PI Services

Besoin :

Supprimer en masse des devices Autopilot d'un tenant source (Intune) pour pouvoir les migrer vers un tenant cible.

N.B : Un device Autopilot qu'on intègre dans Intune en utilisant son Hash ID ne peut pas co-exister dans deux tenants.

Solution :

1- Extraire les numéros de série des devices Autopilot à supprimer depuis Intune et les mettre dans un fichier texte nommé "Autopilot_Device_SN_list.txt" et le placer sous "c:\Windows\Temp".

2- Exécuter le script PowerShell ci-dessous afin de supprimer des devices Autopilot :

#STEP 1: Install WindowsAutopilotIntune Powershell module (if required, need ot run PowerShell as admin)
    Install-module WindowsAutopilotIntune -Force -AllowClobber

#STEP 2: Install WindowsAutopilotIntune Powershell module
    Import-module WindowsAutopilotIntune

#STEP 3: Connect to Microsoft Graph
    Connect-MgGraph -scopes "Group.ReadWrite.All, Device.ReadWrite.All, DeviceManagementManagedDevices.ReadWrite.All, DeviceManagementServiceConfig.ReadWrite.All, GroupMember.ReadWrite.All"

#STEP 4: Get the Autopilot devices Serial Numbers in a variable $DeviceSNs
    $DeviceSNs = Get-Content "C:\Windows\Temp\Autopilot_Device_SN_list.txt"
    $Counter = 0

#STEP 5: Delete the Autopilot devices based on serial number list
    foreach ($DeviceSN in $DeviceSNs)
    {
        $Counter++
        #Get Autopilot device ID
        $DeviceID = (Get-AutopilotDevice -serial $DeviceSN).id
        #Get current device information
        $CurrentDevice = Get-AutopilotDevice -id $DeviceID
        Write-host "Working on device $DeviceSN" -ForegroundColor Cyan
        #Delete device from Intune Windows Autopilot devices
        try
        {
            Remove-AutopilotDevice -id $DeviceID
            Write-host "- Device $DeviceSN is deleted" -ForegroundColor Green
        }
        catch{
            $ErrorMessage = $_.Exception.message; Write-Host $ErrorMessage -ForegroundColor Red
        }
        #Counter for PowerShell execution progress
        Write-Progress -Activity "Processing $($Counter) of $($DeviceSNs.count)" -CurrentOperation $DeviceSN -PercentComplete (($Counter / $DeviceSNs.count) * 100)
        Start-Sleep -Milliseconds 200
    }

N.B : le chemin vers le fichier texte qui contient les numéros de série des devices Autopilot "C:\Windows\Temp\Autopilot_Device_SN_list.txt" peut être modifié.

Besoin :

On ne peut pas identifier simplement les noms de groupes qui sont membres du groupe local "Administrateurs" sur une machine joint à l'Azure AD.

Si on fait Windows+R et on tape "lusrmgr.msc" pour afficher les utilisateurs et groupes locaux d'une machine, on souhaite par exemple afficher les membres du groupe Administrateurs, on n'aura pas les noms des groupes membres mais plutôt leurs SID.

Ces SID doivent être convertis en GUID pour pouvoir chercher les noms des groupes dans Azure AD.

Solution :

J'ai utilisé ce script PowerShell pour convertir le SID en GUID :

function Convert-AzureAdSidToObjectId {
<#
.SYNOPSIS
Convert a Azure AD SID to Object ID
 
.DESCRIPTION
Converts an Azure AD SID to Object ID.
Author: Oliver Kieselbach (oliverkieselbach.com)
The script is provided "AS IS" with no warranties.
 
