I. Présentation

Dans ce tutoriel, nous allons aborder la notion de "Stratégies de conformité" dans Microsoft Intune. Qu'est-ce qu'une stratégie de conformité ? Quel est l'intérêt d'une stratégie de conformité ? Comment configurer une stratégie de conformité Windows dans Intune ? Cet article répondra à ces différentes questions.

• Cliquez ici pour regarder la vidéo sur YouTube

Pour ceux qui débutent avec Intune, nous vous encourageons à lire cet article d'introduction :

• Comment débuter avec Microsoft Intune ?

Pour uniformiser la sécurité de vos appareils, vous devriez aussi vous intéresser à ces articles :

• Stratégie Intune - Chiffrer Windows avec BitLocker
• Stratégie Intune - Configurer Windows LAPS
• Stratégie Intune - Configurer le pare-feu Windows

II. Qu'est-ce qu'une stratégie de conformité Intune ?

Une stratégie de conformité Intune va permettre à une entreprise de s'assurer que tous les appareils utilisés par les employés respectent les règles de base en matière de sécurité.

Par exemple, nous allons pouvoir nous assurer que le pare-feu est actif sur Windows et qu'il y a bien une protection antivirus opérationnelle. Si ce n'est pas le cas, nous allons recevoir une alerte et il sera possible de limiter les tentatives d’accès effectués à partir de cet appareil non conforme.

La stratégie de conformité est d'autant plus intéressante lorsqu'elle est couplée avec les stratégies d'accès conditionnel puisque nous pourrons accorder une autorisation d'accès uniquement si l'appareil respecte sa stratégie de conformité. Ce qui permet de bloquer les connexions à partir d'un appareil non conforme.

Dans la suite de cet article, nous allons apprendre à configurer les paramètres généraux de cette fonctionnalité, avant de configurer les paramètres de notifications et de créer une stratégie de conformité Intune.

Cette stratégie de conformité Windows aura pour objectif de vérifier les points suivants :

• Pare-feu Windows Defender actif
• Module TPM actif
• Antivirus actif
• Logiciel anti-espion et logiciel anti-malware actifs
• Protection en temps réel active

Nous pourrions ajouter d'autres conditions comme la vérification du Secure Boot, l'état de BitLocker, etc.

III. Stratégies de conformité : paramètres généraux

Nous allons commencer par configurer les paramètres de stratégie de conformité au niveau du tenant Microsoft 365. Autrement dit, il s'agit de paramètres communs à l'ensemble des appareils, des utilisateurs et des stratégies.

Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :

• intune.microsoft.com

Ensuite, cliquez sur "Appareils" puis sur "Conformité" afin de pouvoir cliquer sur le bouton "Paramètres de conformité". Vous pouvez aussi passer par "Sécurité du point de terminaison", "Conformité de l'appareil" puis "Paramètres de conformité".

Ici, nous allons retrouver deux paramètres importants :

Nous allons configurer ces deux options :

• Marquer les appareils sans stratégie de conformité comme étant, et nous allons passer l'option sur "Non conforme". Ainsi, nous partons du principe qu'un appareil n'est pas conforme : nous ne faisons pas confiance à l'appareil avant qu'il soit analysé.
• Période de validité de l'état de conformité (jours), et nous allons indiquer "30" ce qui signifie qu'un appareil identifié comme conforme bénéficiera de ce statut pendant 30 jours.

Il est à noter que la période de compliance peut être comprise entre 1 et 120 jours.

Une fois les paramètres définis, cliquez sur "Enregistrer".

IV. Stratégies de conformité : notifications

La seconde étape consiste à configurer le système de notifications, ce qui permettra notamment de recevoir un e-mail lorsqu'un appareil non conforme sera détecté. Toujours sous "Conformité", basculez sur l'onglet "Notifications" puis cliquez sur "Créer une notification".

Donnez un nom à ce modèle de notification, par exemple "Notification de base - Compliance". Ensuite, nous avons plusieurs options de base pour personnaliser l'e-mail, notamment dans le but d'intégrer des éléments permettant d'identifier votre entreprise (un logo, par exemple). Cette interface ne permettra pas de choisir un logo ou de configurer les valeurs des autres options.

Pour visualiser les valeurs attribuées à ces options, vous devez accéder aux paramètres de personnalisation du tenant. Suivez la procédure suivante :

1 - Cliquez sur "Administration de locataire".

2 - Cliquez sur "Personnalisation".

3 - Cliquez sur "Modifier".

Ensuite, il ne vous reste plus qu'à configurer les différentes options telles que le nom de l'organisation, le logo, etc...

Quand ce sera fait, retournez dans l'assistant de création d'une notification afin de passer à la seconde étape. Vous devez choisir la langue, et définir l'objet de l'e-mail ("Appareil non conforme", par exemple) ainsi que le corps du message (certaines balises HTML sont prises en charge). Puisqu'il s'agit du premier modèle de notifications, nous allons le définir par défaut.

Pour personnaliser le message avec des valeurs dynamiques (le nom de l'utilisateur ou de l'appareil, par exemple), vous pouvez utiliser "des variables", comme décrit dans cette page de la documentation Microsoft.

Ce qui donne :

Passez à l'étape "Vérifier + créer" afin de passer en revue votre paramétrage et cliquez sur "Créer".

Voilà, votre modèle de notification est créé !

V. Créer une stratégie de conformité Intune

Nous allons créer une stratégie de conformité pour définir les critères que doit respecter un appareil afin d'être considéré comme conforme. Cette fois-ci, basculez sur l'onglet "Stratégies" et cliquez sur "Créer une stratégie". À cet emplacement, vous avez également accès à l'onglet "Scripts" qui permet de créer des scripts PowerShell pour de la "mise en conformité sur-mesure" puisque c'est votre script qui va faire l'évaluation (nous pouvons imaginer un script PowerShell pour vérifier l'espace disque restant sur le volume système).

Un panneau latéral apparait sur la droite. Choisissez la plateforme "Windows 10 et ultérieur" et poursuivez. Ceci vous donne l'occasion de constater que cette fonctionnalité n'est pas limitée à Windows.

Bienvenue dans l'assistant de création d'une stratégie de conformité Intune !

Commencez par donner un nom à cette stratégie et indiquez une description. La description s'avère utile pour donner quelques indications sur le contenu de cette stratégie.

La section "Conformité personnalisée" sert à créer vos propres règles contenues dans un fichier JSON généré à partir d'un script PowerShell. Cette méthode est décrite dans la documentation Microsoft, sur cette page.

Descendez dans la page... Nous allons pouvoir exiger la vérification de certains éléments en jouant sur les options présentes dans chaque section : Intégrité de l'appareil, Propriétés de l'appareil, etc...

Commencez par la section "Intégrité de l'appareil" qui présente l'avantage de permettre de vérifier la configuration de BitLocker, du démarrage sécurisé et l'intégrité du code sur la machine Windows. Avant d'activer la vérification BitLocker, il convient de créer une stratégie de configuration de BitLocker.

La section "Propriétés de l'appareil" sert à vérifier la version du système d'exploitation Windows. Ainsi, vous pourriez considérer qu'un appareil qui exécute une version de Windows 10 qui n'est plus sous support, n'est pas conforme. Pour obtenir les numéros de version, vous pouvez vous référer à la documentation Microsoft, notamment ce lien :

• Numéros de version Windows 11

Par ailleurs, vous pouvez aussi utiliser la commande "winver" sur un appareil puisqu'elle retourne un numéro de build. Toutefois, méfiez-vous avec les numéros de version, vous devez utiliser ce format : 10.0.X.X. Ainsi, pour la build "22631.2715", nous devons préciser la valeur suivante : 10.0.22631.2715.

Ce numéro de version correspond à Windows 11 23H2 avec les mises à jour de novembre 2023, ce qui signifie que l'on peut cibler une version majeure et un niveau de mise à jour des machines. Pour Windows 11 23H2 avec les mises à jour d'avril 2024, la valeur à utiliser est légèrement différente dû à la différence de niveau de mise à jour : 10.0.22631.3447.

Voici un exemple :

La section "Conformité de Configuration Manager" s'adresse aux personnes en co-gestion avec (System Center) Configuration Manager.

Le volet "Sécurité système" s'adresse aux administrateurs qui souhaitent effectuer des vérifications sur la configuration et l'utilisation des mots de passe sur un appareil. À la fin de la section, il y a tout de même des paramètres que nous allons activer pour vérifier l'état du pare-feu, du module TPM, de l'antivirus, et du logiciel anti-espion.

Puis, un peu plus bas, nous allons pouvoir activer certains contrôles liés à Defender :

Vous avez aussi un paramètre spécifique à "Microsoft Defender for Endpoint" pour vérifier le niveau de risque d'un appareil. C'est très intéressant pour les entreprises équipées avec cette solution sur leur appareil Windows.

Passez à l'étape "Actions en cas de non conformité". Ici, nous allons créer plusieurs règles :

• Marquer l'appareil comme non conforme immédiatement.
• Envoyer un e-mail à l'utilisateur final (grâce à notre modèle de notifications précédemment créé !) - L'administrateur aura aussi l'e-mail.
• Ajouter un appareil à la liste des mises hors service 20 jours après la non-conformité. Ceci est facultatif, mais permet d'ajouter l'appareil à la liste "Mettre hors service les appareils non conformes". Lorsqu'un administrateur retire un appareil de cette liste, ceci enclenche la suppression de toutes les données de l'entreprise de l'appareil et le retire de la gestion Intune. A utiliser avec précaution.

Remarque : pour certains appareils, notamment sous Android, macOS, iOS et iPadOS, il est possible de verrouiller l'appareil à distance s'il n'est pas conforme. Ceci correspond à la fonction Remote Lock.

Pour finir, l'étape "Affectations" que l'on a l'habitude de croiser dans les assistants Intune se présente à l'écran. L'objectif étant d'affecter cette stratégie de conformité à un groupe d'appareils, comme ici le groupe "PC_Corporate".

Attention : n'oubliez pas que nous avons activé une option au niveau du tenant pour déclarer non conformes tous les appareils sans stratégie de conformité. S'il s'agit de votre stratégie de conformité de base, vous pouvez l'appliquer directement à tous les appareils.

Révisez votre configuration et cliquez sur le bouton "Créer" pour finaliser la création de la stratégie de conformité.

Voilà, la stratégie de conformité va être déployée sur les appareils qui rentrent dans le périmètre de l'affectation.

VI. Suivre l'état des appareils

Suite au déploiement de cette stratégie, les appareils sont analysés via la stratégie de conformité et un état s'affiche directement dans la colonne "Compatibilité" de la liste des appareils inscrits dans Intune. Ici, nous pouvons voir que l'appareil "PC-ITC-01" n'est pas conforme.

Si nous cliquons sur cet appareil, nous pouvons obtenir des précisions. Nous voyons bien qu'il ne respecte pas notre politique.

En fait, le détail de l'analyse nous montre que le pare-feu de la machine est dans un état "non conforme". En effet, sur cet appareil, le pare-feu Windows est désactivé.

Dans le même temps, une notification par e-mail a été envoyée ! Cette notification reprend bien les éléments configurés dans notre modèle de notifications et dans les paramètres de personnalisation (textes, logo, etc.).

Désormais, il va falloir faire le nécessaire pour qu'il soit de nouveau conforme...!

VII. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de créer votre première stratégie de conformité Intune pour vos appareils Windows. Avant de modifier les paramètres au niveau du tenant, effectuez une première stratégie de conformité afin de la tester sur quelques appareils de votre parc informatique.

• Microsoft Learn - Intune - Stratégies de conformité

The post Intune – Comment (et pourquoi) configurer une stratégie de conformité Windows ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à activer et configurer le chiffrement BitLocker sur des machines Windows 10 et Windows 11 à l'aide d'une stratégie de chiffrement de disque Intune. Suite à la mise en place de ce tutoriel, vous serez en mesure d'automatiser le chiffrement des disques de vos ordinateurs Windows, grâce au composant BitLocker pris en charge nativement par les systèmes d'exploitation de Microsoft.

• Cliquez ici pour regarder la vidéo sur YouTube

Cette procédure est identique pour les appareils Windows Joined et Hybrid Joined à Microsoft Entra ID. Que la machine soit jointe à Entra ID ou à l'Active Directory, elle sera capable de stocker les informations associées au chiffrement BitLocker, notamment la clé de récupération, directement dans le service de gestion des identités auquel elle appartient.

Notre objectif va être de mettre en place BitLocker en automatisant sa configuration de façon silencieuse, ce qui signifie qu'aucune interaction n'est attendue de la part de l'utilisateur. Ceci implique de faire l'impasse sur certaines fonctionnalités (la saisie d'un code PIN pour déverrouiller le lecteur "BitLocké", par exemple). Cette configuration convient aux machines équipées d'une puce TPM et elle permet de chiffrer les appareils Windows sans pour autant alourdir la charge de travail de l'équipe IT. Une alternative serait de "prompter" l'utilisateur pour qu'il configure BitLocker mais ceci implique une interaction de sa part.

