Azure

• Utiliser DKIM avec Exchange Online (Office 365)
• Utiliser DMARC avec Exchange Online (Office365)
• Enregistrements DNS pour Office 365
• Azure Active Directory
• Création d'un nom de domaine personnalisé
• Azure AD Connect
• Activer l'authentification unique Azure AD
• Usage Location
• Hybrid Azure AD Join
• Activer l'inscription automatique dans Intune
• Recréer l'objet Ordinateur AzureADSSOACC
• Synchroniser dans Azure uniquement les membres d'un groupe
• Activer la synchronisation des mots de passe entre Azure AD et l'AD local
• Personnel vs Entreprise, Registered vs Azure AD joined
• Différences entre l'authentification unique à l’aide d’un jeton d’actualisation principal ou authentification unique fluide (Seamless SSO)
• Ajouter un suffixe UPN pour la synchronisation Azure AD
• Rester connecté à toutes vos applications
• Enterprise State Roaming
• Ajouter un administrateur local d'appareils joints à Azure AD (AAD Joined)
• Limiter le nombre d'appareils par utilisateur
• Supprimer un groupe orphelin issu d'un domaine local
• Empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD)
• Intune
• Bouton "Réinitialiser"
• "Réinitialiser" ne fonctionne pas
• Ajouter le portail d'entreprise
• Configurer et déployer BitLocker via Intune
• Activer silencieusement BitLocker
• Configurer le papier peint par défaut
• Configurer le papier peint par défaut sur Windows 10 Pro
• Configurer les mises à jour Windows
• Activer et configurer l'optimisation de la livraison
• Configurer OneDrive
• Déployer des applications via Intune
• Configurer le connecteur Google Play
• Deployer Edge
• Configurer Edge
• Ajouter le raccourci du portail d'entreprise sur le bureau de l'utilisateur
• Restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise
• Accès conditionnel
• Exiger le MFA pour les administrateurs

Utiliser DKIM avec Exchange Online (Office 365)

Pour utiliser DKIM avec Office 365 via Exchange Online, il faut ajouter des enregistrements DNS. On se rend ici :

https://security.microsoft.com/dkimv2

On choisit notre domaine (khroners.fr) puis "Créer des clés DKIM".

On ajoute ces deux enregistrements DNS. Il s'agit ici de CNAME. Les enregistrements DKIM sont stockés sur les serveurs DNS de Microsoft.

Exemple avec OVH :

On clique pour activer.

Un délai est nécessaire. Pour moi, 3 minutes ont suffit.

Utiliser DMARC avec Exchange Online (Office365)

Pour utiliser DMARC avec Office 365 via Exchange Online, il faut avoir ajouter le SPF et le DKIM.

On créer ensuite un enregistrement DNS :

_dmarc.khroners.fr. TXT "v=DMARC1; p=quarantine; sp=reject"

On peut envoyer les rapports agrégés à une adresse mail en rajoutant rua=mailto:dmarc_rua@khroners.fr (remplacez dmarc_rua par un autre nom correspondant à une boite aux lettres existante).

On peut envoyer les rapports d'investigation numérique en rajoutant ruf=mailto:dmarc_ruf@khroners.fr (remplacez dmarc_ruf par un autre nom correspondant à une boite aux lettres existante).

p correspond à la politique. Avec "reject", les mails sont refusés. Avec "quarantine", ils sont placés dans le dossier "Courrier indésirables" ou "Spam".

Si vous ne voulez pas que des sous-domaines envoient des mails, rajoutez "sp=reject".

 

On peut tester avec ce site :

https://mxtoolbox.com/dmarc.aspx?referrer=dmarctools-content

Enregistrements DNS pour Office 365

https://portal.office.com/adminportal/home#/Domains/Wizard

Choix 1 : changer les nameservers de notre domaine et importer les anciens enregistrements DNS automatiquement

Cette option va changer les NS (nameservers) pour ceux de Microsoft. Microsoft va également importer les enregistrements de l'ancien domaine.

Il est possible que Microsoft ne les importe pas tous. On peut les rajouter à l'étape "Ajouter les enregistrements de votre site web". 

Pensez à rajouter des enregistrements s'il en manque.

