Ré-enrôler manuellement un ordinateur sur Intune
Précisions sur l’enrôlement Intune
Il existe plusieurs possibilités d’enrôler un PC sur Intune (maintenant nommé Microsoft Endpoint Manager) :
– Manuellement, durant l’OOBE (Out Of Box Experience) au démarrage d’un PC neuf.
– Manuellement, via les paramètres Windows, après configuration d’un PC.
– Automatiquement, en utilisant une jonction AzureAD + un enrôlement automatique à Intune.
– Automatiquement, en utilisant une jonction AzureAD Hybride + un enrôlement automatique à Intune.
Pour les enrôlement automatiques, il faut créer, au préalable, les enregistrement DNS enterpriseregistration et enterpriseenrollment
Problème
Il peut arriver, pour plusieurs raisons, que l’enrôlement pose problème.
Par exemple, une mauvaise configuration de départ de l’enrôlement d’Intune, qui empêche les périphériques d’être enrôlés. On doit alors les enrôler manuellement pour les manager sur Intune/MEM.
Il peut aussi arriver que le statut d’enrôlement Intune soit dans un état incohérent, rendant les stratégies inapplicables sur le périphérique. Par exemple, si le PC a été laissé éteint trop longtemps (le certificat Intune est alors expiré), si le certificat est supprimé manuellement, ou si le PC a été enrôlé sur Intune avec un autre tenant.
On obtient alors des erreurs, spécifiant par exemple que la synchronisation est impossible.
Pour corriger ce problème, on peut réinscrire le périphérique sur Intune. Pour cela, deux méthodes.
Réinscription manuelle, avec perte de données
Il suffit de se rendre dans les paramètres, puis dans les comptes professionnels ou scolaires.
Déconnecter le compte.
Avec cette procédure, vous allez cependant perdre les données et les configurations poussées précédemment par Intune.
Sans perdre les données, ni les configurations et applications
Il existe une méthode manuelle, non officiellement supportée par Microsoft, pour réinscrire un ordinateur sur Intune.
Suppression de la tâche planifiée
Il existe une tâche planifiée, pour exécuter l’enrôlement au login d’un utilisateur. Il nous faut supprimer cette tâche :
Tâches planifiées > Microsoft > Windows > EnterpriseMgmt
Supprimer toutes les tâches qui sont dans le répertoire en question.
Notez l’ID d’enrôlement, nous en aurons besoin plus loin.
Une fois toutes les tâches supprimées, il faut aussi supprimer le répertoire qui porte l’ID.
Suppressions dans le registre
Nous allons maintenant lancer regedit, pour supprimer des clés de registre :
Lancer regedit en tant qu’administrateur.
Chercher ces clés, et (si elles sont présentes) les supprimer :
(xxxxxxxxxxxxx correspond ici à l’ID d’enrôlement, relevé dans l’étape précédente)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\Status\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseResourceManager\Tracked\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxInstalled\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Accounts\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Logger\xxxxxxxxxxxxx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Sessions\xxxxxxxxxxxxx
Supprimer le certificat d’enrôlement MEM
Dernière suppression : Le certificat d’enrôlement Intune. Pour cela, il faut lancer la console de management des certificats de l’ordinateur (certlm.msc) en tant qu’administrateur.
Il faut supprimer le certificat qui se trouve dans Personnel > Certificats.
Le certificat sera identifiable par l’identité qui l’a délivré (colonne « Délivré par »). Ce sera “Microsoft Intune MDM Device CA” ou “SC_Online_Issuing” (le nom a changé, et dépendra donc de la date d’enrôlement).
A ce niveau, nous aurons supprimé le nécessaire, permettant de lancer un nouvel enrôlement.
Si toutefois le PC n’avait par exemple pas été enrôlé sur MEM, vous ne trouverez aucune trace de ces trois éléments. Vous pourrez alors passer à la dernière étape, permettant d’ajouter l’équipement à Intune, sans le sortir d’AzureAD.
Processus de ré-enrôlement
Nous allons devoir lancer le processus d’enrôlement comme s’il était initié par le système. Pour cela, nous utiliserons le très pratique outil PSExec de la suite Sysinternals.
Exécuter la commande suivante :
psexec /i /s cmd
Une nouvelle invite de commande sera exécutée, en tant que System.
Il faudra ensuite lancer le processus selon le type d’enrôlement :
Windows 10/11 Entreprise
%windir%\system32\deviceenroller.exe /c /AutoEnrollMDM
Windows 10/11 Multisession pour Azure Virtual Desktop
%windir%\system32\deviceenroller.exe /c /AutoEnrollMDMUsingAADDeviceCredential
Si vous vérifiez à nouveau, vous constaterez qu’un nouveau certificat d’enrôlement a été ajouté dans le catalogue.
Vous devez maintenant voir apparaitre l’appareil en question dans la liste des devices, sur Endpoint Manager.
Vous pouvez lancer la synchronisation, via la gestion du compte :
Conclusion
Cette procédure vous aura permis de corriger le tir, après un problème de désynchro sur Intune/MEM.
Cependant, je tiens à préciser à nouveau que l’opération n’est pas officiellement supportée par Microsoft. Elle provient d’une analyse empirique du processus d’enrôlement, qui est susceptible d’évoluer. Et donc, cette procédure pourrait ne plus fonctionner du jour au lendemain.