L’équipe Intune a publié un billet à propos d’un problème connu concernant la détection de Windows Early Launch Anti-Malware par le service Windows Device Health Attestation (DHA). Le service permet notamment de calculer l’état de conformité en fonction de :
- L’état du service Code Integrity
- Le chiffrement BitLocker
- L’état du démarrage sécurisé (Secure Boot)
- L’état du driver Early launch anti-malware (ELAM)
Si un de ces éléments est renvoyé comme désactivé, l’état renvoyé par Intune devient non conforme et Azure Active Directory peut éventuellement bloquer l’accès aux ressources de l’entreprise. Un bug a été détecté dans Windows où le service DHA renvoi de manière incorrect un état de désactivation pour le driver Early launch anti-malware (ELAM) lorsque le périphérique sort d’hibernation. Un correctif est en cours d’évaluation par l’équipe Windows. Vous pouvez donc rencontrer le problème que vous utilisiez Microsoft Intune en mode autonome ou en mode hybride couplé à System Center Configuration Manager.
En attendant, l’équipe Intune va publier un changement dans la mise à jour de mai pour exclure l’état ELAM de la conformité lors de l’utilisation du paramétrage “Require devices to be considered healthy by the Windows Health Attestation Service”. Ce changement sera effectif tant que l’équipe Windows n’aura pas déployé un correctif acceptable.
En attendant mai, vous pouvez soit :
- Désactiver “Require devices to be considered healthy by the Windows Health Attestation Service” de la stratégie de conformité. Cette opération désactivera l’évaluation des trois autres critères. Microsoft prévoit à l’avenir de pouvoir choisir quel paramétrage évaluer.
- Informer les utilisateurs que si le périphérique est bloqué, ils doivent redémarrer et cliquer sur Check Compliance dans le portail d’entreprise.