.
4 - Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
5 - Allow user to suspend and decrypt BitLocker protection on removable data drives : sélectionnez "False" pour que l'utilisateur ne soit pas en mesure de désactiver BitLocker, ou de le suspendre, sur un lecteur de données amovible.
6 - Deny write access to removable drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les périphériques amovibles non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.
Voilà pour la première partie.
D. BitLocker sur les lecteurs de données fixes
Désormais, nous allons configurer la seconde partie dédiée aux lecteurs de données fixes, et il nous restera à configurer BitLocker pour le lecteur système.
- Enforce drive encryption type on fixed data drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur les disques fixes (hors système d'exploitation).
- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
- Choose how BitLocker-protected fixed drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.
- Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives : ce paramètre doit être activé pour que BitLocker chiffre les disques fixes uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).
- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).
- Save BitLocker recovery information to AD DS for fixed data drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).
- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.
- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres (format de la future clé de récupération).
- Deny write access to fixed drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les lecteurs fixes non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.
Voilà pour la seconde partie.
E. BitLocker sur les lecteurs de système d'exploitation
Maintenant, nous allons configurer la troisième partie dédiée au lecteur du système d'exploitation Windows. Nous retrouvons des mêmes paramètres communs vis-à-vis de la partie précédente, ainsi que des paramètres supplémentaires.
- Enforce drive encryption type on operating system drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur le disque du système d'exploitation, c'est-à-dire le lecteur "C" de l'appareil.
- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.
- Require additional authentication at startup : activez ce paramètre pour pouvoir imposer l'utilisation du TPM à l'étape suivante (ceci permet la lecture des informations via la puce TPM). Sinon, il faut configurer un code PIN, ce qui implique une interaction de la part de l'utilisateur.
- Configure TPM startup key and PIN : conserver uniquement l'utilisation du TPM via l'option "Do not allow startup key and PIN with TPM".
- Configure TPM startup : sélectionnez "Require TPM" pour que BitLocker s'appuie sur TPM et que ce soit un "prérequis".
- Configure TPM startup PIN : sélectionnez "Do not allow startup PIN with TPM" pour ne pas permettre l'utilisation d'un code PIN à partir du moment où la puce TPM est déjà utilisée.
- Configure TPM startup key : sélectionnez "Do not allow startup key with TPM" pour ne pas permettre l'utilisation d'une clé de démarrage à partir du moment où la puce TPM est déjà utilisée. Il s'agit d'une clé USB avec les informations permettant de déverrouiller le lecteur BitLocker (alternative quand la machine est dépourvue de puce TPM).
Les autres options visibles sur l'image sont ignorées, car elles concernent les paramètres pour le code PIN.
Puis, nous devons nous intéresser à d'autres options toujours dans la même partie :
- Choose how BitLocker-protected operating system drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.
- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.
- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).
- Do not enable BitLocker until recovery information is stored to AD DS for operating system drives : ce paramètre doit être activé pour que BitLocker chiffre le disque système uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).
- Save BitLocker recovery information to AD DS for operating system drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).
- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres.
Voilà, vous pouvez passer à la suite : ce sera la dernière partie !
F. Personnaliser les méthodes de chiffrement
Cette dernière partie sert à préciser les méthodes de chiffrement, c'est-à-dire les algorithmes de chiffrement à utiliser pour les différents types de lecteur. Ceci permettra d'avoir une configuration homogène sur toutes les machines.
À ce sujet, Microsoft recommande d'utiliser l'algorithme XTS-AES pour les lecteurs fixes et les lecteurs de systèmes d'exploitation. Pour les disques amovibles, Microsoft recommande d'utiliser l'algorithme AES-CBC 128 bits ou AES-CBC 256 bits, si le disque est utilisé sur d'autres appareils qui ne fonctionnent pas sous Windows 10 (version 1511).
Voilà, vous venez de passer en revue la configuration de BitLocker pour les différents types de lecteur.
G. Finaliser la création de la stratégie
Vous pouvez poursuivre la configuration de la stratégie, avec notamment l'étape "Affectations" où vous devez affecter la stratégie à un ou plusieurs groupes d'appareils. Dans le cas présent, la stratégie est affectée au groupe "PC_Windows_BitLocker". Je vous encourage à tester cette stratégie sur un petit groupe d'appareils, pour commencer.
