L’enrôlement Intune est le processus par lequel un appareil Windows se connecte et s’enregistre auprès du service Intune, afin d’être géré de manière centralisée.
La méthode d’enrôlement la plus classique est au moment du démarrage de l’installation, pendant l’assistant d’installation OOBE (Out of Box Expérience).
Si le PC est déclaré dans Autopilot, l’enrôlement se fera de manière autonome.
Si la session est ouverte par un utilisateur possédant les licences correctes (Entra ID P1 et Intune) alors le PC sera aussi enrôlé à l’ouverture de session.
L’utilisateur peut aussi enrôler son PC Windows en se connectant avec ses identifiants Azure AD.
- Voici le détail des opérations :
L’adhésion à Entra ID ou AD est assurée par le service Device Management Enrollment Service (DmEnrollmentSvc).
Le service Intune vérifie alors si l’utilisateur et l’appareil sont éligibles à l’enrôlement, selon les critères définis par l’administrateur (par exemple, le type d’appareil, la version du système, le groupe d’utilisateurs, etc.).
C’est Intune Management Extension, IME, qui fait partie de Windows et est le chef d’orchestre de Intune dans Windows :
IME se trouve ici :
C:\ProgramData\Microsoft\IntuneManagementExtension
Le programme étant Microsoft.Management.Services.IntuneWindowsAgent.exe.
Une tâche planifiée est aussi créée afin de surveiller le bon fonctionnement du IME :
La tâche est nommée Intune Management Extension Health Evaluation. Le servicde exécute le fichier C:\Program Files (x86)\Microsoft Intune Management Extension\ClientHealthEval.exe.
Si l’enrôlement est autorisé, le service Intune envoie à l’appareil un certificat de gestion, qui contient un identifiant unique et des informations sur le locataire Intune.
L’appareil installe le certificat de gestion et crée un profil de connexion MDM (Mobile Device Management), qui lui permet de communiquer avec le service Intune via le protocole OMA-DM (Open Mobile Alliance Device Management).
Le service IME envoie ensuite au service Intune des informations sur son état, comme son nom, son modèle, sa version, son adresse IP, etc.
Le service Intune renvoie à l’appareil les paramètres et les stratégies de configuration qu’il doit appliquer, selon les règles définies par l’administrateur (par exemple, le mot de passe, le chiffrement, les applications, etc.).
L’appareil applique les paramètres et les stratégies de configuration reçus, et signale au service Intune s’il a réussi ou non à les mettre en œuvre.
L’appareil est désormais enrôlé et géré par Intune. Il continue à communiquer avec le service Intune pour recevoir les mises à jour, les commandes et les notifications.
- Pour débogger :
Les fichiers LOG de Intune se trouvent dans le dossier : C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
AgentExecution.log:
Fichier log pour dépanner les scripts PowerShell ou de remédiation.
AppActionProcessor.log
Contient les informations sur l’attribution des applications.
ClientHealth.log:
Fichier log contenant les évènements concernant IME.
IntuneManagementExtension.log:
Fichier log concernant l’installation des applications
Sensor.log et DeviceHealthMonitoring.log
Fichiers log contenant les informations des collecteurs d’information du périphérique.
Win32AppInventory.log :
Fichier log contenant les informations d’inventaire d’applications.
Laurent Gébeau
Pour me suivre :
Leave a Reply