.PARAMETER ObjectID
The SID to convert
#>

    param([String] $Sid)

    $text = $sid.Replace('S-1-12-1-', '')
    $array = [UInt32[]]$text.Split('-')

    $bytes = New-Object 'Byte[]' 16
    [Buffer]::BlockCopy($array, 0, $bytes, 0, 16)
    [Guid]$guid = $bytes

    return $guid
}

$sid = "S-1-12-1-1943430372-1249052806-2496021943-3034400218"
$objectId = Convert-AzureAdSidToObjectId -Sid $sid
Write-Output $objectId


# Output:

# Guid
# ----
# 73d664e4-0886-4a73-b745-c694da45ddb4

N.B : Il faut renseigner le SID dans la variable $sid pour que le script retourne son GUID

Besoin :

On souhaite identifier le SID d'un groupe Azure AD mais l'attribut n'existe pas.

Solution :

J'ai utilisé ce script PowerShell pour convertir le GUID en SID :

function Convert-AzureAdObjectIdToSid {
<#
.SYNOPSIS
Convert an Azure AD Object ID to SID
 
.DESCRIPTION
Converts an Azure AD Object ID to a SID.
Author: Oliver Kieselbach (oliverkieselbach.com)
The script is provided "AS IS" with no warranties.
 
.PARAMETER ObjectID
The Object ID to convert
#>

    param([String] $ObjectId)

    $bytes = [Guid]::Parse($ObjectId).ToByteArray()
    $array = New-Object 'UInt32[]' 4

    [Buffer]::BlockCopy($bytes, 0, $array, 0, 16)
    $sid = "S-1-12-1-$array".Replace(' ', '-')

    return $sid
}

$objectId = "73d664e4-0886-4a73-b745-c694da45ddb4"
$sid = Convert-AzureAdObjectIdToSid -ObjectId $objectId
Write-Output $sid

# Output:

# S-1-12-1-1943430372-1249052806-2496021943-3034400218

N.B : il faut renseigner le GUID dans la variable $objectId pour que le script retourne son SID

Besoin : 

Ajouter ou mettre à jour le Group Tag des devices Autopilot dans Intune.

Solution :

1- Extraire les numéros de série des devices Autopilot à modifier depuis Intune et les mettre dans un fichier texte nommé "AutopilotDeviceSNlist.txt" et le placer sous "c:\Windows\Temp".

2- Exécuter le script PowerShell ci-dessous afin d'ajouter ou modifier les Group Tag des devices Autopilot :

#STEP 1: Install WindowsAutopilotIntune Powershell module (if required, need to run PowerShell as admin)
    Install-module WindowsAutopilotIntune -Force -AllowClobber

#STEP 2: Install WindowsAutopilotIntune Powershell module
    Import-module WindowsAutopilotIntune

#STEP 3: Connect to Microsoft Graph
    Connect-MgGraph -scopes "Group.ReadWrite.All, Device.ReadWrite.All, DeviceManagementManagedDevices.ReadWrite.All, DeviceManagementServiceConfig.ReadWrite.All, GroupMember.ReadWrite.All"

#STEP 4: Get the Autopilot devices Serial Numbers in a variable $DeviceSNs
    $DeviceSNs = Get-Content "c:\Windows\Temp\AutopilotDeviceSNlist.txt"

#STEP 5: Collect the Autopilot devices IDs
    $Date = (get-date).ToString("yyyy-MM-dd")
    foreach ($DeviceSN in $DeviceSNs)
    {
        #Export Autopilot devices IDs to a text file called AutopilotDeviceIDlist.txt
        (Get-AutopilotDevice -serial $DeviceSN).id | Out-File C:\Windows\Temp\AutopilotDeviceIDlist-$Date.txt -Append
    }

#STEP 6: Add or Update a group tag on Autopilot devices
    #Provide a Group Tag
    $Grouptag = Read-Host -Prompt "Please provide a group tag"
    #Get the Autopilot devices IDs in a variable $DeviceIDs
    $DeviceIDs = Get-Content "c:\Windows\Temp\AutopilotDeviceIDlist-$Date.txt"
    foreach ($DeviceID in $DeviceIDs)
    {
        #Get current device information.
        $CurrentDevice = Get-AutopilotDevice -id $DeviceID
        Write-host "Working on device $DeviceID" -ForegroundColor Cyan
        #Apply Group Tag on devices which are in AutopilotDeviceIDlist.txt
        Set-AutopilotDevice -id $DeviceID -groupTag $Grouptag
    }