Poursuivez afin de terminer la création de la stratégie.
La stratégie de chiffrement de disque est prête, désormais, nous allons tester sur un appareil Windows.
IV. Tester la stratégie BitLocker
Sur un appareil Windows 11 membre du groupe "PC_Windows_BitLocker", la stratégie BitLocker s'applique correctement. Tout d'abord, nous pouvons constater que l'icône BitLocker est présent sur le disque local correspond au système. Si nous allons faire un tour dans les paramètres BitLocker, nous pouvons constater que BitLocker est activé et que les paramètres de sécurité sont définis par l'administrateur système, c'est-à-dire par notre stratégie.
V. Monitoring du déploiement BitLocker
Du côté du Centre d'administration Microsoft Intune, vous pouvez également suivre le déploiement de cette stratégie. Voici l'emplacement sous lequel vous pourrez trouver des informations :
1 - Cliquez sur "Appareils".
2 - Cliquez sur "Moniteur".
3 - Cliquez sur "État du chiffrement de l'appareil" pour accéder à ce rapport prêt à l'emploi.
Ici, vous pouvez obtenir une liste de tous les appareils et, à chaque fois, vous avez des informations intéressantes sur chacun d'entre eux : le système d'exploitation, la version de la puce TPM, ainsi que l'état du chiffrement. De plus, la colonne "Préparation du chiffrement" indique si l'appareil répond aux exigences pour l'activation de BitLocker.
À partir du moment où la stratégie BitLocker est déployée et qu'elle s'est appliquée, la colonne "État du chiffrement" passe de "Non chiffré" à "Chiffré". Voici un exemple :
VI. Récupérer la clé de récupération BitLocker
Pour finir, nous allons voir comment récupérer la clé de récupération BitLocker d'un appareil à partir de Microsoft Entra ID. En effet, ici, il s'agit d'un appareil joint directement à Entra ID. Sachez que cette information est également accessible via le portail Intune et l'utilisateur propriétaire de l'appareil peut également accéder à cette clé de récupération.
Avant toute chose, sachez que sur l'appareil en local, vous pouvez consulter le journal "BitLocker-API" présent dans l'Observateur d'événements pour voir l'activité de BitLocker. Ci-dessous, l'événement avec l'ID 845 nous indique que les informations de récupération pour le lecteur C ont été sauvegardées avec succès dans Azure AD (Entra ID) ! D'ailleurs, ceci était une condition à respecter avant que le disque soit chiffré.
A. Récupérer la clé de récupération BitLocker depuis Entra ID
À partir du Centre d'administration Microsoft Entra, nous pouvons récupérer la clé de récupération BitLocker de cet appareil.
Dans la section "Appareils", puis "Tous les appareils", nous pouvons cliquer sur l'appareil "PC-ITC-02" utilisé pour cette démo et accéder à "Clés BitLocker (préversion)" afin d'avoir accès aux informations BitLocker. Ici, il n'y a qu'une seule clé de récupération, car cet appareil n'a qu'un seul disque.
Si nous cliquons sur le bouton "Afficher la clé de récupération", ceci permet d'avoir la clé de récupération en clair. Ainsi, dans un scénario de recovery où l'on aurait besoin de déverrouiller ce lecteur, nous pourrions utiliser cette clé de récupération pour accéder aux données du disque.
B. Récupérer la clé de récupération BitLocker depuis Intune
La clé de récupération est également accessible via le portail Intune, via la section "Clés de récupération" d'un appareil. En fait, nous retrouvons les mêmes informations qu'avec le portail Entra ID.
C. Récupérer la clé de récupération en tant que propriétaire de l'appareil
L'utilisateur qui est propriétaire de l'appareil peut également visualiser la clé de récupération BitLocker. Par exemple, l'utilisateur Guy Mauve est propriétaire de l'appareil "PC-ITC-02". Si, à partir de son compte, j'accède à la section "Périphériques", je peux voir cet appareil et cliquer sur le bouton "Afficher les clés BitLocker" pour accéder à cette information.
