Intune – Comment exporter, importer et documenter facilement des configurations ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons découvrir un outil communautaire baptisé IntuneManagement, créé par Mikael Karlsson. Cet outil très puissant s'appuie sur PowerShell pour interroger Microsoft Graph et les API Azure pour permettre une gestion complète de ses configurations Intune !
L'outil IntuneManagement va se connecter à l'environnement Intune de votre tenant Microsoft 365 dans le but de vous permettre d'accomplir certaines tâches non prises en charge ou partiellement prises en charge par le Centre d'administration Intune. Vous pouvez l'utiliser pour exporter et importer vos configurations (ou sauvegarder et restaurer), que ce soit des stratégies de conformité, des stratégies personnalisées, des scripts PowerShell, des applications Intune, ou même des stratégies d'accès conditionnels. Cet outil très puissant et complet peut être utile dans différents scénarios, y compris pour la migration d'un tenant vers un autre.
Si vous souhaitez simplement exporter et importer des stratégies Intune de type "Catalogue des paramètres", vous pouvez lire ce tutoriel :
II. Télécharger et installer IntuneManagement
Vous devez commencer par télécharger la dernière release d'IntuneManagement à partir du GitHub officiel du projet. Vous obtiendrez une archive ZIP qu'il faudra décompresser afin d'obtenir un répertoire avec l'ensemble des fichiers du projet, notamment un ensemble de scripts.
Il existe plusieurs scripts permettant de lancer l'outil : "Start.cmd", "Start-WithApp.cmd", "Start-WithConsole.cmd", "Start-WithJson.cmd", et "Start-IntuneManagement.ps1". Tout dépend de l'usage que vous souhaitez faire de l'outil et j'avoue ne pas avoir testé l'ensemble de ces scripts. Ici, nous allons exécuter le script nommé "Start-IntuneManagement.ps1" (j'ai rencontré des problèmes de connexion via "Start.cmd" avec la version 3.9.6).
.\Start-IntuneManagement.ps1
L'outil va se charger et ouvrir une interface graphique intitulée "Intune Manager". Commencez par accepter les conditions d'utilisation en cochant la case "Accept conditions", puis validez.
Ensuite, vous aurez accès à l'interface de l'application, mais à aucune donnée, car il faut s'authentifier auprès du tenant Microsoft 365. Cliquez sur le bouton en haut à droite afin de lancer la connexion. Connectez-vous à votre tenant. L'outil prend en charge les comptes protégés par MFA.
Une fois que la connexion est effectuée, vous obtiendrez une erreur parce que l'outil n'a pas les permissions pour accéder aux données de votre environnement, notamment via Microsoft Graph. C'est pour cette raison que tous les intitulés sont en rouge dans le menu présent sur la gauche. Cliquez sur votre avatar en haut à droite puis sur "Request consent".
Ensuite, vous devrez valider l'accès pour que cette application ait les permissions suffisantes pour récupérer les données de configuration Intune de votre tenant. Depuis la version 3.9.6, l'outil s'appuie sur Microsoft Graph pour se connecter aux services Microsoft.
III. Prise en main d'IntuneManagement
Désormais, vous pouvez naviguer dans les différentes sections du menu latéral présent sur la gauche. Comme vous pouvez le constater, la liste est longue. À chaque fois, l'outil vous propose plusieurs actions dont la possibilité d'exporter, d'importer et de documenter.
A. Exporter des configurations
Si nous prenons l'exemple de la section "Settings Catalog", elle permet d'obtenir la liste des stratégies de ce type présente sur votre environnement Intune. Vous pouvez exporter chaque stratégie, comme le propose le Centre d'administration Intune, à la différence que là, vous pouvez faire un export en masse de vos stratégies.
Nous pouvons sélectionner toutes les stratégies à exporter puis cliquer sur "Export".
Ensuite, nous devons choisir le répertoire dans lequel effectuer l'export, et se chargera de l'alimenter. L'option "Add company name to path" permet de créer un dossier avec le nom de l'entreprise (définie sur le tenant) afin de stocker les données exportées. Nous avons aussi la possibilité d'exporter les affectations, contrairement à ce que propose l'outil d'export de Microsoft intégré à Intune, via l'option "Export Assignments".