En complément de ce tutoriel, vous pouvez vous référer à ces liens :

• Tutoriel - Active Directory - Configurer BitLocker par GPO
• Tutoriel - Windows 11 - Utiliser BitLocker To Go
• Microsoft Learn - BitLocker

II. Prérequis et méthodes de déploiement

A. Prérequis de BitLocker

Afin de pouvoir activer et configurer BitLocker de façon automatique et silencieuse, nous devons respecter un ensemble de prérequis.

• Si les utilisateurs finaux se connectent aux appareils en tant qu’administrateurs, l’appareil doit utiliser Windows 10 version 1803 ou ultérieure, ou Windows 11.
• Si les utilisateurs finaux se connectent aux appareils en tant qu’utilisateurs standard, l’appareil doit utiliser Windows 10 version 1809 ou ultérieure, ou Windows 11.
• L’appareil doit être intégré à Entra ID, en tant qu'appareil Microsoft Entra Joined ou Microsoft Entra Hybrid Join.
• L’appareil doit disposer d'un module TPM 1.2, ou supérieur.
• Le mode BIOS doit être défini sur UEFI natif uniquement.

Nous pouvons ajouter que le disque ne doit pas être chiffré avec une solution tierce, sinon il y aura un conflit.

• Windows : mon PC est-il équipé d'une puce TPM 2.0 ?

B. Méthodes disponibles avec Intune

Pour configurer BitLocker sur des appareils Windows à l'aide d'Intune, il y a deux possibilités :

• Créer une stratégie sous la forme d'un profil de configuration Windows et sélectionner le modèle "Endpoint Protection". Il regroupe des paramètres pour le Pare-feu Windows, Microsoft Defender SmartScreen, etc... Ainsi qu'une section "Chiffrement Windows" pour BitLocker.
• Créer une stratégie de type "Chiffrement de disque" dans la section "Sécurité du point de terminaison" d'Intune.

Nous allons utiliser cette seconde possibilité, car elle est recommandée par Microsoft et de par son positionnement dans Intune, elle me semble plus adaptée.

III. Intune : créer une stratégie BitLocker

A. Créer une stratégie de chiffrement de disque

Tout d'abord, connectez-vous sur le portail d'administration de Microsoft Intune :

• intune.microsoft.com

Quand vous êtes sur le portail, effectuez les actions suivantes :

1 - Cliquez sur "Sécurité du point de terminaison" sur la gauche

2 - Cliquez sur "Chiffrement de disque"

3 - Cliquez sur "Créer une stratégie".

Un panneau latéral va s'ouvrir sur la droite. Sélectionnez "Windows 10 et ultérieur" comme "Plateforme", puis prenez le profil "BitLocker" puisque c'est, de toute façon, le seul choix disponible actuellement.

Commencez par nommer ce profil, par exemple : "Windows - Chiffrer disques avec BitLocker".

Désormais, à l'étape "Paramètres de configuration", vous avez devant les yeux deux sections : "Modèles d'administration" et "BitLocker".

Nous allons configurer les différents paramètres présents à ces deux emplacements.

B. Activer et exiger BitLocker

Nous allons commencer par la section "BitLocker" car c'est la plus rapide à configurer. Elle est très importante, car elle va nous permettre d'exiger le chiffrement des disques sur les appareils.

• Exiger le chiffrement des appareils : sélectionnez "Activé" pour que BitLocker chiffre les données de l'appareil.
• Autoriser l'avertissement pour un autre chiffrement de disque : sélectionnez "Désactivé" pour masquer les éventuelles notifications liées au chiffrement du disque, ceci est nécessaire pour accéder à la prochaine option et activer BitLocker de façon silencieuse.
• Autoriser le chiffrement utilisateur standard : sélectionnez "Activé" pour que le chiffrement BitLocker soit activé et configuré automatiquement, même si l'utilisateur connecté à la machine n'est pas Administrateur local.
• Configurer la rotation du mot de passe de récupération : conserver "Non configuré", ce qui revient à activer cette fonctionnalité et celle-ci implique que l'appareil soit joint à Entra ID (direct ou hybride).

Passez à la suite, où nous allons passer en revue les paramètres présents dans "Modèles d'administration".

C. BitLocker sur les lecteurs de données amovibles

La section "Modèles d'administration" est découpée en plusieurs groupes de paramètres afin de pouvoir ajuster le comportement de BitLocker pour les différents types de lecteurs : amovible, système, etc. Nous allons les parcourir dans l'ordre. La première partie concerne les lecteurs de données amovibles.

1 - Control use of BitLocker on removable drives : sélectionnez "Enabled" pour autoriser le chiffrement des lecteurs amovibles (non automatique)

2 - Allow users to apply BitLocker protection on removable data drives (Device) : sélectionnez "True" pour qu'un utilisateur puisse activer BitLocker sur un périphérique de stockage amovible.

3 - Enforce drive encryption type on removable data drives : forcer la méthode de chiffrement lorsqu'un lecteur amovible est chiffré avec BitLocker.

4 - Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

5 - Allow user to suspend and decrypt BitLocker protection on removable data drives : sélectionnez "False" pour que l'utilisateur ne soit pas en mesure de désactiver BitLocker, ou de le suspendre, sur un lecteur de données amovible.

6 - Deny write access to removable drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les périphériques amovibles non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.

Voilà pour la première partie.

D. BitLocker sur les lecteurs de données fixes

Désormais, nous allons configurer la seconde partie dédiée aux lecteurs de données fixes, et il nous restera à configurer BitLocker pour le lecteur système.

- Enforce drive encryption type on fixed data drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur les disques fixes (hors système d'exploitation).

- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

- Choose how BitLocker-protected fixed drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.

- Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives : ce paramètre doit être activé pour que BitLocker chiffre les disques fixes uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).

- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).

- Save BitLocker recovery information to AD DS for fixed data drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).

- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.

- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres (format de la future clé de récupération).

- Deny write access to fixed drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les lecteurs fixes non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.

Voilà pour la seconde partie.

E. BitLocker sur les lecteurs de système d'exploitation

Maintenant, nous allons configurer la troisième partie dédiée au lecteur du système d'exploitation Windows. Nous retrouvons des mêmes paramètres communs vis-à-vis de la partie précédente, ainsi que des paramètres supplémentaires.

- Enforce drive encryption type on operating system drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur le disque du système d'exploitation, c'est-à-dire le lecteur "C" de l'appareil.

- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

- Require additional authentication at startup : activez ce paramètre pour pouvoir imposer l'utilisation du TPM à l'étape suivante (ceci permet la lecture des informations via la puce TPM). Sinon, il faut configurer un code PIN, ce qui implique une interaction de la part de l'utilisateur.

- Configure TPM startup key and PIN : conserver uniquement l'utilisation du TPM via l'option "Do not allow startup key and PIN with TPM".

- Configure TPM startup : sélectionnez "Require TPM" pour que BitLocker s'appuie sur TPM et que ce soit un "prérequis".

- Configure TPM startup PIN : sélectionnez "Do not allow startup PIN with TPM" pour ne pas permettre l'utilisation d'un code PIN à partir du moment où la puce TPM est déjà utilisée.

- Configure TPM startup key : sélectionnez "Do not allow startup key with TPM" pour ne pas permettre l'utilisation d'une clé de démarrage à partir du moment où la puce TPM est déjà utilisée. Il s'agit d'une clé USB avec les informations permettant de déverrouiller le lecteur BitLocker (alternative quand la machine est dépourvue de puce TPM).

Les autres options visibles sur l'image sont ignorées, car elles concernent les paramètres pour le code PIN.

Puis, nous devons nous intéresser à d'autres options toujours dans la même partie :

- Choose how BitLocker-protected operating system drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.

- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.

- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).

- Do not enable BitLocker until recovery information is stored to AD DS for operating system drives : ce paramètre doit être activé pour que BitLocker chiffre le disque système uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).

- Save BitLocker recovery information to AD DS for operating system drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).

- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres.

Voilà, vous pouvez passer à la suite : ce sera la dernière partie !

F. Personnaliser les méthodes de chiffrement

Cette dernière partie sert à préciser les méthodes de chiffrement, c'est-à-dire les algorithmes de chiffrement à utiliser pour les différents types de lecteur. Ceci permettra d'avoir une configuration homogène sur toutes les machines.

À ce sujet, Microsoft recommande d'utiliser l'algorithme XTS-AES pour les lecteurs fixes et les lecteurs de systèmes d'exploitation. Pour les disques amovibles, Microsoft recommande d'utiliser l'algorithme AES-CBC 128 bits ou AES-CBC 256 bits, si le disque est utilisé sur d'autres appareils qui ne fonctionnent pas sous Windows 10 (version 1511).

Voilà, vous venez de passer en revue la configuration de BitLocker pour les différents types de lecteur.

G. Finaliser la création de la stratégie

Vous pouvez poursuivre la configuration de la stratégie, avec notamment l'étape "Affectations" où vous devez affecter la stratégie à un ou plusieurs groupes d'appareils. Dans le cas présent, la stratégie est affectée au groupe "PC_Windows_BitLocker". Je vous encourage à tester cette stratégie sur un petit groupe d'appareils, pour commencer.

Poursuivez afin de terminer la création de la stratégie.

La stratégie de chiffrement de disque est prête, désormais, nous allons tester sur un appareil Windows.

IV. Tester la stratégie BitLocker

Sur un appareil Windows 11 membre du groupe "PC_Windows_BitLocker", la stratégie BitLocker s'applique correctement. Tout d'abord, nous pouvons constater que l'icône BitLocker est présent sur le disque local correspond au système. Si nous allons faire un tour dans les paramètres BitLocker, nous pouvons constater que BitLocker est activé et que les paramètres de sécurité sont définis par l'administrateur système, c'est-à-dire par notre stratégie.

V. Monitoring du déploiement BitLocker

Du côté du Centre d'administration Microsoft Intune, vous pouvez également suivre le déploiement de cette stratégie. Voici l'emplacement sous lequel vous pourrez trouver des informations :

1 - Cliquez sur "Appareils".

2 - Cliquez sur "Moniteur".

3 - Cliquez sur "État du chiffrement de l'appareil" pour accéder à ce rapport prêt à l'emploi.

Ici, vous pouvez obtenir une liste de tous les appareils et, à chaque fois, vous avez des informations intéressantes sur chacun d'entre eux : le système d'exploitation, la version de la puce TPM, ainsi que l'état du chiffrement. De plus, la colonne "Préparation du chiffrement" indique si l'appareil répond aux exigences pour l'activation de BitLocker.

À partir du moment où la stratégie BitLocker est déployée et qu'elle s'est appliquée, la colonne "État du chiffrement" passe de "Non chiffré" à "Chiffré". Voici un exemple :

VI. Récupérer la clé de récupération BitLocker

Pour finir, nous allons voir comment récupérer la clé de récupération BitLocker d'un appareil à partir de Microsoft Entra ID. En effet, ici, il s'agit d'un appareil joint directement à Entra ID. Sachez que cette information est également accessible via le portail Intune et l'utilisateur propriétaire de l'appareil peut également accéder à cette clé de récupération.

Avant toute chose, sachez que sur l'appareil en local, vous pouvez consulter le journal "BitLocker-API" présent dans l'Observateur d'événements pour voir l'activité de BitLocker. Ci-dessous, l'événement avec l'ID 845 nous indique que les informations de récupération pour le lecteur C ont été sauvegardées avec succès dans Azure AD (Entra ID) ! D'ailleurs, ceci était une condition à respecter avant que le disque soit chiffré.

A. Récupérer la clé de récupération BitLocker depuis Entra ID

À partir du Centre d'administration Microsoft Entra, nous pouvons récupérer la clé de récupération BitLocker de cet appareil.

• entra.microsoft.com

Dans la section "Appareils", puis "Tous les appareils", nous pouvons cliquer sur l'appareil "PC-ITC-02" utilisé pour cette démo et accéder à "Clés BitLocker (préversion)" afin d'avoir accès aux informations BitLocker. Ici, il n'y a qu'une seule clé de récupération, car cet appareil n'a qu'un seul disque.

Si nous cliquons sur le bouton "Afficher la clé de récupération", ceci permet d'avoir la clé de récupération en clair. Ainsi, dans un scénario de recovery où l'on aurait besoin de déverrouiller ce lecteur, nous pourrions utiliser cette clé de récupération pour accéder aux données du disque.

B. Récupérer la clé de récupération BitLocker depuis Intune

La clé de récupération est également accessible via le portail Intune, via la section "Clés de récupération" d'un appareil. En fait, nous retrouvons les mêmes informations qu'avec le portail Entra ID.

C. Récupérer la clé de récupération en tant que propriétaire de l'appareil

L'utilisateur qui est propriétaire de l'appareil peut également visualiser la clé de récupération BitLocker. Par exemple, l'utilisateur Guy Mauve est propriétaire de l'appareil "PC-ITC-02". Si, à partir de son compte, j'accède à la section "Périphériques", je peux voir cet appareil et cliquer sur le bouton "Afficher les clés BitLocker" pour accéder à cette information.

