Intune

Bouton "Réinitialiser"

image-1654623111069.png

Plus connu en anglais sous le terme "wipe".

En cliquant sur cette option sur un appareil et en ne cochant pas les deux cases :

image-1654623128620.png

L'appareil va être remis à zéro (paramètres d'usine).

Selon la documentation Microsoft, l'action sera lancée en moins de 15 minutes. https://docs.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe

"Réinitialiser" ne fonctionne pas

Si vous avez lancé une réinitialisation d'un poste Intune mais que le poste ne se réinitialise pas, il y a une astuce.

image-1654623783540.png

Rendez-vous sur l'appareil concerné dans Intune puis "Applications gérées".

image-1654623802619.png

Sélectionner une application installée :

image-1654623993874.png

Cliquer sur "Actualiser".

image-1654623986922.png

Ajouter le portail d'entreprise

https://docs.microsoft.com/en-us/mem/intune/apps/store-apps-company-portal-autopilot

On attribue ensuite des groupes d'appareils.

image-1654894967112.png

Configurer et déployer BitLocker via Intune

On se rend dans l'onglet "Sécurité du point de terminaison" et "Chiffrement du disque".

image-1654895034948.png

On crée une nouvelle stratégie.

image-1654895063417.png

 

image-1654895214132.png

image-1654895225162.png

image-1654895235263.png

 

 

Activer silencieusement BitLocker

Pour activer silencieusement BitLocker, il est nécessaire d'avoir des paramètres précis.
Il existe deux manières de le faire :

Dans le profil "Bitlocker" :

image-1654895322993.png

 

 

Dans le profil "Endpoint Protection" :

image-1654895491067.png

image-1654895577110.png

 

Configurer le papier peint par défaut

On crée un profil de configuration.

image-1654895921386.png

On rentre un lien accessible par le poste (Sharepoint, Internet, ...).

image-1654895964916.png

Ce paramètre est fonctionnel uniquement sur Windows 10/11 Enterprise ou Education.

Le papier peint ne pourra pas être changé par les utilisateurs.

Configurer le papier peint par défaut sur Windows 10 Pro

D'après la page précédente, il est impossible d'utiliser ce paramètre avec Windows 10, mais il est possible de faire autrement.
Tout d'abord, il nous faut un répertoire pour stocker l'image si elle n'est pas publique : blob, container, ...

Nous allons utiliser Sharepoint. On crée un site d'équipe avec une adresse du site court (pour éviter le soucis d'url trop longue Sharepoint).

image-1654897184046.png

On clique ensuite dessus et dans l'onglet "Stratégies" et "Partage externe" :

image-1654897250735.png

image-1654897303120.png

image-1654897315933.png

Il est important d'appliquer ces paramètres.

On se rend ensuite sur le SharePoint, on clique sur les paramètres et "Contenu du site".

image-1654897369192.png

On crée une application.

image-1654897398523.png

On clique sur "expérience classique".

image-1654897426982.png

On choisit "Bibliothèque d'images".

image-1654897460197.png

On lui donne un nom.

image-1654897476604.png

Si on souhaite définir un écran de verrouillage, on refait de même mais avec le nom "Lockscreens".

image-1654897517855.png

On clique sur "Wallpapers" et on rajoute notre image.

image-1654897812536.png

On sélectionne l'image puis "Partager".

image-1654897849288.png

On copie le lien et on le stocke sur un notepad (ou OneNote...).

image-1654897888356.png

On change la variable $url pour y mettre le lien précédemment copié.

Ensuite, il faut rajouter le script dans Intune.

image-1654905474136.png

image-1654965976225.png

image-1654905903175.png

Après une ou plusieurs minutes lors de l'ouverture de la session, le papier-peint sera changé. L'utilisateur pourra toujours le changer.

<# 
.SYNOPSIS
Allows you to set the backgroup on a Windows 10 device that isn't just Windows 10 Enterprise using Microsoft Intune

.DESCRIPTION
This script set background image using Microsoft Intune SideCar/Client PowerShell feature.

For what every reason Microsoft has restricted the Microsoft Intune CSP setting "DesktopImageUrl"
to Windows 10 Enterprise. The setting was introduced as part of the Personalization CSP in Windows 10 version 1703.
Several of my customers have enterprise edition but I also have some that only have Windows 10 Pro.

