Déployer des URI OMA pour cibler un fournisseur de solutions Cloud via Intune et une comparaison avec un environnement local
Cet article décrit l’importance des fournisseurs de services de configuration Windows (CSP), Open Mobile Alliance – Uniform Resources (OMA-URIs) et la façon dont les stratégies personnalisées sont remises à un appareil Windows 10 avec Microsoft Intune.
Intune fournit une interface pratique et facile à utiliser pour configurer ces stratégies. Toutefois, tous les paramètres ne sont pas nécessairement disponibles dans le Centre d’administration Microsoft Intune. Bien que de nombreux paramètres puissent être configurés sur un appareil Windows, il n’est pas possible d’avoir tous ces paramètres dans le Centre d’administration. En outre, comme les progrès sont faits, il n’est pas inhabituel d’avoir un certain degré de décalage avant qu’un nouveau paramètre soit ajouté. Dans ces scénarios, le déploiement d’un profil OMA-URI personnalisé qui utilise un fournisseur de services de configuration Windows (CSP) est la réponse.
Étendue csp
Les fournisseurs de solutions cloud sont une interface utilisée par les fournisseurs de gestion des appareils mobiles (GPM) pour lire, définir, modifier et supprimer des paramètres de configuration sur l’appareil. En règle générale, il est effectué par le biais de clés et de valeurs dans le Registre Windows. Les stratégies CSP ont une étendue qui définit le niveau auquel une stratégie peut être configurée. Il est similaire aux stratégies disponibles dans le Centre d’administration Microsoft Intune. Certaines stratégies peuvent être configurées uniquement au niveau de l’appareil. Ces stratégies s’appliquent quel que soit l’utilisateur connecté à l’appareil. D’autres stratégies peuvent être configurées au niveau de l’utilisateur. Ces stratégies s’appliquent uniquement à cet utilisateur. Le niveau de configuration est dicté par la plateforme, et non par le fournisseur MDM. Lorsque vous déployez une stratégie personnalisée, vous pouvez rechercher ici l’étendue du fournisseur de solutions Cloud que vous souhaitez utiliser.
L’étendue du fournisseur de solutions Cloud est importante, car elle détermine la syntaxe de la chaîne OMA-URI que vous devez utiliser. Par exemple :
Étendue d’utilisateur
./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName pour configurer la stratégie. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName pour obtenir le résultat.
Étendue de l’appareil
./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName pour configurer la stratégie. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName pour obtenir le résultat.
OMA-URIs
L’OMA-URI est un chemin d’accès à un paramètre de configuration spécifique pris en charge par un fournisseur de solutions Cloud.
OMA-URI : il s’agit d’une chaîne qui représente une configuration personnalisée pour un appareil Windows 10. La syntaxe est déterminée par les fournisseurs de services cloud sur le client. Vous trouverez des détails sur chaque fournisseur de solutions Cloud ici.
Une stratégie personnalisée : elle contient les URI OMA à déployer. Il est configuré dans Intune.
Intune : une fois qu’une stratégie personnalisée est créée et affectée aux appareils clients, Intune devient le mécanisme de remise qui envoie les URI OMA à ces clients Windows. Intune utilise le protocole Open Mobile Alliance Gestion des appareils (OMA-DM) pour ce faire. Il s’agit d’une norme prédéfinie qui utilise SyncML basé sur XML pour envoyer (push) les informations au client.
Fournisseurs de services cloud : une fois que les URI OMA atteignent le client, le fournisseur de solutions Cloud les lit et configure la plateforme Windows en conséquence. En règle générale, elle effectue cette opération en ajoutant, en lisant ou en modifiant des valeurs de Registre.
Pour résumer : L’OMA-URI est la charge utile, la stratégie personnalisée est le conteneur, Intune est le mécanisme de remise de ce conteneur, OMA-DM est le protocole utilisé pour la remise, et le FOURNISSEUR de solutions Cloud Windows lit et applique les paramètres configurés dans la charge utile OMA-URI.
Il s’agit du même processus que celui utilisé par Intune pour fournir les stratégies de configuration d’appareil standard qui sont déjà intégrées à l’interface utilisateur. Lorsque les URI OMA utilisent l’interface utilisateur Intune, ils sont masqués derrière les interfaces de configuration conviviales. Le processus est plus facile et plus intuitif pour l’administrateur. Utilisez les paramètres de stratégie intégrés dans la mesure du possible et utilisez des stratégies OMA-URI personnalisées uniquement pour les options qui ne sont pas disponibles.
Pour illustrer ce processus, vous pouvez utiliser une stratégie intégrée pour définir l’image de l’écran de verrouillage sur un appareil. Vous pouvez également déployer un OMA-URI et cibler le fournisseur de solutions Cloud approprié. Les deux méthodes permettent d’obtenir le même résultat.