• Raccourci vers "Mon compte > Périphériques"

VII. Conclusion

En suivant ce tutoriel, vous devriez être en mesure de déployer BitLocker sur vos appareils pour gérer le chiffrement du disque Windows, mais aussi des autres disques potentiellement connectés à l'appareil. Vous pouvez aussi alléger la configuration en définissant uniquement les options pour le disque système, mais c'est tout de même préférable d'avoir un déploiement homogène et complet de BitLocker. De plus, vous êtes capable de récupérer la clé de récupération d'un appareil, en cas de besoin.

Si vous avez un doute sur un paramètre de configuration, référez-vous à la documentation Microsoft puisque tout est expliqué.

• Microsoft Learn - BitLocker

The post Intune – Comment activer et configurer BitLocker sur Windows ? first appeared on IT-Connect.

Les utilisateurs de la solution de gestion des appareils Microsoft Intune vont pouvoir s'appuyer sur l'intelligence artificielle grâce au service "Copilot in Intune", disponible en preview publique depuis mi-mars 2024. À quoi cela va-t-il servir ? Faisons le point !

• Comment débuter avec Intune ?

Semaine après semaine, Microsoft continue d'intégrer l'IA à ses services par l'intermédiaire de Copilot. Depuis le 1er avril 2024, Microsoft Copilot for Security est disponible en GA, tandis qu'à la mi-mars 2024, Microsoft avait lancé une version preview publique de Copilot in Intune.

L'intégration de Copilot in Intune va permettre aux administrateurs de gérer plus facilement leurs différentes politiques Intune, mais aussi de gagner du temps lorsqu'il y a besoin de faire un dépannage. Autrement dit, l'IA va pouvoir analyser les stratégies et applications appliquées à un utilisateur pour vous aider à identifier un éventuel problème qui affecte cet utilisateur.

"Au lieu de naviguer dans de multiples rapports et de compiler des données provenant de diverses sources, Copilot peut récupérer les informations requises dans Intune, aider à analyser les données et fournir des conseils de dépannage sur l'ensemble des appareils, y compris les PC Windows 365 Cloud.", précise Microsoft.

Comme à chaque fois, l'interaction avec l'IA s'effectue avec un système de prompt et il y a un ensemble de prompts prédéfinis que l'administrateur Intune peut utiliser. L'image ci-dessous montre un aperçu :

Copilot in Intune peut être utilisé pour vous fournir un résumé des paramètres de configuration défini dans une ou plusieurs stratégies, ce qui vous évite de faire ce travail manuellement. L'IA pourra vous indiquer quels sont les paramètres configurés et à quoi ils servent. "Cela permet aux administrateurs et aux analystes de comprendre rapidement l'objectif et la portée de toute politique existante sans avoir à passer en revue manuellement chaque paramètre et ses affectations.", peut-on lire dans l'article de Microsoft.

Vous pouvez aussi demander à Copilot de vous apporter des précisions sur un paramètre lorsque vous configurez une stratégie Intune. Ceci pourrait vous éviter quelques allers-retours dans la documentation officielle.

La preview publique de Copilot in Intune est disponible pour les entreprises qui ont un accès Copilot for Security. D'ailleurs, il n'y a pas de licence spécifique pour Copilot in Intune puisqu'il s'agit d'un plugin de Copilot for Security, comme l'explique cette page de la documentation Microsoft.

The post Avec Copilot in Intune, appuyez-vous sur l’IA pour gérer vos appareils et stratégies Intune first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.

Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.

• Cliquez ici pour regarder la vidéo sur YouTube

La configuration déployée avec notre stratégie vise à :

• Activer le pare-feu Windows Defender sur tous les profils (privé, public, domaine)
• Autoriser les flux sortants par défaut
• Bloquer les flux entrants par défaut
• Définir la taille du journal du pare-feu à 16 384 Ko (pour avoir plus de matière en cas de besoin de ce journal pour une analyse)
• Configurer les paramètres d'audit

Remarque : la fonctionnalité de pare-feu de Microsoft Intune permet de gérer les règles du pare-feu système de Windows et macOS.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

• Microsoft Learn - Firewall CSP
• Microsoft Learn - Firewall policy for endpoint security in Intune

Ainsi que ces tutoriels :

• Comment débuter avec Intune ?
• Comment créer une règle de pare-feu Windows Defender avec Intune ?

II. Créer la stratégie de pare-feu

Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

• intune.microsoft.com

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".

Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".

Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :

• Pare-feu
• Gestionnaire de listes réseau
• Audit

Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.

Par exemple, pour le profil de domaine, ce sont les paramètres suivants :

A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.

Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :

Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Suivez l'assistant jusqu'à la création de la stratégie.

A la fin, celle-ci apparaît bien dans Intune :

Désormais, nous allons tester cette stratégie sur un appareil Windows 11.

III. Tester sur un appareil Windows

Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.

Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.

Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.

Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.

Notre stratégie de pare-feu Windows Defender est opérationnelle !

IV. Conclusion

Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.

Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :

The post Intune – Comment configurer le pare-feu Windows ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.

En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.

Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.

• Cliquez ici pour regarder la vidéo sur YouTube

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

• Microsoft Learn - Firewall CSP
• Microsoft Learn - Firewall policy for endpoint security in Intune

Ainsi que ces tutoriels :

• Comment débuter avec Intune ?
• Comment gérer le pare-feu Windows Defender avec Intune ?

II. Créer une règle de pare-feu Windows avec Intune

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

• intune.microsoft.com

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".

Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.

Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.

Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).

Nous allons commencer par configurer ces trois paramètres :

• Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
• Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
• Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)

Un peu plus bas, configurez également ces paramètres :

• Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
• Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
• Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
• Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).

Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.

Configurez l'étape "Balises d'étendue" si besoin, sinon passez.

A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Poursuivez jusqu'à la fin et créez la stratégie...

En résumé, voici le contenu de la règle définie dans la stratégie :

Passons aux tests sur un appareil Windows 11 !

III. Tester la stratégie

Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).

Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.

À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil

Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.

IV. Conclusion

En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !

The post Intune – Comment créer une règle de pare-feu Windows Defender ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment personnaliser le menu Démarrer de Windows 11 à l'aide d'une stratégie Intune, afin de définir une liste des applications à épingler dans le menu Démarrer. L'objectif étant d'avoir une configuration uniforme sur son parc informatique.

• Cliquez ici pour regarder la vidéo sur YouTube

Au sein du système d'exploitation Windows, le menu Démarrer joue un rôle clé, car il offre un accès direct aux applications installées sur l'ordinateur. Le menu Démarrer de Windows 11 permet d'épingler certaines applications afin de pouvoir les trouver facilement, juste en ouvrant le menu Démarrer. C'est précisément sur la liste des applications épinglées que nous allons agir aujourd'hui, en définissant une liste personnalisée d'applications à l'aide d'un fichier de configuration au format JSON.

En entreprise, cette configuration est utile pour avoir une disposition du menu Démarrer identique sur l'ensemble des sessions de vos utilisateurs. Ceci peut éviter qu'un utilisateur vous appelle pour vous dire qu'il ne trouve pas telle ou telle application dans le menu Démarrer. Néanmoins, sachez que cette configuration va venir écraser la liste des applications épinglées de l'utilisateur, et il ne pourra pas modifier cette liste (ses éventuels changements seront écrasés).

• Découverte des profils de configuration Intune

II. Préparer un modèle de menu Démarrer

La première étape consiste à préparer un modèle de menu Démarrer. Pour cela, vous devez utiliser une machine Windows 11 et ajouter au menu Démarrer les applications que vous souhaitez épingler. Ne créez pas de dossiers d'applications, car ce ne sera pas conservé.

Voici un exemple :

Une fois que c'est fait, vous devez exporter cette configuration dans un fichier au format JSON. Cette action doit être effectuée avec PowerShell.

Ouvrez une console PowerShell et exécutez la commande suivante :

Export-StartLayout -Path "<Chemin/vers/fichier/JSON>"
# Par exemple :
Export-StartLayout -Path "StartMenuLayout.json"

Ceci va créer un fichier JSON qui contiendra la liste de toutes les applications épinglées dans votre menu Démarrer type.

Si vous ouvrez le fichier JSON, vous verrez les applications sous "pinnedList". Si vous ouvrez le fichier avec Visual Studio Code, utilisez le raccourci clavier "Shift+Alt+F" pour que le fichier soit formaté, ce sera plus lisible.

Par la suite, vous devrez copier-coller le contenu de ce fichier dans la stratégie Intune.

III. Créer la stratégie Intune

La suite de la configuration se passe sur le Centre d'administration Microsoft Intune.

• intune.microsoft.com

Cliquez sur "Appareils", puis "Configuration", afin de cliquer sur "Créer" puis "Nouvelle stratégie".

Un panneau latéral va s'ouvrir sur la droite, faites les choix suivants :

• Plateforme : Windows 10 et ultérieur
• Type de profil : Modèles
• Nom du modèle : Personnalisé

Cliquez sur "Créer".

Ensuite, vous devez suivre l'assistant de création de la stratégie, en 5 étapes.

Commencez par nommer cette stratégie :

Puis, à l'étape "Paramètres de configuration", ajoutez un paramètre et configurez-le de cette façon :

• Nom : "Menu Démarrer - Applications épinglées" (vous pouvez utiliser un autre nom)
• OMA-URI : ./Vendor/MSFT/Policy/Config/Start/ConfigureStartPins
• Type de données : Chaine (ou "String" en anglais)
• Valeur : collez ici le contenu de votre fichier JSON

Cliquez sur "Enregistrer" quand c'est fait.

Il n'y a que ce paramètre à configurer pour gérer les applications épinglées.

Passez à l'étape suivante dans le but d'assigner cette stratégie à des appareils : sélectionnez un ou plusieurs groupes, selon vos besoins. Dans cet exemple, je me permets de sélectionner "Tous les appareils" car c'est un lab.

Poursuivez jusqu'à la fin et créez la stratégie. Voilà, elle est prête à l'emploi !

Désormais, il ne reste plus qu'à tester sur un appareil Windows !

IV. Tester la configuration

Après avoir effectué une synchronisation Intune sur la machine, vous verrez que le menu Démarrer va être modifié : la section "Epinglé" sera identique à votre modèle initial. La section "Nos recommandations" quant à elle, n'est pas impactée.

V. Conclusion

En suivant ce tutoriel, vous êtes en mesure de personnaliser le menu Démarrer de Windows 11 grâce à la création d'une liste d'applications épinglées ! Pour aller plus loin dans la personnalisation du menu Démarrer avec Intune, vous pouvez consulter cette page de la documentation Microsoft :

• Microsoft Learn - Intune - CSP pour le menu Démarrer

The post Intune – Comment personnaliser le menu Démarrer de Windows 11 ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à exécuter un script PowerShell sur des appareils Windows à l'aide de Microsoft Intune. Ainsi, un script PowerShell chargé sur Intune pourra être exécuté sur un ensemble de machines sous Windows 10 ou Windows 11.

• Voir la vidéo sur YouTube

Nous allons commencer par évoquer les prérequis et le fonctionnement de cette fonctionnalité, avant la mise en pratique qui consistera à exécuter un script PowerShell qui va configurer une image de fond d'écran et de verrouillage sur Windows 10 Pro et Windows 11 Pro (pour les éditions Enterprise et Education, il y a des paramètres natifs dans Intune).

• Comment débuter avec Microsoft Intune ?

II. Prérequis

Pour exécuter un script PowerShell sur des appareils Windows, sachez que Microsoft Intune Management Extension doit être installé sur l'appareil. Ce composant s'installe automatiquement à partir du moment où un script ou une application Win32 est attribué à un appareil.

Pour Microsoft Intune Management Extension, et donc exécuter un script PowerShell, il y a plusieurs prérequis à respecter :

• Appareils joints dans Entra ID : Microsoft Entra Joined (Azure AD Joined) et Microsoft Entra Hybrid Joined (Azure AD Hybrid Joined)
• Appareils inscrits dans Intune
• Windows 10 à partir de la version 1709 ou Windows 11 (sauf les éditions Famille / Home)
• L'horloge de l'appareil doit être correctement configurée (date et heure correctes)

En ce qui concerne les scripts PowerShell en eux-mêmes, voici ce qu'il faut savoir :

• Le poids du script ne doit pas dépasser 200 Ko
• L'utilisateur n'a pas besoin de se connecter à l'appareil pour que le script PowerShell soit exécuté
• Lorsque le script est configuré dans Intune pour s'exécuter dans le contexte de l'utilisateur et que cet utilisateur dispose de droits d'administrateur, alors le script PowerShell s'exécute par défaut avec les privilèges de l'administrateur.
• Il y a un timeout de 30 minutes sur l'exécution des scripts PowerShell
• Au niveau de l'ordre d'exécution des tâches, sachez que les scripts PowerShell sont exécutés avant les applications Win32.
• Sur les appareils partagés, le script PowerShell s'exécute pour chaque nouvel utilisateur qui se connecte.

Nous pouvons aussi rappeler l'importance d'éviter (autant que possible) de stocker des informations sensibles dans ces scripts, à commencer par des mots de passe.