Some of the customers that have Windows 10 Enterprise, but upgrades from Windows 10 Pro as part of the Windows 10 Enterprise E3
license see that the background policy doesn't apply as expected or sporadic. I'm not sure whether this is
caused by a conflict or the fact that the "DesktopImageUrl" setting doesn't get re-applied after the upgrade
I am not sure. It does not seems to work as the customers expect, which should be the goal of this property.

For more information about the Windows 10 personalization CSP policy see this article:
https://docs.microsoft.com/da-dk/windows/client-management/mdm/personalization-csp

.NOTES
Author: Peter Selch Dahl from APENTO ApS
Website: http://www.APENTO.com
Last Updated: 11/17/2018
Version 1.0

#DISCLAIMER
The script is provided AS IS without warranty of any kind.

#>
#Open the folder en Windows Explorer under C:\Users\USERNAME\AppData\Roaming\CustomerXXXX
########################################################################################
$path = "C:\Intune"
$RegKeyPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP"
$DesktopPath = "DesktopImagePath"
$DesktopStatus = "DesktopImageStatus"
$DesktopUrl = "DesktopImageUrl"
$StatusValue = "1"

########################################################################################

If(!(test-path $path))
{
New-Item -ItemType Directory -Force -Path $path
}

$acl = get-acl $path
$acl.SetAccessRuleProtection($true,$true)
$acl | set-acl
$acl = get-acl $path
$AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule('utilisateurs authentifiés', "ReadAndExecute", 'ObjectInherit, ContainerInherit',"none", "Allow")
$acl.SetAccessRule($AccessRule)
$acl | Set-Acl

$url = ""
$output = $path + "\wallpaper.png"
Start-BitsTransfer -Source $url -Destination $output


########################################################################################

if (!(Test-Path $RegKeyPath))
{
Write-Host "Creating registry path $($RegKeyPath)."
New-Item -Path $RegKeyPath -Force | Out-Null
}

New-ItemProperty -Path $RegKeyPath -Name $DesktopStatus -Value $StatusValue -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name $DesktopPath -Value $output -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name $DesktopUrl -Value $output -PropertyType STRING -Force | Out-Null

rundll32.exe user32.dll, UpdatePerUserSystemParameters

########################################################################################

L'utilisateur ne pourra pas changer le fond d'écran.

Le script ne s'exécutera qu'une seule fois. Si vous souhaitez le relancer sur tous les appareils, il faut réimporter le script dans Intune.

Configurer les mises à jour Windows

Créer les anneaux de mises à jour

Dans le portail :

image-1655047193991.png

image-1655047281868.png

image-1655047951313.png

Il faut adapter les heures d'activités. Ici, les mises à jour s'installeront entre 17h et 8h du matin. Le poste pourra redémarrer en dehors des heures d'activités. L'utilisateur pourra retarder les mises à jour de 15 jours pour les majeures (21H1 vers 21H2 par exemple), et de 2 jours pour les mises à jour de qualité (cumulative par ex).

Egalement, les mises à jour seront déployées avec un délai de 2 jours pour les màj de qualité et de 10 jours pour les mises à jour de fonctionnalités.

 

 

Activer et configurer l'optimisation de la livraison

image-1655048150910.png

image-1655048170727.png

image-1655048830695.png

image-1655048838946.png

 

 

Configurer OneDrive

Cela permet la perte de données.


On crée un profil de configuration.

image-1655059932448.png

 

image-1655059949884.png

image-1655060077738.png

On entre ici l'ID de notre tenant. Il peut être trouvé dans l'accueil d'Azure, Propriétés.

image-1655060119879.png

On cherche ensuite "Limiter le taux de chargement de l’application de synchronisation à un pourcentage du débit" que l'on fixe à 30%.

image-1655060434031.png

On cherche "Empêcher les utilisateurs de synchroniser leurs comptes OneDrive personnels" (cliquez sur "Configuration de l'utilisateur").

image-1655060914984.png

On active.