En suivant ce tutoriel, vous devriez être en mesure de déployer BitLocker sur vos appareils pour gérer le chiffrement du disque Windows, mais aussi des autres disques potentiellement connectés à l'appareil. Vous pouvez aussi alléger la configuration en définissant uniquement les options pour le disque système, mais c'est tout de même préférable d'avoir un déploiement homogène et complet de BitLocker. De plus, vous êtes capable de récupérer la clé de récupération d'un appareil, en cas de besoin.
Si vous avez un doute sur un paramètre de configuration, référez-vous à la documentation Microsoft puisque tout est expliqué.
Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.
Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.
Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).
Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :
1 - Cliquez sur "Sécurité du point de terminaison" à gauche
2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité
3 - Cliquez sur le bouton "Créer une stratégie"
4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune
5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".
Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".
Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :
Pare-feu
Gestionnaire de listes réseau
Audit
Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.
Par exemple, pour le profil de domaine, ce sont les paramètres suivants :
A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.
Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :
Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".
Suivez l'assistant jusqu'à la création de la stratégie.
A la fin, celle-ci apparaît bien dans Intune :
Désormais, nous allons tester cette stratégie sur un appareil Windows 11.
III. Tester sur un appareil Windows
Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.
Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.
Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.
Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.
Notre stratégie de pare-feu Windows Defender est opérationnelle !
IV. Conclusion
Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.
Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :
Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.
En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.
Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.
1 - Cliquez sur "Sécurité du point de terminaison" à gauche
2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité
3 - Cliquez sur le bouton "Créer une stratégie"
4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune
5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".
Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.
Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.
Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).
Nous allons commencer par configurer ces trois paramètres :
Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)
Un peu plus bas, configurez également ces paramètres :
Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).
Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.
Configurez l'étape "Balises d'étendue" si besoin, sinon passez.
A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".
Poursuivez jusqu'à la fin et créez la stratégie...
En résumé, voici le contenu de la règle définie dans la stratégie :
Passons aux tests sur un appareil Windows 11 !
III. Tester la stratégie
Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).
Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.
À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil
Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.
IV. Conclusion
En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !
Dans ce tutoriel, nous allons apprendre à exécuter un script PowerShell sur des appareils Windows à l'aide de Microsoft Intune. Ainsi, un script PowerShell chargé sur Intune pourra être exécuté sur un ensemble de machines sous Windows 10 ou Windows 11.
Nous allons commencer par évoquer les prérequis et le fonctionnement de cette fonctionnalité, avant la mise en pratique qui consistera à exécuter un script PowerShell qui va configurer une image de fond d'écran et de verrouillage sur Windows 10 Pro et Windows 11 Pro (pour les éditions Enterprise et Education, il y a des paramètres natifs dans Intune).
Pour exécuter un script PowerShell sur des appareils Windows, sachez que Microsoft Intune Management Extension doit être installé sur l'appareil. Ce composant s'installe automatiquement à partir du moment où un script ou une application Win32 est attribué à un appareil.
Pour Microsoft Intune Management Extension, et donc exécuter un script PowerShell, il y a plusieurs prérequis à respecter :
Appareils joints dans Entra ID : Microsoft Entra Joined (Azure AD Joined) et Microsoft Entra Hybrid Joined (Azure AD Hybrid Joined)
Appareils inscrits dans Intune
Windows 10 à partir de la version 1709 ou Windows 11 (sauf les éditions Famille / Home)
L'horloge de l'appareil doit être correctement configurée (date et heure correctes)
En ce qui concerne les scripts PowerShell en eux-mêmes, voici ce qu'il faut savoir :
Le poids du script ne doit pas dépasser 200 Ko
L'utilisateur n'a pas besoin de se connecter à l'appareil pour que le script PowerShell soit exécuté
Lorsque le script est configuré dans Intune pour s'exécuter dans le contexte de l'utilisateur et que cet utilisateur dispose de droits d'administrateur, alors le script PowerShell s'exécute par défaut avec les privilèges de l'administrateur.
Il y a un timeout de 30 minutes sur l'exécution des scripts PowerShell
Au niveau de l'ordre d'exécution des tâches, sachez que les scripts PowerShell sont exécutés avant les applications Win32.