Choix 2 : ajouter manuellement les enregistrements DNS

 

 

On ajoute manuellement ces enregistrements. Pour OVH, c'est ici : https://www.ovh.com/manager/web/#/zone/votre_domaine

Une fois ajouté, on clique sur "Continuer".

Azure Active Directory

Création d'un nom de domaine personnalisé

Dans "Azure Active Directory", on sélectionne "Noms de domaine personnalisé".

On clique sur "Ajouter un domaine personnalisé".

On nous demande d'ajouter un enregistrement TXT dans notre bureau d'enregistrement de noms de domaine, dans mon cas OVH.

Ce qui donne pour OVH :

On clique ensuite sur "Vérifier".

Le nom de domaine est vérifié.

On peut le définir comme domaine par défaut.

Azure AD Connect

On télécharge Azure AD Connect. On utilise la configuration rapide.

On se connecte via un compte avec le rôle Administrateur général.

On se connecte ensuite à l'AD DS local.

On installe ensuite.

Activer l'authentification unique Azure AD

---

Présentation

L'authentification unique permet aux utilisateurs d'être automatiquement connectés aux applications via leur compte AD.

Cela peut être nécéssaire lorsque les ordinateurs ne sont pas joints en mode hybride (Active Directory Joined).

---

Activation de l'authentification unique

Dans Azure AD Connect (application sur le serveur), on choisit "Connexion utilisateur" puis on coche "Activer l'authentification unique" avec "Synchronisation de hachage du mot de passe". (choisie par défaut) On peut également choisir "Authentification directe" si on a besoin de stratégies de compte locales.

Avec l'authentification directe (PTA), si le contrôleur de domaine est inaccessible (DC non fonctionnel, réseau interrompu...), l'authentification ne fonctionnera pas. Pour contrer cela, on peut ajouter des agents sur d'autres réseaux où un contrôleur de domaine répliqué est présent ; ou activer la synchronisation de hachage du mot de passe en modifiant les options après installation, et de basculer manuellement l'authentification vers ce mode quand le contrôleur de domaine est indisponible. Pour plus d'informations, cliquez ici.

Il faut ensuite ajouter une stratégie de groupe.

Configuration utilisateur > Stratégie > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Onglet Sécurité

On ajoute ici https://autologon.microsoftazuread-sso.com .

On applique ensuite cette GPO à l'OU contenant nos utilisateurs.

On ajoute aussi : 

Voir : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature

Tests

Via un compte utilisateur, on se rend sur https://myapps.microsoft.com/lab.khroners.fr (remplacez le domaine par le votre).

Il est recommander de substituer la clé de déchiffrement Kerberos du compte d'ordinateur "AZUREADSSO" au moins tous les 30 jours. https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso-faq#comment-puis-je-substituer-la-cl--de-d-chiffrement-kerberos-du-compte-d-ordinateur---azureadsso----

Usage Location

Dans Synchronization Rules Editor, on crée un règle Inbound.

Dans la prochaine page, on clique sur "Suivant". Idem sur la suivante.

 

Hybrid Azure AD Join

https://www.orbid365.be/hybrid-azure-ad-join-p1/

https://docs.microsoft.com/fr-fr/azure/active-directory/devices/hybrid-azuread-join-managed-domains#configure-the-local-intranet-settings-for-device-registrationhttps://www.orbid365.be/hybrid-azure-ad-join-p1/

Dans Azure AD Connect, on modifie les options d'appareil et on configure Hybrid Azure AD Joined en ajoutant le SCP. Si on veut faire un déploiement ciblé, on ne configure pas le SCP en cliquant simplement sur suivant. (Targeted deployments of hybrid Azure AD join - Microsoft Entra | Microsoft Learn)

Dans Azure AD Connect, on choisit "Options d'appareils", on active le mode hybride et on ajoute notre SCP pour le domaine.

Il faut également que les appareils soient synchronisés.

Si vous ne synchronisez pas tous les objets automatiquement, mais uniquement des objets membres d'un groupe précis ou placés dans une OU précise, il faut que les PC y soient membres.

Pour le déploiement ciblé : Targeted deployments of hybrid Azure AD join - Microsoft Entra | Microsoft Learn

Une simple GPO ordinateur comme celle-ci :

On vérifie sur un poste via la commande :

dsregcmd /status

On peut forcer la jonction via :

dsregcmd /join

Le compte Windows de l'utilisateur s'ajoute automatiquement dans les comptes utilisés par d'autres applications. 