N.B :

• Le chemin "c:\Windows\Temp\AutopilotDeviceSNlist.txt" de la variable $DeviceSNs peut être modifié
• la variable $Grouptag contiendra la valeur du Group Tag souhaité qui sera appliqué sur tous les devices Autopilot dans le fichier "AutopilotDeviceSNlist.txt"

Besoin :

Après un changement d'UPN utilisateur (environnement full Azure AD) sur un Windows 11, le reset de Windows ne fonctionne plus en mentionnant que Windows Recovery Environment (WinRE) est désactivé.

Nous avons besoin d'activer WinRE sur plusieurs devices afin de permettre le reset de Windows 11.

Solution :

J'ai utilisé le script PowerShell ci-dessous pour détecter si WinRE est désactivé et l'activer :

function Write-CMLogEntry {
	param (
		[parameter(Mandatory = $true, HelpMessage = "Value added to the log file.")]
		[ValidateNotNullOrEmpty()]
		[string]$Value,
		[parameter(Mandatory = $true, HelpMessage = "Severity for the log entry. 1 for Informational, 2 for Warning and 3 for Error.")]
		[ValidateNotNullOrEmpty()]
		[ValidateSet("1", "2", "3")]
		[string]$Severity,
		[parameter(Mandatory = $false, HelpMessage = "Name of the log file that the entry will written to.")]
		[ValidateNotNullOrEmpty()]
		[string]$FileName = "Enable-WinRE.log"
	)
	# Determine log file location
	$WinTemp = [System.Environment]::GetEnvironmentVariable('TEMP','Machine')
	$LogFilePath = "$WinTemp\$FileName"
	
	# Construct time stamp for log entry
	$Time = -join @((Get-Date -Format "HH:mm:ss.fff"), "+", (Get-WmiObject -Class Win32_TimeZone | Select-Object -ExpandProperty Bias))
	
	# Construct date for log entry
	$Date = (Get-Date -Format "MM-dd-yyyy")
	
	# Construct context for log entry
	$Context = $([System.Security.Principal.WindowsIdentity]::GetCurrent().Name)
	
	# Construct final log entry
	$LogText = "<![LOG[$($Value)]LOG]!><time=""$($Time)"" date=""$($Date)"" component=""Enable-WinRE.log"" context=""$($Context)"" type=""$($Severity)"" thread=""$($PID)"" file="""">"
	
	# Add value to log file
	try {
		Out-File -InputObject $LogText -Encoding Default -FilePath $LogFilePath -ErrorAction Stop
	}
	catch [System.Exception] {
		Write-Warning -Message "Unable to append log entry to $FileName file. Error message: $($_.Exception.Message)"
	}
}

#WinRE Status
if (reagentc /info | findstr "Disabled") {
	reagentc /enable
	Write-CMLogEntry -Value "Enabling Windows Recovery Environment" -Severity 2
}
else {
	Write-CMLogEntry -Value "Windows Recovery Environment is Already Enabled" -Severity 1
}

Besoin :

Ajouter Visio sur une machine où Microsoft 365 apps est déjà installé sans désinstaller tous les binaires existants.

Solution :

Aller à Microsoft Intune admin center

1- cliquer sur Apps > Windows

2- cliquer sur Add et sélectionner Microsoft 365 Apps Windows 10 and later

3- sur l'onglet App suite information, donner un nom à l'application et si nécessaire une description, des notes,..