Sur les appareils partagés, le script PowerShell s'exécute pour chaque nouvel utilisateur qui se connecte.
Nous pouvons aussi rappeler l'importance d'éviter (autant que possible) de stocker des informations sensibles dans ces scripts, à commencer par des mots de passe.
À ce sujet, vous pouvez vous référer à la documentation officielle de Microsoft :
Le script PowerShell que l'on va déployer via Intune va effectuer les actions suivantes :
Télécharger en local deux fichiers : une image de fond d'écran et une image d'écran de verrouillage. L'objectif étant de télécharger les fichiers à partir d'une URL Internet vers un répertoire local (C:\Windows\Web\Wallpaper\).
Voici le script PowerShell complet :
<#
.SYNOPSIS
Définir une image de fond d'écran et une image d'écran de verrouillage via les clés de Registre Windows
.DESCRIPTION
Sur Windows 10 Pro et Windows 11 Pro, il n'est pas possible de configurer une image de fond d'écran et/ou de verrouillage avec les paramètres natifs Intune.
La solution de contournement consiste à utiliser des valeurs dans le Registre Windows, comme par GPO Active Directory.
Les images sont téléchargées en local sur la machine dans "C:\Windows\Web\Wallpaper\"
Indiquez les URL vers vos images en modifiant ces deux variables : $DesktopImageURL et $LockscreenImageURL.
.PARAMETER
.EXAMPLE
.INPUTS
.OUTPUTS
.NOTES
NAME: Windows-Pro-Background-Lockscreen-Images.ps1
AUTHOR: Florian Burnel
EMAIL: [email protected]
WWW: www.it-connect.fr
VERSION HISTORY:
1.0 2024.03.06
Initial Version
#>
# Fond ecran - URL en ligne et en local
$DesktopImageURL = "https://itconnectintunedemo.blob.core.windows.net/images/IT-Connect_Wallpaper_052020-V2.png"
$DesktopLocalImage = "C:\Windows\Web\Wallpaper\ITC_Wallpaper.png"
# Ecran verrouillage - URL en ligne et en local
$LockscreenImageURL = "https://itconnectintunedemo.blob.core.windows.net/images/IT-Connect_Wallpaper_052020-V2.png"
$LockscreenLocalImage = "C:\Windows\Web\Wallpaper\ITC_Lockscreen.png"
# Registre - Chemin vers la cle (qui doit accueillir les valeurs)
$RegKeyPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP"
# Telecharger les images en local
if(!(Test-Path $DesktopLocalImage)){
Start-BitsTransfer -Source $DesktopImageURL -Destination $DesktopLocalImage
}
if(!(Test-Path $LockscreenLocalImage)){
Start-BitsTransfer -Source $LockscreenImageURL -Destination $LockscreenLocalImage
}
# Modifier les cles de Registre (seulement si l'on parvient a acceder aux images en local)
if((Test-Path $DesktopLocalImage) -and (Test-Path $LockscreenLocalImage)){
# Creer la cle PersonalizationCSP si elle n'existe pas
if (!(Test-Path $RegKeyPath))
{
New-Item -Path $RegKeyPath -Force | Out-Null
}
# Registre Windows - Configurer l'image de fond d'ecran (wallpaper)
New-ItemProperty -Path $RegKeyPath -Name DesktopImageStatus -Value 0 -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name DesktopImagePath -Value $DesktopLocalImage -PropertyType String -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name DesktopImageUrl -Value $DesktopLocalImage -PropertyType String -Force | Out-Null
# Registre Windows - Configurer l'image de l'ecran de verrouillage (lockscreen)
New-ItemProperty -Path $RegKeyPath -Name LockScreenImageStatus -Value 0 -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name LockScreenImagePath -Value $LockscreenLocalImage -PropertyType String -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name LockScreenImageUrl -Value $LockscreenLocalImage -PropertyType String -Force | Out-Null
}
Adaptez les deux variables suivantes : $DesktopImageURL (URL vers l'image de fond d'écran) et $LockscreenImageURL (URL vers l'image de l'écran de verrouillage)
Vous pouvez réutiliser ce script et à l'adapter à vos besoins. Sachez que la procédure est identique, peu importe ce que fait votre script PowerShell.
