Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[SCCM/Intune] CHANGEMENT : Rendre les périphériques sans stratégie de conformité, non conformes en mode hybride

Microsoft a publié un changement (MC144243) sur la gestion des périphériques mobiles (MDM) en mode hybride avec System Center Confguration Manager et Microsoft Intune dans le Message Center du portail Office 365.

L’administrateur peut spécifier qu’un périphérique sans stratégie de conformité doit être marqué comme non conforme et ainsi se voir bloquer l’accès aux ressources de l’entreprise. Cette configuration avait déjà été proposé aux entreprises utilisant Microsoft Intune en mode autonome.

La fonctionnalité n’est pas activée par défaut et l’administrateur doit choisir explicitement de le faire dans le portail Intune dans Microsoft Azure. Si la fonctionnalité est activée et que le périphérique ne se voit pas assigner de stratégie de conformité alors il sera marqué comme non conforme et perdra l’accès aux ressources de l’entreprise telles que les emails, SharePoint, etc.

Microsoft fournit une requête SQL qui permet de déterminer l’impact sur votre environnement en listant les machines qui ne sont pas ciblées par une stratégie de conformité :

IF OBJECT_ID('tempdb..#DeviceTypeToOS', 'U') IS NOT NULL
DROP TABLE #DeviceTypeToOS;
CREATE TABLE #DeviceTypeToOS
  (
    AgentEdition int,
    tmpOSName nvarchar(100),
    tmpCISubType nvarchar(100),
  )

Insert into #DeviceTypeToOS (AgentEdition, tmpOSName, tmpCISubType)
Values
(1, 'Windows Phone', ''),
(4, 'Windows Phone', ''),
(7, 'Windows Phone', ''),
(8, 'iOS', 'iPhone'),
(9, 'iOS', 'iPad'),
(10, 'iOS', 'iPhone'),
(11, 'Android', 'Android'),
(14, 'MacMDM', 'Mac'),
(15, 'Windows', 'Holographic'),
(17, 'Android', 'AndroidForWork')

Select CDR.Name AS DeviceName, CDR.DeviceOS, CDR.SiteCode, CDR.LastActiveTime, CDR.ManagementAuthority, CDR.SMSID, CDR.SerialNumber, CDR.IMEI  from vSMS_CombinedDeviceResources CDR
WHERE
CDR.ManagementAuthority = 1
AND CDR.IsObsolete != 1
AND CDR.MachineID NOT IN (
                            SELECT
                            devData.ItemKey
                            FROM System_DISC devData
                            INNER JOIN UserMachineRelation UMR ON devData.ItemKey = UMR.MachineResourceID
                            INNER JOIN User_DISC usrDisc ON usrDisc.Unique_User_Name0 = UMR.UniqueUserName
                            INNER JOIN MDMUserPolicyAssignment userPol ON userPol.UserID = usrDisc.CloudUserID
                            INNER JOIN CI_CIAssignments cias ON cias.Assignment_UniqueID = userPol.PolicyID
                            INNER JOIN CI_AssignmentTargetedCIs ciatc ON ciatc.AssignmentID = cias.AssignmentID
                            INNER JOIN CI_ConfigurationItemRelations cirs ON cirs.FromCI_ID = ciatc.CI_ID
                            INNER JOIN CI_CICategories ciCatg ON ciCatg.CI_ID = ciatc.CI_ID
                            INNER JOIN CI_CategoryInstances catgInst ON catgInst.CategoryInstanceID = ciCatg.CategoryInstanceID
                            INNER JOIN CI_ConfigurationItems cis ON cirs.ToCI_ID =  cis.CI_ID
                            INNER JOIN SupportedPlatforms supPlat ON cis.CI_UniqueID = supPlat.CI_UniqueID
                            INNER JOIN #DeviceTypeToOS typToOS ON typToOS.AgentEdition = devData.AgentEdition0
                            WHERE
                            devData.ManagementAuthority = 1  
                            AND devData.Active0 = 1
                            AND cias.AssignmentEnabled = 1
                            AND cis.IsEnabled = 1
                            AND catgInst.CategoryInstance_UniqueID = 'SettingsAndPolicy:SMS_CompliancePolicySettings'
                            AND cis.CIType_ID = 14
                            AND (devData.AgentEdition0 = 1 OR supPlat.OSPlatform = typToOS.tmpOSName)
                            AND [dbo].[fn_StringToVersion](ISNULL(devData.Client_Version0, '0.0.0.0')) BETWEEN [dbo].[fn_StringToVersion](supPlat.OSMinVersion) AND [dbo].[fn_StringToVersion](supPlat.OSMaxVersion)
                            AND ((devData.AgentEdition0 = 1 AND ((devData.CPUType0 like '%64%' AND cis.CI_UniqueID like '%64%' ) OR (devData.CPUType0 like '%86%' AND cis.CI_UniqueID like '%86%' ))) OR (devData.AgentEdition0 != 1 AND cis.CI_UniqueID like '%' + typToOS.tmpCISubType + '%')))

Ensuite, vous pouvez créer une stratégie de conformité pour les périphériques renvoyées et la déployer sur une collection d‘utilisateurs qui inclut le propriétaire du périphérique. Une fois la stratégie crée et active, vous pouvez réexécuter la requête pour valider qu’il n’y a plus de périphériques concernés. Vous pouvez ensuite activer la fonctionnalité : https://aka.ms/compliance_policies

Facebook Like
Anonymous