Le titre peut paraître saugrenu étant donné que l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine dans Azure Active Directory est un mode de gestion moderne. Le but est bien d’utiliser un mode d’enregistrement fait par l’utilisateur pour intégrer automatiquement la machine dans une solution de gestion de périphériques mobiles et transformer le mode de gestion en traditionnel via l’installation du client Configuration Manager. Voici le processus :
- L’utilisateur joint sa machine à Azure Active Directory et/ou Microsoft Intune.
- La machine Windows 10 s’enregistre dans Configuration Manager comme un périphérique mobile.
- L’administrateur déploie automatiquement le client Configuration Manager.
Cette opération peut se faire dans deux modes :
- Interne au réseau : La machine cliente doit avoir un accès à Internet et se situer sur le réseau de l’entreprise pour récupérer les sources et effectuer l’enregistrement
- Externe au réseau : La machine cliente doit avoir un accès à Internet et vous devez avoir les infrastructures adéquates Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ. En outre, vous devez déployer le certificat provenant de votre PKI sur la machine cliente.
A date d’écriture de cet article (Avril 2017), une machine ne peut pas être gérée à la fois via Microsoft Intune et via System Center Configuration Manager. L’installation du client ConfigMgr initie automatiquement le retrait du périphérique de Microsoft Intune.
L’intérêt ici est de faire réaliser l’intégration au Système d’Information par l’utilisateur (concept issu de la gestion moderne) tout en bénéficiant des fonctionnalités de gestion traditionnelle (déploiement de système d’exploitation, etc.). Ceci peut avoir un intérêt si vous pensez que la gestion moderne reste encore trop légère par rapport à vos besoins d’administration.
DISCLAIMER : Notez que la méthode décrite ici n’est pas du tout la direction que prend Microsoft. La gestion moderne s’enrichie très rapidement et le but n’est pas de mixer les usages.
Prérequis :
Avant de continuer cet article, vous devez valider les prérequis suivants :
- Disposer d’une infrastructure System Center Configuration Manager Current Branch fonctionnelle.
- Avoir configuré un abonnement Microsoft Intune
- Disposer des licences Azure AD Premium si vous souhaitez faire l’enregistrement automatique dans Microsoft Intune lors de la jointure à Azure Active Directory.
- Autoriser la gestion des périphériques Windows sur l’abonnement Microsoft Intune
- Valider les prérequis de gestion moderne des périphériques Windows (Création des enregistrements DNS CNAME, etc.)
- La machine cliente Windows 10 doit avoir un accès à Internet.
- Si vous faites l’opération depuis l’extérieur de l’entreprise, vous devez avoir :
- Les infrastructures adéquates : Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ
- Déployer le certificat provenant de votre PKI sur la machine cliente
Création de la collection
Commencez par ouvrir la console d’administration et créer une collection de périphériques limitée à la collection All Mobile Devices (ou une collection similaire) avec la requête suivante afin de regrouper toutes les machines Windows 10 enregistrées dans Microsoft Intune :
Select * from SMS_R_SYSTEM WHERE SMS_R_SYSTEM.OperatingSystemNameandVersion like “Windows 10%”
Création et déploiement de l’application
Une fois la collection créée, récupérez les sources MSI du client dans <Repertoire d’installation de ConfigMgr>\bin\i386\ccmsetup.msi.
Copiez le fichier dans un partage UNC utilisé comme référence des sources d’installation.
Ouvrez ensuite la console d’administration et dirigez-vous dans Software Library > Overview > Application Management > Applications. Sélectionnez Create Application. Dans l’assistant, choisissez la méthode Windows Installer through MDM (*.msi) et renseignez le chemin UNC vers le fichier MSI :
Passez l’écran d’import des informations.
Sur l’écran General Information, spécifiez les informations générales (Nom d’application, fabricant, etc.). La partie la plus importante consiste à renseigner les arguments de la ligne de commande d’installation via le modèle suivant :
CCMSETUPCMD="/MP:<FQDN du Management Point> SMSMP=<FQDN du Management Point> SMSSITECODE=<SITE CODE> DNSSUFFIX=<Suffixe DNS du Management Point>"
Par exemple :
- En interne : CCMSETUPCMD="/MP:WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSMP=WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSSITECODE=PR1 DNSSUFFIX=WINDOWSTOUCH.LOCAL"
- En externe avec la Cloud Management Gateway : CCMSETUPCMD=" /NoCRLCheck /UsePkiCert /MP:https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID> SMSSITECODE=PR1 CCMHOSTNAME=https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID>"
Passez l’écran de résumé et procédez à la création de l’application.
Vous devez ensuite distribuer le contenu de l’applications sur le point de distribution Manage.microsoft.com :
Enfin, distribuez en mode requis l’application sur la collection créée pour cet effet :
Optionnel : Configuration pour l’enregistrement automatique dans Microsoft Intune lors d’une jointure à Azure Active Directory
Si vous souhaitez optimiser l’expérience utilisateur, vous pouvez configurer l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine par l’utilisateur à Azure Active Directory.
Pour ce faire, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory > Mobility (MDM and MAM). Ajoutez l’application Microsoft Intune.
Activez la fonctionnalité pour tous les utilisateurs ou un groupe cible. Laissez les différentes URLs configurées par défaut.
Expérience utilisateur
L’expérience utilisateur est la suivante :
- L’utilisateur ou un intermédiaire peut joindre la machine à Azure Active Directory (si l’enregistrement automatique à Microsoft Intune a été configuré). Dans ce cas, ceci peut se faire dans l’expérience post-installation (OOBE) ou dans l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.
- L’utilisateur ou un intermédiaire peut directement enregistrer la machine dans Microsoft Intune. Ceci peut se faire via l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.
L’utilisateur se connecte via son compte Azure Active Directory :
Il valide la jointure à l’organisation
Dans la console d’administration, on retrouve l’enregistrement qui apparaît sous la forme d’un périphérique mobile. Après recalcul de la collection de déploiement, il est inclus dans cette dernière :
Sur le poste de travail après récupération des stratégies, le registre HKLM\SOFTWARE\Microsoft\EnterpriseDesktopAppManagment\S-0-0-00…\MSI\<ID du job> fait bien apparaître l’installation du client SCCM avec les différents états :
On peut aussi observer l’apparition du dossier ccmsetup dans C:\Windows
Après installation du client, la console d’administration affiche le nouvel enregistrement au nom du périphérique. Ce dernier doit être approuvé puisque la machine n’est pas jointe à l’Active Directory. En outre, l’opération a procédé à la dissociation du périphérique à la gestion via Microsoft Intune. L’enregistrement n’est plus présent.
Ceci est confirmé sur le client où le compte a simplement été transformé en compte d’entreprise.
Vous avez vu dans cet article comment utilisé la gestion moderne et le mécanisme d’enregistrement pour initier l’installation du client SCCM à des fins de gestion traditionnelle. Ce mix hybride peut prendre du sens si vous souhaitez responsabiliser l’utilisateur tout en bénéficiant d’un mode de gestion traditionnel.