À ce sujet, vous pouvez vous référer à la documentation officielle de Microsoft :

• Microsoft Learn - Intune - Script PowerShell

III. Déployer un script PowerShell avec Intune

A. Le script PowerShell

Le script PowerShell que l'on va déployer via Intune va effectuer les actions suivantes :

• Télécharger en local deux fichiers : une image de fond d'écran et une image d'écran de verrouillage. L'objectif étant de télécharger les fichiers à partir d'une URL Internet vers un répertoire local (C:\Windows\Web\Wallpaper\).

Voici le script PowerShell complet :

<#
.SYNOPSIS
        Définir une image de fond d'écran et une image d'écran de verrouillage via les clés de Registre Windows

.DESCRIPTION
        Sur Windows 10 Pro et Windows 11 Pro, il n'est pas possible de configurer une image de fond d'écran et/ou de verrouillage avec les paramètres natifs Intune.
        La solution de contournement consiste à utiliser des valeurs dans le Registre Windows, comme par GPO Active Directory.
        Les images sont téléchargées en local sur la machine dans "C:\Windows\Web\Wallpaper\"
        Indiquez les URL vers vos images en modifiant ces deux variables : $DesktopImageURL et $LockscreenImageURL.

.PARAMETER
.EXAMPLE  
.INPUTS
.OUTPUTS
	
.NOTES
	NAME:	Windows-Pro-Background-Lockscreen-Images.ps1
	AUTHOR:	Florian Burnel
	EMAIL:	[email protected]
	WWW:	www.it-connect.fr

	VERSION HISTORY:

	1.0 	2024.03.06
		    Initial Version

#>
# Fond ecran - URL en ligne et en local
$DesktopImageURL = "https://itconnectintunedemo.blob.core.windows.net/images/IT-Connect_Wallpaper_052020-V2.png"
$DesktopLocalImage = "C:\Windows\Web\Wallpaper\ITC_Wallpaper.png"

# Ecran verrouillage - URL en ligne et en local
$LockscreenImageURL = "https://itconnectintunedemo.blob.core.windows.net/images/IT-Connect_Wallpaper_052020-V2.png"
$LockscreenLocalImage = "C:\Windows\Web\Wallpaper\ITC_Lockscreen.png"

# Registre - Chemin vers la cle (qui doit accueillir les valeurs)
$RegKeyPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP"

# Telecharger les images en local
if(!(Test-Path $DesktopLocalImage)){
    Start-BitsTransfer -Source $DesktopImageURL -Destination $DesktopLocalImage
}

if(!(Test-Path $LockscreenLocalImage)){
    Start-BitsTransfer -Source $LockscreenImageURL -Destination $LockscreenLocalImage
}

# Modifier les cles de Registre (seulement si l'on parvient a acceder aux images en local)
if((Test-Path $DesktopLocalImage) -and (Test-Path $LockscreenLocalImage)){

    # Creer la cle PersonalizationCSP si elle n'existe pas
    if (!(Test-Path $RegKeyPath))
    {
        New-Item -Path $RegKeyPath -Force | Out-Null
    }

    # Registre Windows - Configurer l'image de fond d'ecran (wallpaper)
    New-ItemProperty -Path $RegKeyPath -Name DesktopImageStatus -Value 0 -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $RegKeyPath -Name DesktopImagePath -Value $DesktopLocalImage -PropertyType String -Force | Out-Null
    New-ItemProperty -Path $RegKeyPath -Name DesktopImageUrl -Value $DesktopLocalImage -PropertyType String -Force | Out-Null

    # Registre Windows - Configurer l'image de l'ecran de verrouillage (lockscreen)
    New-ItemProperty -Path $RegKeyPath -Name LockScreenImageStatus -Value 0 -PropertyType DWORD -Force | Out-Null
    New-ItemProperty -Path $RegKeyPath -Name LockScreenImagePath -Value $LockscreenLocalImage -PropertyType String -Force | Out-Null
    New-ItemProperty -Path $RegKeyPath -Name LockScreenImageUrl -Value $LockscreenLocalImage -PropertyType String -Force | Out-Null

}

Adaptez les deux variables suivantes : $DesktopImageURL (URL vers l'image de fond d'écran) et $LockscreenImageURL (URL vers l'image de l'écran de verrouillage)

Vous pouvez réutiliser ce script et à l'adapter à vos besoins. Sachez que la procédure est identique, peu importe ce que fait votre script PowerShell.

Note : ce script reprend le principe de création de valeurs dans le Registre, comme nous pouvons le faire par GPO et comme je l'avais expliqué dans un précédent article.

• Windows Pro : configurer l'image de l'écran de verrouillage par GPO

B. Ajouter un script dans Intune

Connectez-vous au Centre d'administration Microsoft Intune, cliquez sur "Appareils" (1), puis sur "Scripts et corrections" (2). Ensuite, cliquez sur l'onglet "Scripts de plateforme" (3) afin de pouvoir cliquer sur le bouton "Ajouter" (4) et choisissez "Windows 10 et ultérieur" (5) puisque nous voulons exécuter un script PowerShell sur des machines Windows.

Donnez un nom à ce script, ou plutôt à cette tâche qui apparaîtra dans Intune. Je vous encourage également à indiquer une description. Poursuivez.

A l'étape "Paramètres du script", vous devez commencer par charger votre script sur Intune. En fait, vous devez charger un fichier présent sur votre ordinateur pour l'envoyer sur Microsoft Intune. Ensuite, nous avons plusieurs options à notre disposition :

• Exécuter ce script en utilisant les informations d'identification de l'utilisateur connecté : cette option doit être sur "Oui" pour que le script soit exécuté en héritant des droits de l'utilisateur qui se connecte. Choisissez "Non" pour exécuter une action qui nécessite des droits plus élevés : c'est le cas ici compte tenu de l'emplacement cible où l'image doit être téléchargée.
• Appliquer la vérification de la signature du script : cette option doit être sur "Non" sauf si vous avez un certificat de signature de code sur vos appareils et qu'il est utilisé pour signer vos scripts (ce qui est l'idéal !).
• Exécuter le script dans un hôte PowerShell 64 bits : cette option doit être sur "Oui" pour utiliser PowerShell 64 bits sur les machines 64 bits

À l'étape suivante, nommée "Affectations", vous devez affecter ce script PowerShell à des utilisateurs ou des appareils. Ici, mes machines Windows sont ciblées donc je sélectionne un groupe nommé "PC_Win_Pro" présent dans Microsoft Entra ID.

Poursuivez... A la fin, vérifiez l'ensemble des paramètres et si tout est OK, cliquez sur "Ajouter".

Voilà, votre script PowerShell va être exécuté sur les appareils / les utilisateurs ciblés.

IV. Tester le déploiement

Pour tester le déploiement, il convient de synchroniser un appareil pour qu'il actualise ses paramètres et "comprenne" qu'il doit exécuter un script PowerShell.

A. Microsoft Intune Management Extension

Pour que le script soit exécuté, nous avons besoin que Microsoft Intune Management Extension soit présent sur les appareils. Par défaut, ce n'est pas le cas : ce n'est pas un composant natif à Windows. Cependant, il va être installé automatiquement sur les appareils où le script PowerShell doit être exécuté.

Sur la machine "PC-ITC-01", présente dans le groupe "PC_Win_Pro", le composant s'est installé tout seul et dans la foulée, le script PowerShell a été exécuté. Le tout sans avoir besoin de redémarrer l'ordinateur.

B. Vérifier le bon fonctionnement du script

Pour vérifier le bon fonctionnement du script, nous pouvons investiguer sur la machine Windows. Ici, c'est facile : il suffit de vérifier si le fichier est bien présent à l'emplacement souhaité. Nous pouvons aussi regarder si les valeurs de Registre sont bien créées.

Du côté de la console Intune, si vous cliquez sur le script et que vous accédez à "État de l'appareil", vous pouvez obtenir un statut pour chaque machine impactée par la politique. C'est une façon de voir à distance s'il y a eu des soucis sur une ou plusieurs machines.

C. Les logs

S'il y a un souci avec l'exécution de votre script PowerShell, vous devez investiguer en local sur une machine. Sachez que les logs d'Intune Management Extension sont stockés dans ce répertoire :

C:\ProgramData\Microsoft\IntuneManagementExtension\Logs

Dans ce répertoire, il y a un fichier de log très intéressant au sujet de l'activité d'Intune Management Extension : IntuneManagementExtension.log.

Il s'agit d'un fichier texte que l'on peut ouvrir avec un éditeur de texte classique (Bloc-notes, etc.). Toutefois, il est préférable d'utiliser l'outil gratuit CMTrace que les administrateurs de SCCM ont l'habitude d'utiliser.

Si besoin, vous pouvez l'obtenir en téléchargeant l'exécutable ci-dessous (un peu plus de 1 Go). Ensuite, l'exécutable va décompresser son contenu sur votre PC, ce qui vous permettra d'obtenir l'exécutable "CMTrace.exe". Il est présent ici :

• Télécharger CMTrace.exe (via le package Configuration Manager)

À partir de cet utilitaire, vous pouvez charger un fichier de log. C'est l'occasion d'ouvrir le fichier "IntuneManagementExtension.log" pour analyser son contenu. Ce fichier est très verbeux. Vous pouvez effectuer une recherche pour gagner du temps, avec le mot clé "PowerShell", par exemple.

Dans l'exemple ci-dessous (correspondants à d'autres tests effectués), nous pouvons voir qu'il y a eu un problème lors de l'exécution du script : un argument a une valeur invalide. Effectivement, il y a une erreur sur le nom d'une variable, ce qui renvoie une valeur nulle et perturbe l'exécution de la commande. Grâce à ce fichier de log et CMTrace, vous pouvez identifier plus facilement (et plus rapidement) l'origine du problème.

V. Conclusion

Après avoir suivi ce tutoriel, vous êtes en mesure d'exécuter des scripts PowerShell sur vos machines Windows à l'aide de Microsoft Intune ! Ce tutoriel sera également utile à toutes les personnes qui souhaitent configurer une image de fond d'écran et/ou de verrouillage sur les machines Windows 10 Pro et Windows 11 Pro.

Au sein de Microsoft Intune, PowerShell est également utile pour le déploiement d'applications et les fonctionnalités de remédiation. Nous aborderons ces points dans de futurs articles.

The post Intune – Comment exécuter un script PowerShell sur Windows ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer une image de fond d'écran et une image de verrouillage sur des appareils Windows à l'aide d'une stratégie Microsoft Intune. Il s'agit d'un besoin exprimé fréquemment par la direction ou le service communication des entreprises. Avec Intune, nous allons pouvoir déployer cette configuration sur un ensemble d'appareils à l'aide d'une stratégie dans les profils de configuration.

La principale contrainte concerne l'emplacement de stockage des images que vous souhaitez utiliser pour le fond d'écran et l'écran de verrouillage de vos images. En effet, les fichiers images doivent être accessibles publiquement par les appareils, y compris depuis Internet. Dans cet exemple, nous allons utiliser un conteneur associé à un compte de stockage Azure.

• Voir la vidéo sur YouTube

Si vous débutez avec Microsoft Intune, nous vous encourageons à lire cet article :

• Débuter avec Microsoft Intune

II. Héberger l'image sur un espace Cloud

Cette étape est, en quelque sorte, facultative car vous pouvez utiliser un autre emplacement de stockage... Vous n'êtes pas obligé d'utiliser Azure. Toutefois, l'image devra être accessible via une URL en HTTPS : un simple serveur Web peut suffire. Pour le format, vous avez le choix entre JPEG, JPG et PNG. Par exemple, vous pouvez utiliser une bibliothèque SharePoint.

A partir du portail Azure, nous devons créer un compte de stockage. Dans cet exemple, il s'agit d'un compte de stockage qui sera dédié au stockage de données non sensibles à mettre à disposition des appareils. Ce compte de stockage est nommé "itconnectintune" au sein de la région "France Central". Nous n'avons pas besoin de performances élevées, ni de redondance particulière : on cherchera plutôt à utiliser les options les moins coûteuses.

Au sein de l'onglet "Réseau", nous allons choisir l'option "Activez l'accès public à partir de tous les réseaux" pour que les images soient accessibles depuis n'importe où. Toutefois, ceci ne suffit pas pour activer l'accès anonyme.

Poursuivez jusqu'à la fin pour créer votre compte de stockage...

Accédez au compte de stockage, et descendez dans le menu latéral afin de cliquer sur "Configuration". L'objectif étant d'activer l'option "Autoriser l'accès anonyme aux objets blob", comme ceci :

Ensuite, basculez sur la partie "Conteneurs" sous "Stockage des données" afin d'en créer un nouveau. Dans mon cas, ce conteneur s'appelle tout simplement "images".

Une fois que ce conteneur est créé, vous pouvez y accéder en cliquant dessus. Pour charger une image, en l'occurrence celle du fond d'écran, cliquez sur le bouton "Charger". Dans cet exemple, j'utilise une seule image nommée "IT-Connect_Wallpaper.png" qui me servira pour l'écran de verrouillage et pour le fond d'écran.

