Script de remédiation
Compréhension
Le script de détection, lors de la création, va permettre d’identifier si le script de remédiation doit être exécuté ou non.
- Si le script ressort un « Exit 0 », alors le device est compliant et rien de plus n’est exécuté.
- Si le script ressort un « Exit 1 », alors le device n’est pas compliant et donc le script de remédiation sera exécuté.
Cas pratique
Lors de la configuration de certaines Teams Room Pro, certains comptes Admin sont restés présents malgré une stratégie Intune pour les renommer avec un nom différent pour ensuite appliquer sur LAPS.
Afin de les désactiver, j’ai du passer un script de remédiation.
Dans Intune > Devices > Scripts and remediations > Create
Script de détection :
$user = "Admin"
if ((Get-LocalUser -Name $user).Enabled)
{
Write-Host "$user is already Enabled"
Exit 1
}
Else {
Write-Host "$user is not Enabled"
Exit 0
}Puis script de remédiation :
$user = "Admin"
if (((Get-localuser -Name $user).Enabled) -eq $true)
{
try{
Write-Host "Lock User"
Disable-Localuser -Name $user
Exit 0
}
Catch {
Write-Host "$user is already Disabled"
Write-error $_
Exit 1
}
}
Else {
Write-Host "$user is already Disabled"
Exit 1
}Puis on décoche les 2 cases et on coche « Run script in 64-bit PowerShell »
Configuration
Déploiement NTP
Dans Device > Configuration > Administrative Templates
System > Windows Time Service > Time Providers
Cocher : Configure Windows NTP Client et Enable Windows NTP Client
Pas besoin de script pour démarrer le service w32tm, ça se fera tout seul