5 juillet 2024
Ce référentiel héberge des profils de configuration Microsoft Intune prédéfinis au format JSON pour Windows 10 et Windows 11 qui peuvent être importés dans Microsoft Intune. (https://intune.microsoft.com).
Les profils sont tous configurés à l'aide d'OMA-URI. Il y a plusieurs raisons à cette approche :
Chaque configuration peut être nommée selon la section et le nom fournis par CIS. PAR EXEMPLE : 1.1.1
Il est clair à quelle option CIS une configuration particulière s'adresse
Lorsque les recommandations du CIS changent, il sera facile d'apporter des modifications pour s'aligner sur la nouvelle recommandation.
Les OMA-URI permettent une « description ». Cette description peut être utilisée pour noter les configurations qui diffèrent de CIS et fournir une raison pour la différence. Si vous utilisez des formulaires d'acceptation des risques (RAF) dans votre environnement, vous pouvez également noter un numéro RAF pour combler la différence.
De nombreux OMA-URI dans ces profils de configuration ne sont pas publiés par CIS. Les URI OMA ont été trouvés ici : https://learn.microsoft.com/en-us/windows/client-management/mdm/ Certaines options de configuration ont été trouvées en recherchant les fichiers de stratégie de groupe ADMX correspondants et en localisant leurs identifiants d'élément XML. Ceux-ci sont spécifiés à l'aide de la syntaxe SyncML comme documenté ici : https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy Si vous devez implémenter votre propres configurations, ouvrez le fichier admx (situé dans C:windowspolicydefintions) et localisez la stratégie et l'élément correspondant que vous souhaitez configurer et suivez la syntaxe.
Pour importer un profil :
Téléchargez ce script Powershell : IntuneConfiguration_ImportCustomConfig.ps1
Téléchargez le fichier de configuration JSON de votre choix (soit Win11, soit Win10)
Exécutez le script PowerShell
Entrez l'emplacement du fichier JSON lorsque vous y êtes invité
REMARQUE : Pour utiliser le nouveau script d'importation, vous devrez peut-être « Approuver » l'accès à l'application demandé. Cela se fait dans le portail Azure sous Applications d'entreprise -> Demandes de consentement de l'administrateur.
Nouveau script ajouté le 5 juillet 2024 avec plusieurs résultats d'audit.
Le modèle Windows 10 présente quelques lacunes que j'ai corrigées manuellement dans mon environnement. Veuillez vous référer aux résultats de l'audit pour voir s'il y a quelque chose que vous devriez aborder. Cette configuration s'exécute actuellement dans un environnement de production actif sans aucun problème.
Pour vérifier une configuration appliquée :
Ouvrez l'Observateur d'événements sur la machine sur laquelle la configuration a été déployée
Ouvrez "Journaux d'applications et de services"MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin"
Vérifiez toutes les entrées avec « Erreur »
Ignorer l’ID d’événement 2545 (checkNewInstanceData) : cela semble être un bogue Intune. Voir https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. Depuis le 23/01/2024, je ne vois plus cela dans mon déploiement.
Ignorez l’erreur faisant référence à « ./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version. Il s’agit d’une erreur attendue qui vous informe qu’Intune fonctionne correctement. Voir : https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/
Échecs de correction Intune pour les stratégies d’attribution de droits d’utilisateur qui appliquent une valeur vide. (2.2.1 à 2.2.30)
Peut signaler l'erreur « 0x87D1FDE8 » (échec de la correction). Malgré cette erreur, les stratégies vides sont appliquées correctement.
Cela semble être un problème avec les rapports Intune. Voir la "cause" mentionnée ici : https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112
Étant donné que les espaces sont spécifiés à l’aide de , Intune s’attend à recevoir cette valeur dans la réponse. Cependant, seul un « vide » est renvoyé à Intune, ce qui entraîne cette « erreur », même si la stratégie a été appliquée avec succès.
Ces stratégies vides peuvent être refactorisées dans une nouvelle stratégie (Protection des points de terminaison/Droits de l'utilisateur) qui n'utilise pas OMA-URI pour éviter cette erreur de rapport.
Firefox peut être difficile à utiliser avec les OMA-URI. J'ai créé une feuille de style pour rendre les choses beaucoup plus faciles et cela peut être vu dans la capture d'écran ci-dessus. Pour l'installer, allez dans le dossier "Extras" pour obtenir des instructions.