Pour qu'il soit possible d'accéder publiquement à cette image, à partir d'une URL en HTTPS, vous devez modifier le niveau d'accès en cliquant sur le bouton "Modifier le niveau d'accès". Ici, choisissez le niveau "Conteneur" afin que n'importe qui puisse lire le contenu du conteneur. Pour rappel, il contiendra uniquement des données non sensibles !

Dans les propriétés du fichier image, vous pouvez récupérer l'URL directe vers le fichier. A partir d'une fenêtre en navigation privée (pour être en mode non connecté), vous pouvez tester cette URL : en principe, votre image doit s'afficher. Sinon, c'est qu'il y a un problème de permissions.

Passons à la partie Intune.

III. Créer la politique Intune

A partir du Centre d'administration Microsoft Intune, nous allons créer une nouvelle stratégie dans les profils de configuration.

• Accéder au portail Intune

Cliquez sur "Appareils" dans le menu latéral, puis sur "Profils de configuration" afin de créer une nouvelle stratégie.

Choisissez la plateforme "Windows 10 et ultérieur", puis le type de profil "Modèles" afin de rechercher le modèle nommé "Restrictions sur l'appareil".

Une fois le modèle sélectionné (cliquez dessus), cliquez sur "Créer".

Désormais, vous allez pouvoir configurer cette nouvelle stratégie.

Commencez par lui donner un nom, par exemple : "Configurer fond d'écran et écran de verrouillage".

A la seconde étape, vous devez configurer l'écran de verrouilla grâce au paramètre "URL de l'image de l'écran verrouillé (Desktop uniquement)" situé sous "Expérience d'écran verrouillé". Ici, indiquez l'URL complète vers le fichier image que vous souhaitez utiliser sur l'écran de verrouillage.

En ce qui concerne l'image pour le fond d'écran, il s'agit du paramètre "URL de l'image d'arrière-plan du poste de travail (Desktop uniquement)" situé sous "Personnalisation". Sur le même principe, indiquez l'URL vers le fichier image.

Vous n'avez pas besoin de configurer d'autres paramètres pour répondre à notre besoin du jour. Passez à l'onglet "Affectations".

Ici, vous devez sélectionner la cible de cette configuration. Il s'agit d'une étape habituelle lorsque l'on crée une stratégie sur Intune. Dans cet exemple, je vais cibler le groupe "PC_Corporate" qui contient les appareils Windows de mes utilisateurs.

Sauf si vous avez un besoin spécifique, passez l'étape "Règles d'applicabilité".

Voilà la dernière étape. Vérifiez la configuration, et si tout vous convient, cliquez sur "Créer".

La nouvelle stratégie est prête et elle va être appliquée sur les appareils ciblés.

IV. Tester le bon fonctionnement

Pour tester, il suffit de se rendre sur une machine qui est dans le périmètre de la stratégie. Soit vous attendez la prochaine synchronisation automatique, soit vous forcez la synchronisation.

Grâce à cette nouvelle stratégie, nous voyons bien qu'il y a un avant/après : le fond d'écran apparaît bien sur la machine ! Il en va de même pour l'écran de verrouillage.

Du côté du portail Microsoft Intune, nous pouvons également suivre l'état de cette stratégie. Ici, nous pouvons voir que la stratégie s'est appliquée avec succès sur un appareil (PC-ITC-02), mais qu'elle n'est pas applicable sur un autre appareil (PC-ITC-01). La raison est simple : PC-ITC-01 tourne sur Windows 11 Pro.

V. Conclusion

Grâce à ce tutoriel, vous êtes en mesure de définir une image de fond d'écran personnalisée et/ou une image de verrouillage personnalisée sur les postes de travail Windows 10 et Windows 11 de votre entreprise, à l'aide d'une stratégie Intune !

Prochainement, nous verrons comment exécuter un script PowerShell avec Intune.

The post Intune – Configurer une image de fond d’écran et d’écran de verrouillage Windows first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à déployer une application sur Windows à l'aide de Microsoft Intune en nous appuyant sur le catalogue du Microsoft Store.

Le catalogue Microsoft Store présente l'avantage d'inclure des applications modernes (UWP) et des applications Win32. Au-delà de pouvoir installer ces applications via l'interface graphique du Microsoft Store, nous pouvons gérer ces applications via le gestionnaire de paquets WinGet. De ce fait, Intune va pouvoir s'appuyer sur WinGet pour installer les applications présentes dans le Microsoft Store.

À ce jour, le déploiement d'applications Win32 à partir du Microsoft Store est en "preview". Ainsi, la fonctionnalité est disponible, mais peut être instable.

• Voir la vidéo sur YouTube

Sur le même sujet :

• Comment débuter avec Microsoft Intune ?
• Comment déployer une application Win32 avec Intune ?

II. Microsoft Store (New) vs Microsoft Store (Legacy)

Lors du déploiement d'une application Microsoft Store avec Intune, nous avons le choix entre "Microsoft Store (New)" et "Microsoft Store (Legacy)".

Il faut savoir que le mode Legacy fait référence à Microsoft Store for Business (et Éducation) et que cette option va disparaître (Microsoft l'a annoncé en 2021). Sachez que les applications installées via cette méthode ne seront pas désinstallées automatiquement, donc elles resteront présentes sur les postes. À ce sujet, vous pouvez lire cet article du site Microsoft où tout est expliqué.

De ce fait, nous devons nous tourner vers la méthode "Microsoft Store (New)" bien qu'elle soit différente. Cette méthode va permettre de sélectionner une application dans le catalogue du Microsoft Store à partir de l'interface Intune, que ce soit les apps UWP (Universal Windows Platform) ou les apps Win32. En complément, nous pouvons suivre l'état du déploiement de l'application via Intune. L'objectif de Microsoft étant de pousser le trio "WinGet - Intune - Nouveau Microsoft Store".

Remarque : le gestionnaire de paquets WinGet est capable de télécharger les applications à partir du Microsoft Store, mais également depuis un dépôt privé.

III. Mise en pratique : déployer une application du Microsoft Store avec Intune

A. Avant de commencer

Avant toute chose, vous pouvez ouvrir le Microsoft Store sur un appareil Windows afin de rechercher l'application cible dans le magasin d'applications de Microsoft. Ceci vous permettra de vérifier sa disponibilité et d'obtenir son nom précis.

D'après la documentation de Microsoft, la machine doit avoir un processeur avec au moins deux cœurs et elle doit pouvoir accéder au Microsoft Store (attention si vous utilisez un proxy).

Il est à noter que "Intune Management Extension" doit également être présent sur les appareils. Son installation est automatique et elle est effectuée la première fois qu'une application ou un script est attribué à un appareil.

B. Installer une application Microsoft Store avec Intune

Pour cette démonstration, nous allons créer une application Intune dans le but de déployer l'application "PowerToys" de Microsoft sur les appareils Windows du groupe "PC_Corporate".

Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :

• intune.microsoft.com

Quand vous êtes prêt, suivez ces étapes :

1 - Cliquez sur "Applications" dans le menu situé à gauche de l'écran

2 - Cliquez sur "Toutes les applications"

3 - Cliquez sur le bouton "Ajouter" pour créer une nouvelle application

Dans la liste, sélectionnez "Application Microsoft Store (nouvelle)" et validez.

Un assistant s'exécute. La première étape consiste à sélectionner l'application que l'on souhaite installer. Il suffit de cliquer sur le lien "Rechercher l'application Microsoft Store (nouvelle)".

Ensuite, Intune nous donne accès au catalogue d'apps du Microsoft Store. Il suffit d'utiliser la zone de recherche pour trouver son bonheur. Par exemple, l'utilisation du mot clé "Microsoft" permet d'avoir la liste de toutes les applications publiées par Microsoft. A chaque fois, la colonne "Type" indique s'il s'agit d'une application UWP ou Win32. Ici, nous allons sélectionner l'application "Microsoft PowerToys" puis valider avec le bouton "Sélectionner".

Après avoir sélectionné l'application, nous sommes invités à personnaliser ses détails et la méthode de déploiement. J'attire votre attention sur les paramètres suivants :

• Comportement à l'installation : pour choisir entre une installation au niveau de la machine pour tous les utilisateurs (Système) ou uniquement par utilisateur.
• Catégorie : assigner l'application à une catégorie, ce qui présente de l'intérêt pour le Portail d'entreprise
• Logo : charger une image correspondante au logo de l'application, là encore c'est utile pour le Portail d'entreprise

À l'étape suivante, nous devons affecter l'application à nos appareils. Nous constatons que l'assistant est simplifié et moins complexe pour une application du Microsoft Store en comparaison d'une application packagée (comme c'est le cas pour un ".exe", par exemple).

Par contre, pour la configuration du mode d'affectation, c'est identique. Pour rappel, voici les trois grands modes d'affectation :

• Obligatoire : force l'installation de l'application sur les appareils (de façon automatique grâce à notre commande d'installation)
• Disponible pour les appareils inscrits : l'application ne s'installe pas automatiquement sur les appareils, mais elle sera disponible via le Portail d'entreprise (Company Portal)
• Désinstaller : comme son nom l'indique, cette option permet de désinstaller l'application sur un ensemble de machines

Pour cette démonstration, nous allons rendre obligatoire l'installation de l'application sur toutes les machines du groupe "PC_Corporate".

Poursuivez jusqu'à la fin... Confirmez la création de cette application.

Désormais, nous allons tester le déploiement de l'application sur les appareils.

IV. Tester sur appareil Windows

Après avoir synchronisé un appareil et avoir fait preuve de patience, l'application "PowerToys (Preview)" est bien déployée sur un appareil Windows 11 membre du groupe "PC_Corporate". Elle est visible dans le menu Démarrer de la session de l'utilisateur :

Si nous analysons les journaux d'Intune Management Extension à l'aide de CMTrace, nous pouvons constater que le téléchargement de l'application a été effectué via le gestionnaire de paquets WinGet.

L'application PowerToys s'installe correctement, c'est parfait ! De plus, elle est accessible à tous les utilisateurs de cet appareil (ce qui peut s'avérer utile s'il s'agit d'un appareil partagé) !

V. Conclusion

Le déploiement d'une application du Microsoft Store à l'aide d'Intune est très simple, pour notre plus grand bonheur ! Pour le moment, la principale limite c'est le fait que certaines applications Win32 ne soient pas disponibles dans le catalogue d'apps du Microsoft Store. Ainsi, nous avons besoin de recourir à d'autres méthodes.

The post Intune – Comment déployer une application du Microsoft Store ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons utiliser Microsoft Intune pour déployer le navigateur Google Chrome sur des appareils Windows 10 et Windows 11. Pour cela, nous allons utiliser le package MSI de Google Chrome mis à disposition par Google lui-même.

• Voir la vidéo sur YouTube

Précédemment, nous avions vu comment déployer une autre application au format MSI : 7-Zip. Si vous souhaitez en savoir plus sur le déploiement des Applications métiers, Line-of-business app ou encore LOB app, vous pouvez consulter l'article ci-dessous :

• Comment déployer une "Application métier" au format MSI avec Intune ?

Pour rappel, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle.

II. Télécharger le package MSI de Google Chrome

La première étape consiste à télécharger le package MSI de Google Chrome puisqu'il va nous permettre de déployer l'application sur les appareils Windows 10 et Windows 11.

Vous pourrez trouver le package MSI de Google Chrome grâce au lien ci-dessous. Choisissez le canal "Stable", puis le type de fichier "MSI" et l'architecture "64 bits" avant de cliquer sur le bouton "Télécharger". Il s'agit d'un paquet d'installation complet (pas un installeur qui récupère les sources sur Internet).

• Télécharger Google Chrome

Suite au téléchargement, vous obtenez un fichier d'une centaine de méga-octets nommé "googlechromestandaloneenterprise64.msi". Pour l'installer silencieusement, voici la commande à exécuter :

googlechromestandaloneenterprise64.msi /quiet

Nous allons préciser ce commutateur lors de la création de l'application sur l'interface Intune. D'ailleurs, nous allons pouvoir passer sur le portail Intune dès maintenant...

III. Créer une application métier dans Intune

Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :

• intune.microsoft.com

A. Sélectionner le package MSI

Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :

1 - Cliquez sur "Applications", puis "Windows".

2 - Cliquez sur le bouton "Ajouter".

3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.

4 - Cliquez sur "Sélectionner".

À l'étape suivante :

1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".

2 - Chargez le package MSI de Google Chrome.

3 - Cliquez sur "OK".

B. Informations sur l'application

L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons répondre à un ensemble de "questions".

Concernant le "Contexte d'installation d'application", cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Comme nous pouvons le constater dans le cas de Chrome, cette option peut être grisée (avec une valeur prédéfinie).

L'option "Ignorer la version de l'application" doit être définie sur "Oui" pour Google Chrome. Ainsi, on s'assure qu'Intune gérera correctement le fait que cette application bénéficie des mises à jour automatique. Sinon, le navigateur risque de se réinstaller "en boucle".

Enfin, pour l'option "Arguments de ligne de commande", nous devons préciser le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" pour Google Chrome.

Ce qui donne :

Cliquez sur "Suivant".

C. Affectations

Pour finir, affectez l'application Google Chrome aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.

Poursuivez jusqu'à la fin et finalisez la création de l'application.

