Intune – Forcer l’application des stratégies Windows avec Config Refresh
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à configurer la fonctionnalité Config Refresh pour Windows, à l'aide d'un profil de configuration Intune. Il s'agit d'une nouvelle fonctionnalité dévoilée par Microsoft au début de l'été 2024. Elle offre plus de contrôle aux administrateurs Intune puisqu'elle permet d'ajuster l'intervalle de synchronisation d'une machine Windows, afin que les stratégies soient réappliquées.
Comme nous l'avions mentionné dans l'article ci-dessous, par défaut, un appareil Windows inscrit dans Intune actualise sa configuration toutes les 8 heures. Ceci est bien loin de l'intervalle de rafraichissement de 90 minutes dont on bénéficie avec les stratégies de groupe (GPO) Active Directory.
Pour répondre à ce besoin et cette demande des administrateurs Intune, Microsoft a introduit la fonctionnalité Config Refresh. Avec elle, vous pouvez configurer le temps d'actualisation de la stratégie afin de définir une valeur comprise entre 30 minutes et 24 heures (soit 1 440 minutes). C'est donc une façon de forcer la réapplication des profils de configuration Intune de façon beaucoup plus régulière.
Sachez que Config Refresh présente l'avantage d'être capable de réappliquer une stratégie déjà présente sur la machine, et donc en cache, en mode hors ligne (sans de connexion à la solution MDM).
Avant de commencer, lisez cette précision importante apportée par Microsoft : "Config Refresh est conçu pour fonctionner avec les politiques MDM gérées par le Policy CSP. Certaines politiques, notamment le CSP BitLocker, adhéreront également à l'activation de Config Refresh. D'autres politiques sont en dehors de ce champ d'application, telles que Firewall, AppLocker, PDE et LAPS.".
II. Les prérequis
Au-delà d'avoir accès au Centre d'administration Intune, vous devez aussi disposer d'appareils Windows inscrits qui respectent les prérequis. À savoir Windows 11 22H2 ou Windows 11 23H2, avec au moins l'une de ces deux mises à jour (ou une mise à jour plus récente) :
- Windows 11 avec la mise à jour optionnelle du 29 mai 2024 : KB5037853
- Windows 11 avec la mise à jour de sécurité du 11 juin 2024 : KB5039212
III. Configurer Config Refresh
Commencez par vous connecter au Centre d'administration Intune, puis créez un nouveau profil de configuration à partir de la section "Appareils" puis "Windows" :
1 - Cliquez sur le bouton "Configuration".
2 - Cliquez sur "Créer" puis sur "Nouvelle stratégie".
Au sein du panneau latéral visible sur la droite, choisissez ceci et validez :
- Plateforme : Windows 10 et ultérieur
- Type de profil : Catalogue des paramètres
L'assistant habituel de création d'un profil s'affiche à l'écran. Commencez par indiquer un nom et une description.
Ensuite, cliquez sur le bouton pour ajouter des paramètres, et sur la droite, recherchez la catégorie nommée "Actualisation de la configuration" afin de cliquer dessus. Si vous utilisez un portail Intune en anglais, la catégorie sera tout simplement nommée "Config Refresh".
Cochez les paramètres nommés "Actualiser la configuration" et "Cadence d'actualisation". Puis fermez le panneau latéral.
Désormais, vous pouvez configurer ces deux paramètres :
1 - Activez le paramètre nommé "Actualiser la configuration" pour activer cette fonctionnalité.
2 - Définissez un intervalle de synchronisation compris entre 30 et 1 440 minutes. Ici, la valeur "30" est spécifié à titre d'exemple. La valeur par défaut est de 90 minutes.
Poursuivez jusqu'à la fin et veillez à affecter la stratégie à un groupe d'appareils. À la fin, vous obtenez un nouveau profil de configuration sur Intune.
IV. Vérifier la configuration
Sur un appareil Windows 11 où s'applique ce profil de configuration, vous devriez voir du changement dans le Registre Windows. En effet,
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\ConfigRefreshVoici un exemple :
De plus, Windows crée une nouvelle tâche planifiée visible dans le "Planificateur de tâches" à l'emplacement suivant : Microsoft/Windows/EnterpriseMgmtNonCritical. Cette tâche a pour objectif d'exécuter la commande "deviceenroller.exe" à intervalles réguliers, en fonction de la cadence définie dans la stratégie.
V. Conclusion
Config Refresh est une fonctionnalité appréciable qui répond à certaines lacunes liées au mode de synchronisation initial d'Intune. Sa configuration est un bon moyen d'assurer la conformité des appareils Windows de l'entreprise, grâce à une application plus régulière des stratégies.
Si vous avez besoin de plus d'informations, consultez cette page de la documentation Microsoft.
Merci pour l’information! C’est grace à votre site que je réussi à ne pas trop « rater » les dernières nouveautés.