Note : ce script reprend le principe de création de valeurs dans le Registre, comme nous pouvons le faire par GPO et comme je l'avais expliqué dans un précédent article.
Connectez-vous au Centre d'administration Microsoft Intune, cliquez sur "Appareils" (1), puis sur "Scripts et corrections" (2). Ensuite, cliquez sur l'onglet "Scripts de plateforme" (3) afin de pouvoir cliquer sur le bouton "Ajouter" (4) et choisissez "Windows 10 et ultérieur" (5) puisque nous voulons exécuter un script PowerShell sur des machines Windows.
Donnez un nom à ce script, ou plutôt à cette tâche qui apparaîtra dans Intune. Je vous encourage également à indiquer une description. Poursuivez.
A l'étape "Paramètres du script", vous devez commencer par charger votre script sur Intune. En fait, vous devez charger un fichier présent sur votre ordinateur pour l'envoyer sur Microsoft Intune. Ensuite, nous avons plusieurs options à notre disposition :
Exécuter ce script en utilisant les informations d'identification de l'utilisateur connecté : cette option doit être sur "Oui" pour que le script soit exécuté en héritant des droits de l'utilisateur qui se connecte. Choisissez "Non" pour exécuter une action qui nécessite des droits plus élevés : c'est le cas ici compte tenu de l'emplacement cible où l'image doit être téléchargée.
Appliquer la vérification de la signature du script : cette option doit être sur "Non" sauf si vous avez un certificat de signature de code sur vos appareils et qu'il est utilisé pour signer vos scripts (ce qui est l'idéal !).
Exécuter le script dans un hôte PowerShell 64 bits : cette option doit être sur "Oui" pour utiliser PowerShell 64 bits sur les machines 64 bits
À l'étape suivante, nommée "Affectations", vous devez affecter ce script PowerShell à des utilisateurs ou des appareils. Ici, mes machines Windows sont ciblées donc je sélectionne un groupe nommé "PC_Win_Pro" présent dans Microsoft Entra ID.
Poursuivez... A la fin, vérifiez l'ensemble des paramètres et si tout est OK, cliquez sur "Ajouter".
Voilà, votre script PowerShell va être exécuté sur les appareils / les utilisateurs ciblés.
IV. Tester le déploiement
Pour tester le déploiement, il convient de synchroniser un appareil pour qu'il actualise ses paramètres et "comprenne" qu'il doit exécuter un script PowerShell.
A. Microsoft Intune Management Extension
Pour que le script soit exécuté, nous avons besoin que Microsoft Intune Management Extension soit présent sur les appareils. Par défaut, ce n'est pas le cas : ce n'est pas un composant natif à Windows. Cependant, il va être installé automatiquement sur les appareils où le script PowerShell doit être exécuté.
Sur la machine "PC-ITC-01", présente dans le groupe "PC_Win_Pro", le composant s'est installé tout seul et dans la foulée, le script PowerShell a été exécuté. Le tout sans avoir besoin de redémarrer l'ordinateur.
B. Vérifier le bon fonctionnement du script
Pour vérifier le bon fonctionnement du script, nous pouvons investiguer sur la machine Windows. Ici, c'est facile : il suffit de vérifier si le fichier est bien présent à l'emplacement souhaité. Nous pouvons aussi regarder si les valeurs de Registre sont bien créées.
Du côté de la console Intune, si vous cliquez sur le script et que vous accédez à "État de l'appareil", vous pouvez obtenir un statut pour chaque machine impactée par la politique. C'est une façon de voir à distance s'il y a eu des soucis sur une ou plusieurs machines.
C. Les logs
S'il y a un souci avec l'exécution de votre script PowerShell, vous devez investiguer en local sur une machine. Sachez que les logs d'Intune Management Extension sont stockés dans ce répertoire :
Dans ce répertoire, il y a un fichier de log très intéressant au sujet de l'activité d'Intune Management Extension : IntuneManagementExtension.log.