D. Finaliser la création de l'application

Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.

Il ne reste plus qu'à tester sur un appareil Windows.

IV. Tester le déploiement de l'application

Dans cet exemple, un appareil sous Windows 11 est utilisé pour vérifier le bon fonctionnement de la stratégie Intune. Après une synchronisation, l'application Google Chrome est bien visible sur l'appareil :

Du côté du portail Microsoft Intune, l'état du déploiement de l'application sur cet appareil remonte également :

V. Conclusion

Si vous suivez rigoureusement ce tutoriel, vous allez pouvoir déployer le navigateur Google Chrome sur les machines Windows 10 et Windows 11 de votre parc informatique qui sont inscrites dans Intune.

The post Intune – Comment déployer Google Chrome sur Windows ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à déployer une application au format MSI sur des appareils Windows 10 ou Windows 11, à l'aide de la solution Intune. Le format MSI est très apprécié par les administrateurs systèmes, car il permet de faciliter l'installation silencieuse des applications, contrairement au format EXE.

Sur les appareils Windows, Intune est capable de déployer des applications de différents types, notamment celles au format MSI par l'intermédiaire de ce qui est appelé les Applications métiers, Line-of-business app ou encore LOB app.

Pour être plus précis, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle. Ceci pourra être utile pour les entreprises qui font eux-mêmes le packaging de certaines applications.

• Voir la vidéo sur YouTube (Démo avec Google Chrome)

• Comment déployer une application Win32 avec Intune ?

Note : vous pouvez également utiliser la méthode "Application Win32" pour créer un package intunewin qui contient un package MSI. Ceci permet d'avoir plus de souplesse, notamment pour s'appuyer sur un script de détection.

II. Télécharger les sources de l'application (7-Zip)

Pour cette démonstration, nous allons voir comment déployer l'application 7-Zip sur Windows à l'aide d'Intune. Vous pouvez utiliser une autre application telle que Google Chrome, via cette méthode. Si vous décidez de déployer Mozilla Firefox, utilisez plutôt la méthode "Application Win32", car avec cette méthode, il y a un problème de détection de la version.

Vous pourrez trouver le package MSI sur cette page :

• Télécharger 7-Zip

Ensuite, nous devons identifier le nom du commutateur permettant d'effectuer l'installation silencieuse. Avec un package MSI, en règle général, il s'agit de l'un de ces commutateurs :

<nom du package>.msi /quiet
<nom du package>.msi /silent
<nom du package>.msi /S
<nom du package>.msi /q

Dans le cas présent, la bonne valeur est "/quiet" comme le montre l'aide associée à ce package MSI. Sinon, une recherche sur Internet, notamment sur le site de l'éditeur, peut permettre d'obtenir la bonne valeur.

Désormais, nous allons pouvoir passer sur le portail Intune.

III. Créer une application métier dans Intune

Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :

• intune.microsoft.com

A. Sélectionner le package MSI

Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :

1 - Cliquez sur "Applications", puis "Windows".

2 - Cliquez sur le bouton "Ajouter".

3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.

4 - Cliquez sur "Sélectionner".

À l'étape suivante :

1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".

2 - Chargez le package MSI de 7-Zip, ou d'une autre application selon vos besoins.

3 - Cliquez sur "OK".

B. Informations sur l'application

L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons préciser le nom de l'éditeur, mais pas que ! En effet, j'attire votre attention sur les options suivantes :

• Contexte d'installation d'application : cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Dans certains cas, et selon le package MSI, cette option peut être grisée (avec une valeur prédéfinie).
• Ignorer la version de l'application : cette option permet de ne pas tenir compte de la version de l'application, ce qui est utile pour les applications qui vont se mettre à jour automatiquement, comme Google Chrome.
• Arguments de ligne de commande : c'est ici qu'il faut indiquer le(s) argument(s) associés à l'installation du package. Vous devez au moins indiquer le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" dans le cas présent.

Ce qui donne :

Cliquez sur "Suivant".

C. Affectations

Pour finir, affectez cette application aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.

Poursuivez jusqu'à la fin et finalisez la création de l'application.

D. Finaliser la création de l'application

Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.

La nouvelle application apparaît bien dans la liste. Il ne reste plus qu'à tester !

IV. Tester le déploiement de l'application

Direction un appareil affecté par le déploiement de l'application 7-Zip pour faire un essai. Un redémarrage de la machine suffit pour lui demander de rafraichir ses stratégies. Assez rapidement, l'application 7-Zip fait son apparition sur la machine ! Mission accomplie !

V. Conclusion

En suivant ce tutoriel, vous devez être en mesure de déployer 7-Zip ou une autre application sur un ensemble d'appareils Windows 10 et Windows 11 inscrits dans Intune !

Je vous rappelle que le mode de déploiement "Application métier" d'Intune prend en charge plusieurs formats de fichiers : .msi, .appx, .appxbundle, .msix et .msixbundle.

The post Intune – Comment déployer une application au format MSI ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à déployer le nouveau client Microsoft Teams pour Windows à l'aide d'une stratégie Intune. À compter du 31 mars 2024, Microsoft forcera l'utilisation du nouveau client Microsoft Teams, à la place de l'application Legacy qui est amenée à disparaitre.

En tant qu'administrateur système, vous devez anticiper ce changement prévu par Microsoft et qui est détaillé sur cette page de la documentation :

• Microsoft Learn - End of availability for classic Teams client

Pour effectuer le déploiement en masse de la nouvelle application Microsoft Teams, nous allons suivre la recommandation de l'éditeur et utiliser l'installeur "teamsbootstrapper.exe". Il va permettre d'installer le nouveau Teams au niveau machine, ce qui profitera à tous les utilisateurs qui utilisent une machine. Autrement dit, ceci évite d'avoir une application Teams qui s'installe dans le profil de chaque utilisateur.

Pour utiliser cet exécutable avec Intune, nous allons devoir créer plusieurs scripts PowerShell et générer un package Intunewin. Pour plus d'informations sur cette méthodologie, suivez ce tutoriel :

• Comment déployer une application Win32 avec Intune ?

II. Préparer les sources d'installation

A. Les scripts PowerShell

Pour réussir notre mission du jour, nous allons utiliser plusieurs scripts PowerShell pour répondre aux besoins d'Intune, à savoir fournir une commande d'installation et une commande de désinstallation, mais aussi pour la détection sur l'appareil (validation de l'installation).

• NewTeamsInstall.ps1 pour installer Teams à partir du teamsbootstrapper.exe

Le script d'installation a pour objectif d'exécuter "teamsbootstrapper.exe" avec l'argument "-p" car il s'agit de celui qui permet d'effectuer une installation au niveau machine.

$teamsbootstrapperPath = ".\teamsbootstrapper.exe"
Start-Process -FilePath $teamsbootstrapperPath -ArgumentList "-p"

Concrètement, ce script va exécuter la commande suivante :

teamsbootstrapper.exe -p

Cet exécutable va récupérer les sources d'installation de Microsoft Teams sur Internet. Sachez que l'option "-o" suivi d'un chemin local ou d'un chemin UNC permettra d'aller récupérer le package MSIX d'installation à un autre emplacement.

Ce script d'installation ne s'occupe pas de désinstaller l'ancien client Microsoft Teams. Néanmoins, la documentation de Microsoft précise : "Microsoft tentera de supprimer le client Teams classique en votre nom, mais si cette opération est bloquée ou empêchée par votre configuration ou vos politiques, il vous incombe de procéder vous-même à cette suppression." - Cela signifie que le comportement du teamsbootstrapper.exe pourrait évoluer après le 31 mars 2024.

Même s'il n'est pas obligatoire de supprimer l'ancien client Teams, il est préférable de le faire pour des raisons de sécurité. Si vous souhaitez le faire avec PowerShell, il vous faudra un script plus complet (je vous recommande celui-ci), car vous devez rechercher la présence de Teams dans tous les profils utilisateurs de chaque machine (puisque l'application peut s'installer dans chaque profil).

• NewTeamsUninstall.ps1 pour désinstaller Teams à partir du teamsbootstrapper.exe (obligatoire lors de la création d'une application, même s'il n'est pas utilisé)

Le script de désinstallation a pour objectif d'exécuter "teamsbootstrapper.exe" avec l'argument "-x" car il s'agit de celui qui permet d'effectuer une installation au niveau machine.

$teamsbootstrapperPath = ".\teamsbootstrapper.exe"
Start-Process -FilePath $teamsbootstrapperPath -ArgumentList "-x"

• NewTeamsDetection.ps1 pour détecter la présence du nouveau Teams sur la machine, en recherchant le répertoire d'installation

Enfin, le script de détection va parcourir le répertoire "C:\Program Files\WindowsApps" à la recherche d'un répertoire nommé "MSTeams_<ID>". Le nom varie d'une machine à l'autre, donc nous devons utiliser un wildcard pour rechercher le répertoire par rapport au préfixe.

Nous retournerons "0" comme ExitCode si le répertoire est trouvé, ce qui est synonyme de succès. Dans le cas contraire, l'ExitCode retourné sera "1". En complément, un message est généré via Write-Host pour confirmer la détection du répertoire (ce message sera visible dans les logs d'IME).

# Chemin vers l'installation du nouveau Teams
$NewTeamsPath = Get-ChildItem "C:\Program Files\WindowsApps" -Filter "MSTeams_*"

# Vérifier la présence du nouveau Teams et retourner un code d'état
if($NewTeamsPath){
    Write-Host "Le nouveau Teams est présent sur cet ordinateur !"
    exit 0
}else{
    exit 1
}

En complément, voici le lien vers la documentation de l'installeur Teams :

• Microsoft Learn - Documentation sur teamsbootstrapper.exe

B. Générer le package intunewin

Nous allons devoir générer un package ".intunewin" pour créer notre application. Pour cela, nous avons besoin :

• De l'outil Microsoft Win32 Content Prep Tool, que vous pouvez télécharger sur ce dépôt GitHub
• De l'exécutable teamsbootstrapper.exe, que vous pouvez télécharger via ce lien
• De nos scripts PowerShell

En ce qui me concerne, j'ai créé le répertoire "C:\TEMP\SOFTWARE\NewTeam" et il contient ceci :

Nous allons packager ces fichiers dans un fichier Intunewin. Toutefois, il n'y a pas d'obligation à ajouter le script "NewTeamsDetection.ps1" dans ce package, car il sera chargé indépendamment dans l'interface d'administration d'Intune.

Ouvrez une console PowerShell et exécutez l'outil de packaging :

.\IntuneWinAppUtil.exe

Ensuite, répondez aux différentes questions (en adaptant les valeurs pour qu'elles correspondent à votre environnement) :

• Dossier source : C:\TEMP\SOFTWARE\NewTeam
• Fichier d'installation source : C:\TEMP\SOFTWARE\NewTeam\NewTeamsInstall.ps1
• Dossier de sortie (où stocker le package intunewin) : C:\TEMP\SOFTWARE\INTUNEWIN
• Dossier de catalogue : non

Appuyez sur Entrée pour lancer le processus de packaging et patientez quelques secondes...

Voilà, le fichier de sortie est créé :

C:\TEMP\SOFTWARE\INTUNEWIN\NewTeamsInstall.intunewin

III. Créer l'application Teams (New) dans Intune

Désormais, nous allons créer l'application Teams à partir du portail Microsoft Intune. Cliquez sur "Applications", puis "Windows", et cliquez sur le bouton "Ajouter". Un panneau latéral va s'ouvrir, choisissez le type d'application "Application Windows (Win32)" et cliquez sur "Sélectionner".

• intune.microsoft.com

Sélectionnez le package d'installation "NewTeamInstall.intunewin" généré précédemment.

A. Informations sur l'application

Désormais, il va falloir se laisser guider par l'assistant. Commencez par nommer cette application, le nom "Microsoft Teams (New)" me semble plutôt cohérent. Vous pouvez aussi indiquer une description afin de préciser que cette application s'appuie sur des scripts PowerShell.

Indiquez "Microsoft" en tant que "Editeur" et poursuivez.

B. Programme

L'étape "Programme" se présente à vous. Ici, vous devez déclarer les commandes d'installation et de désinstallation. Vous allez pouvoir indiquer à Intune qu'il doit exécuter les scripts PowerShell, par l'intermédiaire d'Intune Management Extension.

Voici les valeurs à ajouter :

• Commande d'installation

%SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -Command .\NewTeamsInstall.ps1

• Commande de désinstallation

%SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -Command .\NewTeamsUninstall.ps1

Puis, choisissez "Système" pour l'option "Comportement à l'installation" puisque nous voulons installer cette application pour tous les utilisateurs de la machine (ceci implique d'avoir des privilèges élevés).

Poursuivez.

C. Exigences

Pour l'étape "Exigences", sélectionnez Windows 64 bits et le système d'exploitation minimal "Windows 10 1607", puis continuez.

D. Règles de détection

Pour détecter la présence de l'application Microsoft Teams, nous allons utiliser notre script PowerShell "NewTeamsDetection.ps1".