 

L'écran de connexion de l'utilisateur sera différent :

Activer l'inscription automatique dans Intune

https://docs.microsoft.com/en-us/mem/intune/enrollment/windows-enroll#enable-windows-10-automatic-enrollment

Dans le cas de PC Hybrid AD Joined, il faut créer une GPO Ordinateur :

Inutile de remplir l'ID d'application dans notre cas.

Recréer l'objet Ordinateur AzureADSSOACC

Voici la liste des commandes Powershell à exécuter (une par une!) :

cd 'C:\Program Files\Microsoft Azure Active Directory Connect\'
Import-Module .\AzureADSSO.psd1
New-AzureADSSOAuthenticationContext
Get-AzureADSSOStatus
Enable-AzureADSSOForest
Enable-AzureADSSO -Enable $true

Synchroniser dans Azure uniquement les membres d'un groupe

Dans les options d'Azure Active Directory Connect (AADC), on peut filtrer par domaine/unité d'organisation ou encore par utilisateurs et appareils.

Pour filtrer avec un groupe, on modifie les options d'AADC et on définit le groupe dont font parti les utilisateurs & appareils à synchroniser.

Dans mon cas, il se nomme "GG-O365-Sync" (GG pour Groupe Général, O365 pour Office365 et Sync pour Synchronisation).

Si vous voulez synchroniser un groupe ou un utilisateur, il faudra alors qu'il soit membre du groupe.

Activer la synchronisation des mots de passe entre Azure AD et l'AD local

Dans le cas où un utilisateur change son mot de passe dans Azure (Office365 par exemple), son mot de passe ne sera pas synchroniser dans l'AD local par défaut. Cela est obligatoire (pas techniquement) si vous activez le SSPR (Réinitialisation autonome du mot de passe, a.k.a Mot de passe oublié)

Pour cela, il existe une fonction à activer dans Azure Active Directory Connect (AADC) nommé "Réécriture du mot de passe" ou en anglais "Password Writeback".

Désormais, un utilisateur qui change son mot de passe dans Office365 verra son mot de passe local changé.

Personnel vs Entreprise, Registered vs Azure AD joined

Personnel

Azure AD joined uniquement

Entreprise

Hybrid joined, Autopiloted ou changé manuellement en entreprise

 

Azure AD registered

Sans cliquer sur une des deux options en bas.

ou

Sans cocher. Le compte apparaitra dans "Accès scolaire ou professionnel". Avec "This app only", il n'apparaitra pas.

Azure AD Joined 

En cliquant sur la première option.

Ensuite on nous demande de se connecter au poste avec notre compte Azure AD.

Différences entre l'authentification unique à l’aide d’un jeton d’actualisation principal ou authentification unique fluide (Seamless SSO)

Le Seamless SSO (authentification unique fluide) est utilisé pour les postes uniquement joint au domaine Active Directory local. 

Le SSO via PRT (authentification unique à l’aide d’un jeton d’actualisation principal) est utilisé pour les postes joints Azure AD, Azure AD registered ou Hybrid Azure AD joined (inscrits via Ajouter un compte professionnel ou scolaire).

Plus d'informations ici.

Ajouter un suffixe UPN pour la synchronisation Azure AD

Etape 1 : rajouter un suffixe UPN

L'UPN principal de mon AD est ad.khroners.fr. On va rajouter khroners.fr.
Dans "Domaines et approbations Active Directory", :

Etape 2 : modifier l'UPN de tous nos utilisateurs via PowerShell

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*ad.khroners.fr'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@ad.khroners.fr","@khroners.fr"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Pensez à remplacer khroners.fr par votre domaine.

On vérifie : 

Rester connecté à toutes vos applications

Enterprise State Roaming

Enterprise State Roaming permet de synchroniser les paramètres et les données d'applications sur différents appareils. C'est le cas par défaut pour un compte Microsoft "personnel". 

Ajouter un administrateur local d'appareils joints à Azure AD (AAD Joined)

Dans le portail d'Azure, on se rend dans "Appareils" puis "Paramètres de l'appareil".

On y ajoute un utilisateur.

 

 

Limiter le nombre d'appareils par utilisateur

Dans le portail d'Azure, on clique sur "Appareils" puis "Paramètres de l'appareil".