4- sur l'onglet Configure app suite, choisir le format "Enter XML data" et copier les données XML ci-dessous :

<Configuration ID="b5f8e99c-4dd4-4630-a46f-e11f8fc2a13d">
  <Add Version="MatchInstalled">
    <Product ID="VisioProRetail">
      <Language ID="MatchInstalled" TargetProduct="All" />
      <ExcludeApp ID="Groove" />
    </Product>
  </Add>
</Configuration>

Besoin :

Ajouter MS Project sur une machine où Microsoft 365 apps est déjà installé sans désinstaller tous les binaires existants.

Solution :

Aller à Microsoft Intune admin center

1- cliquer sur Apps > Windows

2- cliquer sur Add et sélectionner Microsoft 365 Apps Windows 10 and later

3- sur l'onglet App suite information, donner un nom à l'application et si nécessaire une description, des notes,..

4- sur l'onglet Configure app suite, choisir le format "Enter XML data" et copier les données XML ci-dessous :

<Configuration ID="c3089e9b-4891-4ccb-b7a1-8ac5f42ee68a">
  <Add Version="MatchInstalled">
    <Product ID="ProjectProRetail">
      <Language ID="MatchInstalled" TargetProduct="All" />
      <ExcludeApp ID="Groove" />
    </Product>
  </Add>
</Configuration>

Besoin :

Utiliser Intune pour purger tous les membres du groupe local Administrateurs et ajouter uniquement les comptes définis par l'entreprise.

Ceci est nécessaire quand les IT ajoutent des comptes locaux ou AD des utilisateurs dans le groupe local Administrateurs.

Solution :

Cela est possible en utilisant la partie "Account Protection" dans Endpoint Security de Intune.

Il faut créer une nouvelle politique "Local user group membership"

Ensuite il faut donner un nom à la nouvelle politique puis choisir le type d'action à exécuter afin de remplacer le contenu du groupe local Administrateurs par ce que l'entreprise souhaite.

Pour cela, il faut choisir les options ci-dessous dans l'onglet "Configuration settings" :

• Local group : Administrators
• Group and user action : Add (Replace)
• User selection type : Manual
• Selected users/groups : ajouter les SID, utilisateurs locaux ou les comptes Azure AD des utilisateurs souhaités

N.B : l'action "Add (Replace)" écrase tout le contenu du groupe y compris les SID ajoutés par défaut lors d'une jonction à Azure AD

• Le SID du groupe (Builtin) Azure AD "Global Administrators"
• Le SID du groupe (Builtin) Azure AD "Device Administrators"

Pour cela, il faut identifier ces SID depuis une machine existante joint à Azure AD pour les ajouter manuellement dans la nouvelle politique :

Une fois les SID identifiés et si l'entreprise exige par exemple l'ajout d'un compte Azure AD (corporate.Account@contoso.com) comme admin local de tous les devices, notre nouvelle politique aura la configuration ci-dessous :

Erreur :

J'ai décidé de réinstaller le rôle Reporting de MECM.

Dans le log "srsrpsetup.log" je vois ça :

Deleting \\?\L:\SMS_SRSRP, FAILED, Win32 Error = 2

Cannot delete old installation directory L:\SMS_SRSRP. Error Code=2. Installation will continue.

Fatal MSI Error - srsrp.msi could not be installed.

Solution :

1. Désinstaller manuellement srsrp en utilisant le srsrp.msi --> faire un clic droit sur le msi et choisir l'option désinstaller
2. Redémarrer le composant "MECM SMS_SITE_COMPONENT_MANAGER" qui va essayer une réinstallation de srsrp.msi

Besoin :

Filtrer un EventID spécifique pour un intervalle de temps bien défini sur un regroupement de machines.

Solution :

Cela est possible en utilisant CMPivot de MECM.

CMPivot permet de sortir toutes les occurrences d'un EventID sur une période définie sur le regroupement de machines souhaitée.

Ci-dessous une requête CMPivot pour filtrer l'EventID 1034 de type Application sur une période de 365 jours :

EventLog('Application',365d) | where EventID == 1034