• Format des règles : utiliser un script de détection personnalisé
• Fichier de script : NewTeamsDetection.ps1

Le contenu du script s'affiche dans l'interface d'Intune :

Suite à l'installation de Microsoft Teams, Intune exécutera ce script pour détecter si l'installation est présente ou non.

E. Dépendances

Passez cette étape.

F. Remplacement

Passez cette étape.

G. Affectations

Pour finir, sous "Obligatoire", affectez l'application aux machines de votre choix grâce à la sélection d'un ou plusieurs groupes. Pour ma part, ce sera "Tous les appareils" car il s'agit d'un lab. En production, ciblez un groupe avec des machines de tests dans un premier temps.

Poursuivez jusqu'à la fin de la création de l'application. Il ne reste plus qu'à tester !

IV. Tester sur un appareil

Sur un appareil concerné par la stratégie d'application, vous devriez voir l'application Teams (New) apparaître. Bien entendu, vous pouvez forcer une synchronisation pour ne pas avoir besoin d'attendre...

Puisque nous n'avons pas retiré les notifications, vous devriez voir apparaître ceci lorsque le processus va débuter :

Une fois l'opération terminée, le statut sera visible dans Intune :

Sur le PC, nous pouvons aussi exécuter notre commande de détection manuellement, et nous verrons qu'elle retourne bien un dossier ! Ceci signifie que l'installation s'est déroulée correctement !

Le nouveau client Teams apparait également dans le menu Démarrer :

En cas de problème, analysez le fichier journal d'Intune Management Extension avec CMTrace pour identifier l'origine du problème. D'ailleurs, dans celui-ci, nous pouvons suivre les différentes étapes de l'installation et avoir également le retour de notre script de détection :

V. Conclusion

En suivant ce tutoriel, et en l'adaptant à votre environnement, vous devriez être en mesure de déployer la nouvelle application Microsoft Teams sur vos appareils Windows 10 et Windows 11 inscrits dans Intune !

En complément, dans le Centre d'administration Microsoft Teams, vous pouvez configurer la stratégie de mise à jour de Teams pour basculer sur le mode "Nouvelles équipes par défaut", ce qui correspond au nouveau client Teams (traduction un peu hasardeuse...). Ici, je fais référence à cette option :

The post Intune – Comment déployer le nouveau Teams sur Windows ? first appeared on IT-Connect.

I. Présentation

Comment utiliser Microsoft Intune pour installer des applications sur les postes des utilisateurs ? Voilà une question que vous devez être nombreux à vous poser à partir du moment où vous avez des licences Intune en votre possession. La bonne nouvelle, c'est que dans ce tutoriel, nous allons apprendre à déployer une application au format exécutable (.exe) sur des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune !

• Voir la vidéo sur YouTube

Intune est une solution polyvalente capable de déployer des applications sur différents types d'appareils (Android, iOS, Windows, etc.) et de différentes façons (notamment via le Microsoft Store). Dans ce premier article sur le déploiement d'applications avec Intune, nous allons effectuer nous attaquer au format EXE : c'est généralement celui qui donne du fil à retordre aux administrateurs systèmes... Dans Intune, nous allons donc créer et assigner une application Win32 à des appareils Windows.

L'application qui va nous servir de "cobaye", c'est une application qui me suit depuis très longtemps : Notepad++. Mais, vous pouvez prendre une autre application... Bien qu'il y aura surement des ajustements à effectuer.

Remarque : Intune peut s'appuyer sur le gestionnaire de paquets WinGet et le catalogue d'apps du Microsoft Store pour déployer des applications UWP ou Win32 (ceci étant encore en preview). C'est très intéressant, car cette méthode facilite grandement le déploiement d'applications via Intune.

• Comment débuter avec Microsoft Intune ?

II. Prérequis

Pour qu'une application soit déployée sur un appareil Windows par l'intermédiaire d'Intune, il y a plusieurs prérequis à respecter et à prendre en considération. Voici un résumé en quelques points clés :

• Versions et éditions du système d'exploitation Windows : Windows 10 (build 1607 ou supérieur) ou Windows 11 - Prise en charge des éditions Pro, Enterprise et Education
• État de l'appareil Windows : jonction dans Microsoft Entra ID obligatoire (directe ou hybride) et inscrit dans Intune
• Poids de l'application : le total de toutes les sources de l'application déployée ne doit pas excéder 30 Go (la limite a évoluée fin 2023, car avant, c'était 8 Go)

Il est à noter que "Intune Management Extension" doit également être présent sur les appareils. Son installation est automatique et elle est effectuée la première fois qu'une application ou un script est attribué à un appareil.

III. L'outil Microsoft Win32 Content Prep Tool

Pour déployer une application Win32 avec Intune, nous devons créer un package au format ".intunewin". Pour cela, nous allons utiliser un utilitaire mis à disposition par Microsoft : Win32 Content Prep Tool. Il s'utilise en ligne de commande.

Vous devez le télécharger sur GitHub, via le lien suivant :

• GitHub - Microsoft Win32 Content Prep Tool

Une fois sur GitHub, cliquez sur "Code" puis "Download ZIP" pour obtenir l'archive ZIP du projet. Décompressez l'archive sur votre PC. Pour ma part, ce sera à l'emplacement suivant :

C:\TEMP\Microsoft-Win32-Content-Prep-Tool-master

IV. Préparer le package .intunewin

L'objectif c'est que l'exécutable de Notepad++ devienne un package ".intunewin". Tout d'abord, nous devons télécharger l'exécutable 64 bits de Notepad++ sur cette page du site officiel :

• Télécharger Notepad++

À l'heure où cet article est rédigé, la dernière version est : Notepad++ 8.6 (désormais la version 8.6.2 est disponible, mais la logique reste la même). Le téléchargement effectué depuis le site officiel nous donne le fichier "npp.8.6.Installer.x64.exe". Ce fichier sera stocké à cet endroit sur mon ordinateur :

C:\TEMP\SOFTWARE\npp.8.6.Installer.x64.exe

La suite se passe dans la ligne de commande...

Ouvrez une console PowerShell, et positionnez-vous dans le répertoire de l'outil Win32 Content Prep Tool.

cd C:\TEMP\Microsoft-Win32-Content-Prep-Tool-master

Il y a deux manières d'utiliser cet outil :

• Appeler l'exécutable dans la console et "répondre aux questions" en mode interactif
• Appeler l'exécutable et préciser les arguments et leurs valeurs dans la console

Pour prendre en main cet outil, nous allons utiliser le mode interactif. Exécutez cette commande :

.\IntuneWinAppUtil.exe

L'outil nous pose 4 questions :

• Please specify the source folder - Dans quel répertoire se situe l'exécutable source, donc "C:\TEMP\SOFTWARE"
• Please specify the setup file - Spécifier l'emplacement du fichier d'installation (.exe), donc "C:\TEMP\SOFTWARE\npp.8.6.Installer.x64.exe"
• Please specify the output folder - Spécifier dans quel répertoire créer le fichier de sortie (.intunewin), donc "C:\TEMP\SOFTWARE" (ou ailleurs)
• Do you want to specify catalog folder (Y/N) - Spécifier le répertoire d'un catalogue, donc indiquez "n" pour "non"

Quelques secondes plus tard, le package est créé !

Dans le dossier de sortie, nous avons bien un fichier ".intunewin" qui accompagne le fichier ".exe" utilisé comme source !

Le package est prêt. La suite va se passer dans Microsoft Intune !

Remarque : dans le cas présent, le package intunewin contient uniquement notre exécutable. Toutefois, pour le déploiement de certaines applications, il peut s'avérer nécessaire d'ajouter d'autres fichiers, notamment des scripts PowerShell.

V. Créer la stratégie d'application Intune

Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :

• intune.microsoft.com

Quand vous êtes prêt, suivez ces étapes :

1 - Cliquez sur "Applications" dans le menu situé à gauche de l'écran

2 - Cliquez sur "Toutes les applications"

3 - Cliquez sur le bouton "Ajouter" pour créer une nouvelle application

Puisque nous sommes dans "Toutes les applications", le menu latéral affiche une longue liste avec toutes les possibilités pour tous les systèmes supportés. Ici, nous devons sélectionner "Application Windows (Win32)".

La première étape consiste à charger le package intunewin. Suivez ces trois étapes :

1 - Cliquez sur "Sélectionner un fichier de package d'application".

2 - Pour l'option "Fichier de package d'application", chargez le fichier .intunewin.

3 - Validez via le bouton "OK".

Voilà, nous y sommes ! L'assistant de création d'une nouvelle application Intune est devant nous !

A. Informations sur l'application

La première étape consiste à renseigner les paramètres généraux de l'application, notamment son nom, une description, un éditeur, une version, une catégorie, etc... Ainsi qu'un logo. Il est recommandé de renseigner les informations et d'inclure un logo, car ce sont des données visibles dans le Company Portal / Portail d'entreprise.

Quand c'est fait, passez à l'étape suivant en cliquant sur le bouton "Suivant".

B. Programme : commande d'installation, commande de désinstallation, etc.

C'est probablement la partie de la configuration la plus touchy car vous devez indiquer les commandes d'installation et de désinstallation. C'est à vous d'effectuer les tests et recherches nécessaires pour trouver les bonnes commandes afin de pouvoir effectuer une installation silencieuse sur les appareils (afin d'automatiser l'installation en arrière-plan). Il convient de faire des tests en local pour ensuite indiquer les valeurs sur Intune.

Il y a des commutateurs populaires et cela dépend en partie du logiciel utilisé pour effectuer la compilation du logiciel. Pour l'installation silencieuse, ces commutateurs sont populaires et fréquents :

monfichier.exe /S
monfichier.exe /quiet
monfichier.exe /quiet /acceptTerms=1
monfichier.exe /q

Pour visualiser les commutateurs disponibles sur un fichier exécutable, vous pouvez essayer les méthodes ci-dessous où l'on va chercher à consulter l'aide. Néanmoins, c'est possible qu'aucune ne fonctionne (c'est le cas avec Notepad++ d'ailleurs) !

monfichier.exe /?
monfichier.exe /help
monfichier.exe --help

Pour trouver la bonne valeur, nous vous invitons également à :

• Consulter la documentation de l'éditeur du logiciel
• Consulter page ci-dessous qui recense les commandes d'installation de nombreux logiciels (EXE et MSI)
  • Liste des logiciels

Pour Notepad++, nous "avons de la chance" car il accepte le commutateur "/S" pour l'installation silencieuse.

Voici des instructions pour compléter le formulaire sur Intune :

• Commande d'installation : la commande à exécuter pour installer l'application

npp.8.6.Installer.x64.exe /S

• Commande de désinstallation : la commande à exécuter pour désinstaller l'application de l'appareil

"%ProgramFiles%\Notepad++\uninstall.exe" /S

• Temps d'installation requis (minutes) : nombre de minutes pendant lesquelles le système attend la fin de l'installation (par défaut : 60 minutes)
• Autoriser la désinstallation disponible : l'utilisateur peut-il désinstaller l'application via le Portail d'entreprise ?
• Comportement à l'installation : faut-il installer l'application au niveau machine afin de la rendre disponible pour tous les utilisateurs de la machine ou au niveau utilisateur (par session) ? Ici, ce sera au niveau du système (donc machine).
• Comportement de redémarrage du périphérique : ne pas redémarrer l'appareil, le redémarrer obligatoirement ou s'adapter à l'application. Ici, nous ne voulons pas que la machine redémarre à la fin de l'installation.

Ce qui donne :

Passez à l'étape suivante.

C. Exigences : les prérequis des appareils cibles

La section "Exigences" sert à définir les prérequis du système d'exploitation pour recevoir cette application. Puisque nous allons déployer la version 64 bits de Notepad++, vous devez cocher uniquement l'architecture "64 bits" et pour le système d'exploitation minimal, vous pouvez prendre "Windows 10 1607". Pour certaines applications, nous pourrions avoir besoin de sélectionner une version plus récente, mais là ce n'est pas le cas.

Même si nous n'allons pas utiliser cette fonctionnalité pour cette fois-ci, sachez que vous pouvez créer des règles spécifiques en cliquant sur le bouton "Ajouter". Ceci permet de vérifier une information dans le Registre ou sur le système de fichiers de la machine. Nous pouvons également exécuter un script de notre choix, ce qui pourrait permettre de vérifier tout ce que l'on veut sur la machine !

Passez à l'étape suivante.

D. Règles de détection

La section "Règles de détection" sert à expliquer à Intune Management Extension comment il doit repérer la présence de l'application sur l'appareil. En effet, si l'application est déjà installée, ce n'est pas nécessaire de la réinstaller. Mais, que faut-il regarder pour s'en assurer ? Nous pouvons créer une ou plusieurs règles.

Le plus simple, c'est de vérifier la présence de l'exécutable sur l'ordinateur, à un emplacement précis. Ici, nous allons cliquer sur le bouton "Ajouter" pour créer une règle de type "Fichier" permettant de vérifier la présence du fichier "C:\Program Files\Notepad++\notepad++.exe".