Il s'agit d'un fichier texte que l'on peut ouvrir avec un éditeur de texte classique (Bloc-notes, etc.). Toutefois, il est préférable d'utiliser l'outil gratuit CMTrace que les administrateurs de SCCM ont l'habitude d'utiliser.
Si besoin, vous pouvez l'obtenir en téléchargeant l'exécutable ci-dessous (un peu plus de 1 Go). Ensuite, l'exécutable va décompresser son contenu sur votre PC, ce qui vous permettra d'obtenir l'exécutable "CMTrace.exe". Il est présent ici :
À partir de cet utilitaire, vous pouvez charger un fichier de log. C'est l'occasion d'ouvrir le fichier "IntuneManagementExtension.log" pour analyser son contenu. Ce fichier est très verbeux. Vous pouvez effectuer une recherche pour gagner du temps, avec le mot clé "PowerShell", par exemple.
Dans l'exemple ci-dessous (correspondants à d'autres tests effectués), nous pouvons voir qu'il y a eu un problème lors de l'exécution du script : un argument a une valeur invalide. Effectivement, il y a une erreur sur le nom d'une variable, ce qui renvoie une valeur nulle et perturbe l'exécution de la commande. Grâce à ce fichier de log et CMTrace, vous pouvez identifier plus facilement (et plus rapidement) l'origine du problème.
V. Conclusion
Après avoir suivi ce tutoriel, vous êtes en mesure d'exécuter des scripts PowerShell sur vos machines Windows à l'aide de Microsoft Intune ! Ce tutoriel sera également utile à toutes les personnes qui souhaitent configurer une image de fond d'écran et/ou de verrouillage sur les machines Windows 10 Pro et Windows 11 Pro.
Au sein de Microsoft Intune, PowerShell est également utile pour le déploiement d'applications et les fonctionnalités de remédiation. Nous aborderons ces points dans de futurs articles.
Dans ce tutoriel, nous allons apprendre à configurer une image de fond d'écran et une image de verrouillage sur des appareils Windows à l'aide d'une stratégie Microsoft Intune. Il s'agit d'un besoin exprimé fréquemment par la direction ou le service communication des entreprises. Avec Intune, nous allons pouvoir déployer cette configuration sur un ensemble d'appareils à l'aide d'une stratégie dans les profils de configuration.
La principale contrainte concerne l'emplacement de stockage des images que vous souhaitez utiliser pour le fond d'écran et l'écran de verrouillage de vos images. En effet, les fichiers images doivent être accessibles publiquement par les appareils, y compris depuis Internet. Dans cet exemple, nous allons utiliser un conteneur associé à un compte de stockage Azure.
Cette étape est, en quelque sorte, facultative car vous pouvez utiliser un autre emplacement de stockage... Vous n'êtes pas obligé d'utiliser Azure. Toutefois, l'image devra être accessible via une URL en HTTPS : un simple serveur Web peut suffire. Pour le format, vous avez le choix entre JPEG, JPG et PNG. Par exemple, vous pouvez utiliser une bibliothèque SharePoint.
A partir du portail Azure, nous devons créer un compte de stockage. Dans cet exemple, il s'agit d'un compte de stockage qui sera dédié au stockage de données non sensibles à mettre à disposition des appareils. Ce compte de stockage est nommé "itconnectintune" au sein de la région "France Central". Nous n'avons pas besoin de performances élevées, ni de redondance particulière : on cherchera plutôt à utiliser les options les moins coûteuses.
Au sein de l'onglet "Réseau", nous allons choisir l'option "Activez l'accès public à partir de tous les réseaux" pour que les images soient accessibles depuis n'importe où. Toutefois, ceci ne suffit pas pour activer l'accès anonyme.
Poursuivez jusqu'à la fin pour créer votre compte de stockage...
Accédez au compte de stockage, et descendez dans le menu latéral afin de cliquer sur "Configuration". L'objectif étant d'activer l'option "Autoriser l'accès anonyme aux objets blob", comme ceci :
Ensuite, basculez sur la partie "Conteneurs" sous "Stockage des données" afin d'en créer un nouveau. Dans mon cas, ce conteneur s'appelle tout simplement "images".