URI OMA à partir du Centre d’administration Microsoft Intune
Utiliser une stratégie personnalisée
Le même paramètre peut être défini directement à l’aide de l’OMA-URI suivant :
./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
Il est documenté dans la référence du fournisseur de solutions Cloud Windows. Après avoir déterminé l’OMA-URI, créez une stratégie personnalisée pour celle-ci.
Quelle que soit la méthode que vous utilisez, le résultat final est identique.
Voici un autre exemple qui utilise BitLocker.
Utiliser une stratégie personnalisée à partir du Centre d’administration Microsoft Intune
Utilisation d’une stratégie personnalisée
Associer des URI OMA personnalisés au monde local
Vous pouvez utiliser vos paramètres de stratégie de groupe existants comme référence lorsque vous générez votre configuration de stratégie MDM. Si votre organisation souhaite passer à GPM pour gérer les appareils, nous vous recommandons de vous préparer en analysant les paramètres de stratégie de groupe actuels pour voir ce qui est nécessaire pour passer à la gestion MDM.
L’outil MMAT (MDM Migration Analysis Tool) détermine les stratégies de groupe définies pour un utilisateur ou un ordinateur ciblé. Ensuite, il génère un rapport qui répertorie le niveau de prise en charge de chaque paramètre de stratégie dans les équivalents GPM.
Aspects de votre stratégie de groupe avant et après la migration vers le cloud
Le tableau suivant présente les différents aspects de votre stratégie de groupe avant et après la migration vers le cloud à l’aide de MMAT.
| Sur site | Cloud |
|---|---|
| Stratégie de groupe | GPM |
| Contrôleurs de domaine | Serveur MDM (service Intune) |
| Dossier Sysvol | Base de données/MSU Intune |
| Extension côté client pour traiter l’objet de stratégie de groupe | Fournisseurs de services cloud pour traiter la stratégie MDM |
| Protocole SMB utilisé pour la communication | Protocole HTTPS utilisé pour la communication |
.pol | .ini fichier (il s’agit généralement de l’entrée) |
SyncML est l’entrée pour les appareils |
Remarques importantes sur le comportement de la stratégie
Si la stratégie change sur le serveur MDM, la stratégie mise à jour est envoyée à l’appareil et le paramètre est configuré sur la nouvelle valeur. Toutefois, la suppression de l’affectation de la stratégie de l’utilisateur ou de l’appareil peut ne pas rétablir le paramètre à la valeur par défaut. Il existe quelques profils supprimés une fois l’affectation supprimée ou le profil supprimé, comme les profils Wi-Fi, les profils VPN, les profils de certificat et les profils de messagerie. Étant donné que ce comportement est contrôlé par chaque fournisseur de solutions Cloud, vous devez essayer de comprendre le comportement du fournisseur de solutions Cloud pour gérer correctement vos paramètres. Pour plus d’informations, consultez la référence du fournisseur de solutions Cloud Windows.
Assemblage
Pour déployer un OMA-URI personnalisé pour cibler un fournisseur de solutions Cloud sur un appareil Windows, créez une stratégie personnalisée. La stratégie doit contenir le chemin d’accès au chemin OMA-URI avec la valeur que vous souhaitez modifier dans le fournisseur de solutions Cloud (activer, désactiver, modifier ou supprimer).
Une fois la stratégie créée, affectez-la à un groupe de sécurité afin qu’elle prenne effet.
Résolution des problèmes
Lorsque vous résolvez les problèmes de stratégies personnalisées, vous trouverez que la plupart des problèmes s’intègrent dans les catégories suivantes :
- La stratégie personnalisée n’a pas atteint l’appareil client.
- La stratégie personnalisée a atteint l’appareil client, mais le comportement attendu n’est pas observé.
Si vous avez une stratégie qui ne fonctionne pas comme prévu, vérifiez si la stratégie a même atteint le client. Il existe deux journaux à vérifier pour vérifier sa livraison.
Journaux de diagnostic MDM
Journal des événements Windows
Les deux journaux doivent contenir une référence à la stratégie personnalisée ou au paramètre OMA-URI que vous essayez de déployer. Si vous ne voyez pas cette référence, il est probable que la stratégie n’a pas été remise à l’appareil. Vérifiez que la stratégie est configurée correctement et qu’elle est ciblée sur le groupe approprié.
Si vous vérifiez que la stratégie atteint le client, vérifiez les DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log erreurs sur le client. Vous pouvez voir une entrée d’erreur qui contient des informations supplémentaires sur la raison pour laquelle la stratégie n’a pas appliqué. Les causes varient, mais il existe fréquemment un problème dans la syntaxe de la chaîne OMA-URI configurée dans la stratégie personnalisée. Vérifiez la référence csp et vérifiez que la syntaxe est correcte.