On limite le nombre en bas.

Supprimer un groupe orphelin issu d'un domaine local

En cas de groupe synchronisé depuis un domaine Active Directory local qui n'est plus disponible, il est nécessaire de passer par PowerShell pour le supprimer. On remplace "DisplayName" par le nom du groupe à supprimer.

Install-Module -Name MSOnline
Connect-MsolService
Get-MsolGroup
Get-MsolGroup -SearchString "DisplayName" | Remove-MsolGroup

Empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD)

Pour empêcher les utilisateurs de joindre leur PC à Entra ID (Azure AD joined),

On se rend sur cette page : https://portal.azure.com/#view/Microsoft_AAD_Devices/DevicesMenuBlade/~/DeviceSettings/menuId~/null

On choisit "None" ou "Aucun" en français.

On peut également choisir un groupe d'utilisateurs.

Intune

Bouton "Réinitialiser"

Plus connu en anglais sous le terme "wipe".

En cliquant sur cette option sur un appareil et en ne cochant pas les deux cases :

L'appareil va être remis à zéro (paramètres d'usine).

Selon la documentation Microsoft, l'action sera lancée en moins de 15 minutes. https://docs.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe

"Réinitialiser" ne fonctionne pas

Si vous avez lancé une réinitialisation d'un poste Intune mais que le poste ne se réinitialise pas, il y a une astuce.

Rendez-vous sur l'appareil concerné dans Intune puis "Applications gérées".

Sélectionner une application installée :

Cliquer sur "Actualiser".

Ajouter le portail d'entreprise

https://docs.microsoft.com/en-us/mem/intune/apps/store-apps-company-portal-autopilot

On attribue ensuite des groupes d'appareils.

Configurer et déployer BitLocker via Intune

On se rend dans l'onglet "Sécurité du point de terminaison" et "Chiffrement du disque".

On crée une nouvelle stratégie.

 

 

 

Activer silencieusement BitLocker

Pour activer silencieusement BitLocker, il est nécessaire d'avoir des paramètres précis.
Il existe deux manières de le faire :

Dans le profil "Bitlocker" :

• Hide prompt about third-party encryption = Yes
• Alow standard users to enable encryption during Autopilot = Yes

 

 

Dans le profil "Endpoint Protection" :

• Warning for other disk encryption = Block.
• Allow standard users to enable encryption during Azure AD Join = Allow

 

Configurer le papier peint par défaut

On crée un profil de configuration.

On rentre un lien accessible par le poste (Sharepoint, Internet, ...).

Ce paramètre est fonctionnel uniquement sur Windows 10/11 Enterprise ou Education.

Le papier peint ne pourra pas être changé par les utilisateurs.

Configurer le papier peint par défaut sur Windows 10 Pro

D'après la page précédente, il est impossible d'utiliser ce paramètre avec Windows 10, mais il est possible de faire autrement.
Tout d'abord, il nous faut un répertoire pour stocker l'image si elle n'est pas publique : blob, container, ...

Nous allons utiliser Sharepoint. On crée un site d'équipe avec une adresse du site court (pour éviter le soucis d'url trop longue Sharepoint).

On clique ensuite dessus et dans l'onglet "Stratégies" et "Partage externe" :

Il est important d'appliquer ces paramètres.

On se rend ensuite sur le SharePoint, on clique sur les paramètres et "Contenu du site".

On crée une application.

On clique sur "expérience classique".

On choisit "Bibliothèque d'images".

On lui donne un nom.

Si on souhaite définir un écran de verrouillage, on refait de même mais avec le nom "Lockscreens".

On clique sur "Wallpapers" et on rajoute notre image.

On sélectionne l'image puis "Partager".

On copie le lien et on le stocke sur un notepad (ou OneNote...).

On change la variable $url pour y mettre le lien précédemment copié.

Ensuite, il faut rajouter le script dans Intune.

Après une ou plusieurs minutes lors de l'ouverture de la session, le papier-peint sera changé. L'utilisateur pourra toujours le changer.

<# 
.SYNOPSIS 
   Allows you to set the backgroup on a Windows 10 device that isn't just Windows 10 Enterprise using Microsoft Intune
 
.DESCRIPTION 
   This script set background image using Microsoft Intune SideCar/Client PowerShell feature.
   