Nous pourrions aller plus loin afin qu'une règle vérifie le numéro de version indiqué dans les propriétés de l'exécutable. Ceci permettrait de voir si la bonne version est présente sur l'appareil (il y a plusieurs opérateurs de comparaison disponibles). Dans ce cas, il faudrait choisir "Chaîne (version)" comme "Méthode de détection" afin d'indiquer "8.6.0.0". Si une version inférieure est installée, l'application sera mise à jour vers la version plus récente (8.6).

E. Dépendances

La section "Dépendances" sert à ajouter un prérequis pour l'installation de cette application. En fait, ceci permet d'indiquer que cette application doit être installée après l'installation d'une ou plusieurs autres applications. Dans cet exemple, il n'y a pas de prérequis pour l'installation de Notepad++.

Passez cette étape.

F. Remplacement

La section "Remplacement" est utile lorsque l'application que l'on crée est une mise à jour d'une application existante, ou qu'elle doit la remplacer. Ici, nous partons de zéro : c'est la première application que nous déployons, donc nous pouvons considérer que nous ne sommes pas concernés.

Dans un prochain article, nous verrons comment effectuer des mises à jour d'applications via Intune.

G. Affectations

Pour finir, l'étape "Affectations" s'affiche à l'écran. Pour le déploiement des applications, nous avons "plus d'options" que pour l'affectation de stratégies. En effet, nous avons trois grands modes d'affectation :

• Obligatoire : force l'installation de l'application sur les appareils (de façon automatique grâce à notre commande d'installation)
• Disponible pour les appareils inscrits : l'application ne s'installe pas automatiquement sur les appareils, mais elle sera disponible via le Portail d'entreprise (Company Portal)
• Désinstaller : comme son nom l'indique, cette option permet de désinstaller l'application sur un ensemble de machines

Il y a également plusieurs options pour rendre disponible l'application à partir d'une date précise mais aussi pour imposer une échéance quant à l'installation de l'application.

Pour cette démonstration, nous allons rendre obligatoire l'installation de l'application sur toutes les machines du groupe "PC_Corporate".

H. Vérifier + créer

Pour finir, vérifiez l'ensemble de la configuration et cliquez sur "Créer" pour valider la création de l'application !

VI. Tester le déploiement de l'application

Suite à la synchronisation de l'appareil Windows 11, le système a pu récupérer les informations sur cette nouvelle stratégie. De ce fait, l'application a pu être téléchargée et installée. Elle est bien installée dans "C:\Programmes", ce qui la rend disponible pour tous les utilisateurs de cette machine.

Nous pouvons toujours consulter le fichier de log "IntuneManagementExtension.log" avec l'outil CMTrace pour analyser le comportement de la machine locale. Ceci sera particulièrement utile s'il y a une erreur d'installation. Dans le cas présent, tout s'est correctement déroulé.

D'ailleurs, nous pouvons voir "applicationDetected: False" dans les logs, ce qui signifie que l'application n'a pas été détectée donc elle a été installée puisqu'elle est obligatoire sur cet appareil.

Soyez patient, parfois les applications peuvent mettre du temps à "redescendre" sur les machines même lorsqu'il y a une synchronisation effectuée sur l'appareil.

VII. Conclusion

En suivant ce tutoriel rigoureusement, vous devriez être en mesure de déployer des applications au format "exécutable" sur vos appareils Windows ! L'étape la plus difficile consiste à identifier la bonne syntaxe pour les commandes d'installation et de désinstallation. D'autres articles seront mis en ligne sur le sujet du déploiement d'applications avec Microsoft Intune.

Note : le type de déploiement Win32 App peut être utilisé pour les applications au format EXE, mais pas uniquement puisqu'il est possible de packager un fichier MSI dans un paquet intunewin.

The post Intune – Comment déployer une application au format EXE ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment créer une stratégie Intune pour désactiver l'option "Interrompre les mises à jour" de Windows Update et qui est disponible sur Windows 10 et Windows 11.

Sans cette action de notre part, un utilisateur peut décider de suspendre les mises à jour pendant 1 semaine ou plusieurs semaines (maximum 5 semaines) sur sa machine Windows. Ce n'est pas souhaitable, car les administrateurs doivent garder le contrôle sur le comportement des appareils. Ainsi, grâce à cette GPO, un utilisateur ne pourra pas prendre la décision de désactiver temporairement les mises à jour.

Au sein du système d'exploitation, cette option se situe à l'emplacement suivant : Paramètres > Windows Update.

Si vous souhaitez désactiver cette option de Windows Update avec une GPO Active Directory, suivez ce tutoriel :

• GPO - Désactiver l’option "Interrompre les mises à jour" de Windows Update

II. Créer la stratégie Intune

A partir du Centre d'administration Microsoft Intune, nous allons créer une nouvelle stratégie dans les profils de configuration.

• Accéder au portail Intune

Cliquez sur "Appareils" dans le menu latéral, puis sur "Profils de configuration" afin de créer une nouvelle stratégie. Pour cela, cliquez sur "Créer" puis "Nouvelle stratégie".

Un panneau latéral apparaît sur la droite, choisissez "Windows 10 et ultérieur" comme plateforme puis choisissez "Catalogue des paramètres".

Commencez par donner un nom à ce profil de configuration, par exemple "Windows Update - Désactiver option "Interrompre les mises à jour". Vous pouvez en profiter pour ajouter une description avant de passer à la suite.

Ensuite, cliquez sur le lien "Ajouter des paramètres" (1), afin de rechercher le terme "pause" et valider avec le bouton "Recherche" (2). Ceci devrait vous permettre de sélectionner plus facilement la catégorie "Windows Update pour Entreprise" (3).

Sélectionnez le paramètre "Bloquer la fonctionnalité "Suspendre les mises à jour"" dans la liste des paramètres (4).

Sur la gauche, il ne vous reste plus qu'à activer ce paramètre pour qu'il passe sur le statut "Bloc" comme sur l'image ci-dessous.

Poursuivez la configuration... Dans cet exemple, la stratégie est affectée à tous les appareils mais vous pouvez sélectionner un groupe d'appareils.

Finalisez la création de la stratégie : le plus dur est fait !

III. Tester la configuration

Pour finir, connectez-vous sur une machine sur laquelle s'applique la stratégie afin de réaliser un test. Après avoir effectué la synchronisation, l'option "Interrompre les mises à jour" devrait être bloquée dans les paramètres de Windows Update.

Du côté du centre d'administration Intune, vous pouvez suivre le déploiement de cette stratégie en cliquant sur son nom. Ici, nous voyons bien que la stratégie s'est correctement appliquée sur un appareil.

IV. Conclusion

Voilà, grâce à ce paramètre de stratégie Intune, vous pouvez bloquer l'option "Interrompre les mises à jour" de Windows Update en quelques clics de souris.

The post Microsoft Intune – Désactiver l’option « Interrompre les mises à jour » de Windows Update first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à importer des modèles d'administration (ADMX) dans Microsoft Intune afin de pouvoir bénéficier de paramètres de configuration supplémentaires pour la création de stratégie !

Un modèle d'administration est représenté par un fichier au format ADMX et il fait référence aux fichiers utilisés pour la création de stratégies de groupe (GPO) en environnement Active Directory. Ceci signifie qu'un fichier ADMX utilisé pour créer une GPO peut également être importé dans Intune pour la création d'un profil de configuration.

Sachez que certains modèles d'administration sont déjà intégrés dans Intune, en plus de ce que l'on retrouve dans les modèles et dans le catalogue des paramètres. Pour en savoir plus et pour bien débuter avec Intune, nous vous invitons à regarder ces précédents articles (et vidéos) :

• Comment débuter avec Intune ?
• L'essentiel sur les profils de configuration Intune

Nous allons prendre l'application Mozilla Firefox comme exemple, mais cette procédure peut s'avérer utile pour d'autres applications populaires comme Zoom et Adobe Reader. La condition principale étant d'avoir à notre disposition un fichier ADMX correspondant à l'application que nous souhaitons configurer.

• Voir la vidéo sur YouTube

II. Prérequis et limites à connaître

Actuellement, cette fonctionnalité est en "public preview" mais elle fonctionne bien et elle est très pratique, alors elle mérite d'être connue dès maintenant ! Peut-être qu'au moment où vous lirez cet article, son statut aura évolué (vérifiez dans la documentation de Microsoft).

Quoi qu'il en soit, à ce jour, voici les prérequis et les limites à connaître en ce qui concerne l'importation d'un modèle ADMX dans Intune :

• Vous pouvez stocker au maximum 10 fichiers ADMX dans votre tenant
• Chaque fichier ADMX ne doit pas dépasser le poids suivant : 1 Mo
• Chaque fichier ADMX peut être associé à un seul fichier de langue (ADML)
• Actuellement, il n'y a qu'une seule langue prise en charge : l'anglais, ce qui signifie qu'il faudra utiliser le fichier ADML "en-US"
• Il y a des dépendances entre certains fichiers ADMX, donc s'il y en a plusieurs à importer, il faut le faire dans un ordre bien précis

Pour approfondir ce point, voici le lien vers la documentation Microsoft :

• Microsoft Learn - Import ADMX

III. Importer les ADMX Firefox dans Intune

Nous allons voir comment importer les ADMX de Firefox dans Intune. C'est un cas plutôt intéressant car Firefox est une application populaire mais aussi parce qu'il y a deux fichiers ADMX à importer, et qu'il y a une dépendance associée à ces fichiers.

A. Télécharger les modèles ADMX de Mozilla Firefox

Tout d'abord, nous devons récupérer les modèles d'administration à partir du GitHub officiel de Mozilla. Voici le lien :

• GitHub - Modèles d'administration Firefox

Une simple recherche sur le web permet de trouver cette page facilement. Ensuite, nous devons télécharger l'archive ZIP "policy_templates_v.5.6.zip" qui est la dernière version disponible à ce jour.

Ensuite, nous devons extraire le contenu de cette archive ZIP. C'est le répertoire "windows" qui nous intéresse plus particulièrement, car il contient l'ensemble des fichiers que nous devons importer dans Intune :

• firefox.admx
• mozilla.admx

Ainsi que les deux fichiers ADML présent dans le sous-répertoire "en-US" :

Maintenant, nous allons voir comment importer ces fichiers dans Intune.

B. Importer les modèles d'administration dans Intune

Connectez-vous au centre d'administration Intune, accessible à l'adresse suivante :

• intune.microsoft.com

Ensuite, cliquez sur "Appareils", sur "Profils de configuration" puis cliquez sur l'onglet "Importer ADMX". Cliquez sur "Importer" pour lancer l'assistant. Avant l'apparition de ce menu, il fallait employer une autre méthode pour importer un fichier ADMX, comme l'explique cet article du support Mozilla.

Avant d'aller plus loin, sachez que vous devez importer d'abord le fichier "mozilla.admx", puis ensuite le fichier "firefox.admx", sinon vous allez obtenir une erreur (une histoire de dépendance entre les deux fichiers !).

Nous devons commencer par sélectionner les fichiers "mozilla.admx" et "mozilla.adml", en cliquant sur l'icône bleu présent à l'extrémité de chaque ligne. Nous pouvons voir qu'à ce jour l'option "Spécifier la langue du fichier ADML" est grisée.

Passez à l'étape numéro 2 et validez...

Patientez pendant l'importation des fichiers.... Et n'hésitez pas à cliquer sur "Actualiser" pour rafraichir le statut visible dans la colonne "Etat".

Si vous obtenez bien le statut "Disponible", c'est tout bon ! Dans ce cas, répétez l'opération pour le modèle ADMX nommé "firefox.admx".

Au final, vous obtenez ceci :

Les modèles d'administration sont prêts à être utilisé dans une stratégie !

C. Créer une stratégie Mozilla Firefox dans Intune

Désormais, nous allons créer une nouvelle stratégie sous "Profils de configuration" et choisir le type de profil "Modèles". Ceci va permettre de vérifier que nous pouvons bien configurer les paramètres de Mozilla Firefox.

Ensuite, dans la liste des modèles, choisissez "Modèles d'administration importés (préversion)" et cliquez sur "Créer".

Ainsi, lorsque l'on va accéder à l'étape "Paramètres de configuration", nous pourrons accéder aux paramètres pour Firefox présents dans les modèles ADMX que nous avons importés. Nous avons bien accès aux paramètres utilisateur et ordinateur.

Libre à chacun de configurer les paramètres dont il a besoin... Dans la vidéo associée à cet article, ma démonstration porte sur la configuration de la page d'accueil de Mozilla Firefox, jusqu'à la vérification sur un appareil Windows 11.

IV. Conclusion

Grâce à ce tutoriel, vous savez comment importer et utiliser des modèles d'administration (ADMX) dans Intune !

Si vous avez une question ou un problème, n'hésitez pas à poster un commentaire ou à venir en discuter sur notre Discord.

The post Microsoft Intune – Comment importer des modèles d’administration (ADMX) ? first appeared on IT-Connect.

Organizations can dictate the appearance of the Windows taskbar for all computers in the network. This primarily involves pinning important applications. To do this, admins configure the apps for the taskbar in an XML file. This file can then be distributed to the end devices via GPO or Microsoft Intune.

The post Customizing and deploying the Windows 11 Taskbar with GPO or Intune first appeared on 4sysops.