Yohann CRANSAC
Expert Microsoft SCCM / Practice Manager
Qu’est que la Proactive Remediation de Endpoint Analytics ?
Les corrections proactives font partie de la nouvelle fonctionnalité de Microsoft Endpoint Manager Endpoint Analytics.
Les corrections proactives vous permettent de détecter et de résoudre les problèmes d’assistance courants sur l’appareil d’un utilisateur. Cela vous permet également de programmer des scripts à exécuter sur tous vos appareils à une certaine heure (toutes les heures ou tous les jours) ou de les exécuter une seule fois.
La remédiation proactive est vraiment une nouvelle fonctionnalité intéressante dans l’espace de gestion moderne. Cela nous permet d’être inventifs et proactifs sur la fidélisation de nos clients. Si vous avez actuellement vos scripts de support ou vos éléments de configuration dans Configuration Manager, c’est la fonctionnalité qui vous permet de déplacer cette fonctionnalité vers le Cloud Intune.
Configuration requise (Intune)
- Les appareils doivent être inscrits dans Endpoint Analytics (Donc dans Intune ou Co-Managé avec MECM)
- Les appareils doivent être joints à Azure AD ou à Hybrid AD
- Appareil Windows 10 Entreprise ou Éducation géré par Intune
- EMS E3 ou E5
- La stratégie d’exécution de PowerShell ne peut pas être définie sur Restricted ou AllSigned.
Exemple d’un Package de Remediation pour Backuper les clé BitLocker sur Azure AD et Intune.
Package de Remediation :
On peut voir Ici, qu’il y a 2 scripts :
Ici, les 2 script :
- Un pour la partie Detection
- Celui-ci va détecter si BitLocker est activé sur le poste et vérifié si une clé de registre custom est présente (La clé permet de savoir si la clé BitLocker a été précédemment backuper sur Azure AD)
- Le deuxième pour la partie Remediation
- Si la détection est en échec (With issue), le script de remédiation s’appliquera sur le poste et lancera la commande PowerShell qui permet le Backup des clé BitLocker sur Azure AD et Intune.
- Le script créera après le Backup des clé BitLocker, une clé de registre Custom qui permettra d’identifier pour la prochaine détection que la clé BitLocker est bien Backuper sur Azure AD.
Ci-dessous, les codes des 2 scripts PowerShell.
Detection :
#Get BitLocker is Enable
$BitLockerOSVolume = Get-BitLockerVolume -MountPoint $env:SystemRoot
if (($BitLockerOSVolume.VolumeStatus -like « FullyEncrypted ») -and ($BitLockerOSVolume.KeyProtector.Count -eq 2))
{
Write-Output « Bitlocker is Enable »
#Get if BitLocker Recovery Key is To AAD in Registry
$RegKeyPath = (Get-ItemProperty -Path « HKLM:\SOFTWARE\ECC\ »).BitLockerRecoveryKey
If($RegKeyPath -eq $null -or $RegKeyPath -ne ‘BackupToAAD’)
{
Write-Output « Bitlocker Recovery Key is Not To AAD »
Exit 1
}
Else
{
Write-Output « Bitlocker Recovery Key is Add To AAD »
Exit 0
}
}
Else
{
Write-Output « Bitlocker is Disable »
Exit 0
}
Remediation :
#Backup Recovery Key To AAD
$BLV = Get-BitLockerVolume -MountPoint « C: » | select *
BackupToAAD-BitLockerKeyProtector -MountPoint « C: » -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId
#Set Registry Key
Write-Output « Add Registry Key for BitLocker Recovery Key add to AAD «
$RegistryPath = « HKLM:\SOFTWARE\ECC »
$Name = « BitLockerRecoveryKey »
$Value = « BackupToAAD »
IF(!(Test-Path $RegistryPath))
{
New-Item -Path $RegistryPath -Force
New-ItemProperty -Path $RegistryPath -Name $name -Value $value -PropertyType STRING -Force
}
ELSE {
New-ItemProperty -Path $RegistryPath -Name $name -Value $value -PropertyType STRING -Force
}
Write-Output « Done »
Commentaires récents