Une fois que ce conteneur est créé, vous pouvez y accéder en cliquant dessus. Pour charger une image, en l'occurrence celle du fond d'écran, cliquez sur le bouton "Charger". Dans cet exemple, j'utilise une seule image nommée "IT-Connect_Wallpaper.png" qui me servira pour l'écran de verrouillage et pour le fond d'écran.
Pour qu'il soit possible d'accéder publiquement à cette image, à partir d'une URL en HTTPS, vous devez modifier le niveau d'accès en cliquant sur le bouton "Modifier le niveau d'accès". Ici, choisissez le niveau "Conteneur" afin que n'importe qui puisse lire le contenu du conteneur. Pour rappel, il contiendra uniquement des données non sensibles !
Dans les propriétés du fichier image, vous pouvez récupérer l'URL directe vers le fichier. A partir d'une fenêtre en navigation privée (pour être en mode non connecté), vous pouvez tester cette URL : en principe, votre image doit s'afficher. Sinon, c'est qu'il y a un problème de permissions.
Passons à la partie Intune.
III. Créer la politique Intune
A partir du Centre d'administration Microsoft Intune, nous allons créer une nouvelle stratégie dans les profils de configuration.
Cliquez sur "Appareils" dans le menu latéral, puis sur "Profils de configuration" afin de créer une nouvelle stratégie.
Choisissez la plateforme "Windows 10 et ultérieur", puis le type de profil "Modèles" afin de rechercher le modèle nommé "Restrictions sur l'appareil".
Une fois le modèle sélectionné (cliquez dessus), cliquez sur "Créer".
Désormais, vous allez pouvoir configurer cette nouvelle stratégie.
Commencez par lui donner un nom, par exemple : "Configurer fond d'écran et écran de verrouillage".
A la seconde étape, vous devez configurer l'écran de verrouilla grâce au paramètre "URL de l'image de l'écran verrouillé (Desktop uniquement)" situé sous "Expérience d'écran verrouillé". Ici, indiquez l'URL complète vers le fichier image que vous souhaitez utiliser sur l'écran de verrouillage.
En ce qui concerne l'image pour le fond d'écran, il s'agit du paramètre "URL de l'image d'arrière-plan du poste de travail (Desktop uniquement)" situé sous "Personnalisation". Sur le même principe, indiquez l'URL vers le fichier image.
Vous n'avez pas besoin de configurer d'autres paramètres pour répondre à notre besoin du jour. Passez à l'onglet "Affectations".
Ici, vous devez sélectionner la cible de cette configuration. Il s'agit d'une étape habituelle lorsque l'on crée une stratégie sur Intune. Dans cet exemple, je vais cibler le groupe "PC_Corporate" qui contient les appareils Windows de mes utilisateurs.
Sauf si vous avez un besoin spécifique, passez l'étape "Règles d'applicabilité".
Voilà la dernière étape. Vérifiez la configuration, et si tout vous convient, cliquez sur "Créer".
La nouvelle stratégie est prête et elle va être appliquée sur les appareils ciblés.
IV. Tester le bon fonctionnement
Pour tester, il suffit de se rendre sur une machine qui est dans le périmètre de la stratégie. Soit vous attendez la prochaine synchronisation automatique, soit vous forcez la synchronisation.
Grâce à cette nouvelle stratégie, nous voyons bien qu'il y a un avant/après : le fond d'écran apparaît bien sur la machine ! Il en va de même pour l'écran de verrouillage.
Du côté du portail Microsoft Intune, nous pouvons également suivre l'état de cette stratégie. Ici, nous pouvons voir que la stratégie s'est appliquée avec succès sur un appareil (PC-ITC-02), mais qu'elle n'est pas applicable sur un autre appareil (PC-ITC-01). La raison est simple : PC-ITC-01 tourne sur Windows 11 Pro.
V. Conclusion
Grâce à ce tutoriel, vous êtes en mesure de définir une image de fond d'écran personnalisée et/ou une image de verrouillage personnalisée sur les postes de travail Windows 10 et Windows 11 de votre entreprise, à l'aide d'une stratégie Intune !
Prochainement, nous verrons comment exécuter un script PowerShell avec Intune.
Connexion