Pour déclencher l'export, il convient de cliquer sur le bouton "Export Selected", ou alors sur "Export All" pour exporter toutes les stratégies (peu importe la sélection effectuée au préalable).
Au final, nous obtenons un répertoire nommé "IT-Connect Lab" (nom de l'entreprise) avec un sous-répertoire "SettingsCatalog" qui contient un fichier JSON par stratégie.
Pour chaque section, nous pouvons visualiser la configuration et l'exporter en quelques clics. C'est vraiment la grande force de cet outil ! Ci-dessous, nous pouvons voir qu'il est possible d'exporter les stratégies de configuration d'appareil, via la section "Device Configuration", ce qui n'est pas possible via le portail Intune.
B. Importer des configurations Intune
L'application Intune Manager est capable aussi d'importer des configurations sur votre environnement Intune. Pour explorer cette fonctionnalité, nous allons importer des stratégies Intune qui correspondent aux bonnes pratiques de configuration de Windows issues des guides CIS Benchmark.
Nous allons télécharger les fichiers de stratégies, au format JSON, depuis ce dépôt GitHub communautaire :
Ces stratégies vont nous permettre de renforcer la sécurité de nos appareils Windows 10 et Windows 11 (à tester avant d'appliquer en production, bien entendu).
Il s'agit de stratégies de type "Catalogue des paramètres", donc nous pourrions les importer via le portail Intune. Néanmoins, Intune Manager va nous permettre un import en masse.
Il suffit de se rendre dans "Settings Catalog" dans l'application puis de cliquer sur "Import". Ensuite, nous devons sélectionner le dossier qui contient les fichiers JSON à importer. Plusieurs options sont proposées, notamment pour décider d'importer ou non les tags et les affectations.
Remarque : l'option "Compare" de l'outil vous permet de comparer une stratégie existante avec une stratégie au format JSON, ce qui permet de comparer facilement deux versions d'une même stratégie. Vous pouvez visualiser facilement les différences entre les deux versions.
Quelques secondes plus tard, ces stratégies sont importées dans Intune et visibles à partir du portail. Il ne reste plus qu'à en profiter !
C. Export en masse de la configuration Intune
Pour finir sur les fonctionnalités d'export (et d'import), nous allons évoquer la fonctionnalité de "Bulk Export" de l'outil, accessible via le menu "Bulk" ! Elle va vous permettre d'exporter tout ou partie de la configuration de votre tenant Intune en quelques clics !
Vous pouvez sélectionner ce que vous souhaitez exporter ou non, et l'outil s'occupe du reste ! Attention, pour les applications, les packages MSI, Intunewin, etc... ne sont pas exportés, mais les scripts le seront.
Une fois l'export terminé, vous obtenez un répertoire avec toutes vos configurations. Il est possible de tout réimporter sur un autre tenant, ce qui peut être utile si vous migrez d'un tenant à un autre. Nous pouvons aussi utiliser cette fonction pour faire une sauvegarde à l'instant t de nos configurations.
D. Générer une documentation Intune
Terminons par la cerise sur le gâteau : la possibilité de générer une documentation de votre configuration ! Pour cela, vous pouvez utiliser le bouton "Document" présent dans chaque section d'Intune Manager, ou utiliser le menu "Bulk" puis "Document Types".
Plusieurs options s'offrent à vous, comme le format du rapport : CSV, HTML, Markdown et même Word (s'il est installé sur la machine depuis laquelle Intune Manager est exécuté). Vous pouvez aussi sélectionner la langue, parmi un large choix, dont l'anglais, le français, l'espagnol, l'italien et l'allemand.
Ensuite, vous laissez travailler l'outil et il va générer une documentation complète pour résumer votre configuration, en intégrant une table des matières. Que ce soit pour documenter son SI ou effectuer un audit, cette fonctionnalité est redoutable.
- Voici un exemple de rapport HTML :
IV. Conclusion
IntuneManagement est vraiment un excellent outil que tout administrateur d'Intune doit connaître ! Il a une réelle valeur ajoutée et facilite les opérations d'export, d'import, voire même de sauvegarde et de restauration d'une certaine façon, en plus de vous permettre de générer une documentation à la volée de votre configuration.
Maintenant, à vous de l'essayer !