On cherche ensuite Déplacer de manière silencieuse les dossiers connus de Windows vers OneDrive (2.0) :

image-1655061009809.png

On rentre à nouveau l'ID de notre tenant.

image-1655061042416.png

Au même endroit, on active la première "Connecter silencieusement les utilisateurs à l'application de synchronisation OneDrive avec leurs informations d'identification Windows".

image-1655061128123.png


On active les Fichiers à la demande OneDrive.

image-1655061490152.png

Je définis à tous les appareils, mais on peut filtrer.

image-1655061541799.png

Si vous avez des utilisateurs qui ont les fichiers d'Outlook dans "Mes Documents", il est préférable de mettre en place la stratégie suivante : "Inviter les utilisateurs à déplacer des dossiers Windows connus vers OneDrive". 

image.png

image-1655319636601.png

Puisqu'un autre paramètre redirige automatiquement les dossiers, les utilisateurs ne verront pas la fenêtre.  Cependant, elle s'affichera s'il y a un problème : 

image-1655319595357.png



Déployer des applications via Intune

On commence par télécharger l'outil de conversion : microsoft/Microsoft-Win32-Content-Prep-Tool: A tool to wrap Win32 App and then it can be uploaded to Intune (github.com)

L'outil peut être utilisé en ligne de commande via PowerShell ou CMD, ou on peut l'ouvrir et spécifier les arguments un par un.
En CLI : IntuneWinAppUtil -c <setup_folder> -s <source_setup_file> -o <output_folder> <-q>

Prenons exemple des VMware Tools.

Dans un dossier, on y déplace l'outil de Microsoft. On y crée un dossier "VMware-Tools" et on ajoute le .MSI pour installer VMware-Tools.

image-1655063528584.png

On lance l'outil via cmd ou powershell (on se place dans le dossier) et on spécifie les chemins.

image-1655063808812.png

Via un invité de commande, on se rend dans le dossier, dans mon cas :

cd C:\Intune-W32Tool
IntuneWinAppUtil -c C:\Intune-W32Tool\VMware-Tools -s C:\Intune-W32Tool\VMware-Tools\VMware-tools-12.0.5-19716617-x86_64.exe -o C:\Intune-W32Tool\VMware-Tools\Intune -q

image-1655064118812.png

Dans le portail Endpoint (d'Intune), on se rend dans "Applications" et "Ajouter".

image-1655064165400.png

image-1655064185204.png

On spécifie notre fichier généré précédemment. 

image-1655064220644.png

image-1655064265915.png

image-1655064972835.png

On ajoute une règle de détection à l'onglet suivant.

image-1655065240449.png

 

 

 

Configurer le connecteur Google Play

On se rend dans "Appareils" et "Android".

https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesAndroidMenu/androidEnrollment

image-1655147735002.png

image-1655147744344.png

On crée un compte "pour gérer mon entreprise" et on se connecte.

image-1655148494281.png

image-1655148504707.png

image-1655148542556.png

image-1655148569121.png

Deployer Edge

Sous "Applications", on ajoute Edge.

image-1656166427488.png

image-1656166436543.png

image-1656166448539.png

image-1656166463823.png

 

 

 

Configurer Edge

On crée un profil de configuration pour Windows 10 et "Modèles d'administration".

image-1656166546404.png

image-1656166574185.png

On configure la page d'accueil.

image-1656166983238.png

On change les pages à ouvrir au démarrage : 

image-1656167041649.png

image-1656167165399.png

 

 

 

Ajouter le raccourci du portail d'entreprise sur le bureau de l'utilisateur

Pour ajouter un raccourci sur le bureau de l'utilisateur du portail d'entreprise, on peut utiliser le script suivant :

scripts/powershell/PortailEntreprise.ps1 at main · Khroners/scripts (github.com)

Pensez à modifier la ligne 1 avec le nom de votre Tenant après "OneDrive -".

On crée un package intunewin via l'outil de Microsoft, que l'on ajoute en tant qu'application Win32.

image.png

La ligne de commande à utiliser :

Powershell.exe -NoProfile -ExecutionPolicy ByPass -File .\CompanyPortalBureau.ps1

Pour les exigences, on utilise un script PowerShell :

image.png

scripts/powershell/CompanyPortalDetection.ps1 at main · Khroners/scripts (github.com)

Pour la règle de détection, on utilise la suivante :

image.png

C:\Users\%username%\OneDrive - MSFT\Bureau

 

Restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise

Pour restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise, on se rend à la page suivante:

https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesEnrollmentMenu/~/deviceTypeEnrollmentRestrictions

image.png

Quand on laisse la case de gestion de l'appareil lors de la connexion :

image.png

Le compte est cependant connecté, sans être Entra ID Registered.

En la décochant et en cliquant sur OK :

image.png

Le PC devient Entra ID Registered.

image.png