   For what every reason Microsoft has restricted the Microsoft Intune CSP setting "DesktopImageUrl"
   to Windows 10 Enterprise. The setting was introduced as part of the Personalization CSP in Windows 10 version 1703.
   Several of my customers have enterprise edition but I also have some that only have Windows 10 Pro.

   Some of the customers that have Windows 10 Enterprise, but upgrades from Windows 10 Pro as part of the Windows 10 Enterprise E3
   license see that the background policy doesn't apply as expected or sporadic. I'm not sure whether this is 
   caused by a conflict or the fact that the "DesktopImageUrl" setting doesn't get re-applied after the upgrade 
   I am not sure. It does not seems to work as the customers expect, which should be the goal of this property.

   For more information about the Windows 10 personalization CSP policy see this article: 
   https://docs.microsoft.com/da-dk/windows/client-management/mdm/personalization-csp
        
.NOTES 
    Author: Peter Selch Dahl from APENTO ApS 
    Website: http://www.APENTO.com
    Last Updated: 11/17/2018
    Version 1.0

    #DISCLAIMER
    The script is provided AS IS without warranty of any kind.

#>
#Open the folder en Windows Explorer under C:\Users\USERNAME\AppData\Roaming\CustomerXXXX
########################################################################################
$path = "C:\Intune"
$RegKeyPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP"
$DesktopPath = "DesktopImagePath"
$DesktopStatus = "DesktopImageStatus"
$DesktopUrl = "DesktopImageUrl"
$StatusValue = "1"

########################################################################################

If(!(test-path $path))
{
      New-Item -ItemType Directory -Force -Path $path
}

$acl = get-acl $path
$acl.SetAccessRuleProtection($true,$true)
$acl | set-acl
$acl = get-acl $path
$AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule('utilisateurs authentifiés', "ReadAndExecute", 'ObjectInherit, ContainerInherit',"none", "Allow")
$acl.SetAccessRule($AccessRule)
$acl | Set-Acl

$url = ""
$output = $path + "\wallpaper.png"
Start-BitsTransfer -Source $url -Destination $output


########################################################################################

if (!(Test-Path $RegKeyPath))
{
	Write-Host "Creating registry path $($RegKeyPath)."
	New-Item -Path $RegKeyPath -Force | Out-Null
}

New-ItemProperty -Path $RegKeyPath -Name $DesktopStatus -Value $StatusValue -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name $DesktopPath -Value $output -PropertyType STRING -Force | Out-Null
New-ItemProperty -Path $RegKeyPath -Name $DesktopUrl -Value $output -PropertyType STRING -Force | Out-Null

rundll32.exe user32.dll, UpdatePerUserSystemParameters

########################################################################################

L'utilisateur ne pourra pas changer le fond d'écran.

Le script ne s'exécutera qu'une seule fois. Si vous souhaitez le relancer sur tous les appareils, il faut réimporter le script dans Intune.

Configurer les mises à jour Windows

Créer les anneaux de mises à jour

Dans le portail :

Il faut adapter les heures d'activités. Ici, les mises à jour s'installeront entre 17h et 8h du matin. Le poste pourra redémarrer en dehors des heures d'activités. L'utilisateur pourra retarder les mises à jour de 15 jours pour les majeures (21H1 vers 21H2 par exemple), et de 2 jours pour les mises à jour de qualité (cumulative par ex).

Egalement, les mises à jour seront déployées avec un délai de 2 jours pour les màj de qualité et de 10 jours pour les mises à jour de fonctionnalités.

 

 

Activer et configurer l'optimisation de la livraison

 

 

Configurer OneDrive

Cela permet la perte de données.

On crée un profil de configuration.

 

On entre ici l'ID de notre tenant. Il peut être trouvé dans l'accueil d'Azure, Propriétés.

On cherche ensuite "Limiter le taux de chargement de l’application de synchronisation à un pourcentage du débit" que l'on fixe à 30%.

On cherche "Empêcher les utilisateurs de synchroniser leurs comptes OneDrive personnels" (cliquez sur "Configuration de l'utilisateur").

On active.

On cherche ensuite Déplacer de manière silencieuse les dossiers connus de Windows vers OneDrive (2.0) :

On rentre à nouveau l'ID de notre tenant.

Au même endroit, on active la première "Connecter silencieusement les utilisateurs à l'application de synchronisation OneDrive avec leurs informations d'identification Windows".

On active les Fichiers à la demande OneDrive.

Je définis à tous les appareils, mais on peut filtrer.

Si vous avez des utilisateurs qui ont les fichiers d'Outlook dans "Mes Documents", il est préférable de mettre en place la stratégie suivante : "Inviter les utilisateurs à déplacer des dossiers Windows connus vers OneDrive". 

Puisqu'un autre paramètre redirige automatiquement les dossiers, les utilisateurs ne verront pas la fenêtre.  Cependant, elle s'affichera s'il y a un problème : 

Déployer des applications via Intune

On commence par télécharger l'outil de conversion : microsoft/Microsoft-Win32-Content-Prep-Tool: A tool to wrap Win32 App and then it can be uploaded to Intune (github.com)

L'outil peut être utilisé en ligne de commande via PowerShell ou CMD, ou on peut l'ouvrir et spécifier les arguments un par un.
En CLI : IntuneWinAppUtil -c <setup_folder> -s <source_setup_file> -o <output_folder> <-q>

Prenons exemple des VMware Tools.

Dans un dossier, on y déplace l'outil de Microsoft. On y crée un dossier "VMware-Tools" et on ajoute le .MSI pour installer VMware-Tools.

On lance l'outil via cmd ou powershell (on se place dans le dossier) et on spécifie les chemins.

Via un invité de commande, on se rend dans le dossier, dans mon cas :

cd C:\Intune-W32Tool
IntuneWinAppUtil -c C:\Intune-W32Tool\VMware-Tools -s C:\Intune-W32Tool\VMware-Tools\VMware-tools-12.0.5-19716617-x86_64.exe -o C:\Intune-W32Tool\VMware-Tools\Intune -q

Dans le portail Endpoint (d'Intune), on se rend dans "Applications" et "Ajouter".

On spécifie notre fichier généré précédemment. 

On ajoute une règle de détection à l'onglet suivant.

 

 

 

Configurer le connecteur Google Play

On se rend dans "Appareils" et "Android".

https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesAndroidMenu/androidEnrollment

On crée un compte "pour gérer mon entreprise" et on se connecte.

Deployer Edge

Sous "Applications", on ajoute Edge.

 

 

 

Configurer Edge

On crée un profil de configuration pour Windows 10 et "Modèles d'administration".

On configure la page d'accueil.

On change les pages à ouvrir au démarrage : 

 

 

 

Ajouter le raccourci du portail d'entreprise sur le bureau de l'utilisateur

Pour ajouter un raccourci sur le bureau de l'utilisateur du portail d'entreprise, on peut utiliser le script suivant :

scripts/powershell/PortailEntreprise.ps1 at main · Khroners/scripts (github.com)

Pensez à modifier la ligne 1 avec le nom de votre Tenant après "OneDrive -".

On crée un package intunewin via l'outil de Microsoft, que l'on ajoute en tant qu'application Win32.

La ligne de commande à utiliser :

Powershell.exe -NoProfile -ExecutionPolicy ByPass -File .\CompanyPortalBureau.ps1

Pour les exigences, on utilise un script PowerShell :

scripts/powershell/CompanyPortalDetection.ps1 at main · Khroners/scripts (github.com)

Pour la règle de détection, on utilise la suivante :

C:\Users\%username%\OneDrive - MSFT\Bureau

 

Restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise

Pour restreindre l'enrollement à Intune uniquement aux ordinateurs d'entreprise, on se rend à la page suivante:

https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesEnrollmentMenu/~/deviceTypeEnrollmentRestrictions

Quand on laisse la case de gestion de l'appareil lors de la connexion :

Le compte est cependant connecté, sans être Entra ID Registered.

En la décochant et en cliquant sur OK :

Le PC devient Entra ID Registered.

Accès conditionnel

Exiger le MFA pour les administrateurs

Dans l'accès conditionnel (portail Azure : https://portal.azure.com/#view/Microsoft_AAD_IAM/ConditionalAccessBlade/~/Overview), on crée une stratégie.

Activer le MFA pour votre compte actuel avant.

Attention, le compte actuel est exclu. Veuillez activer le MFA au préalable pour ce compte.