OfficeWindows 10Windows 11

Ré-enrôler manuellement un ordinateur sur Intune

Précisions sur l’enrôlement Intune

Il existe plusieurs possibilités d’enrôler un PC sur Intune (maintenant nommé Microsoft Endpoint Manager) :
– Manuellement, durant l’OOBE (Out Of Box Experience) au démarrage d’un PC neuf.
– Manuellement, via les paramètres Windows, après configuration d’un PC.
– Automatiquement, en utilisant une jonction AzureAD + un enrôlement automatique à Intune.
– Automatiquement, en utilisant une jonction AzureAD Hybride + un enrôlement automatique à Intune.

Pour les enrôlement automatiques, il faut créer, au préalable, les enregistrement DNS enterpriseregistration et enterpriseenrollment

Problème

Il peut arriver, pour plusieurs raisons, que l’enrôlement pose problème.
Par exemple, une mauvaise configuration de départ de l’enrôlement d’Intune, qui empêche les périphériques d’être enrôlés. On doit alors les enrôler manuellement pour les manager sur Intune/MEM.

Il peut aussi arriver que le statut d’enrôlement Intune soit dans un état incohérent, rendant les stratégies inapplicables sur le périphérique. Par exemple, si le PC a été laissé éteint trop longtemps (le certificat Intune est alors expiré), si le certificat est supprimé manuellement, ou si le PC a été enrôlé sur Intune avec un autre tenant.

On obtient alors des erreurs, spécifiant par exemple que la synchronisation est impossible.

Pour corriger ce problème, on peut réinscrire le périphérique sur Intune. Pour cela, deux méthodes.

Réinscription manuelle, avec perte de données

Il suffit de se rendre dans les paramètres, puis dans les comptes professionnels ou scolaires.

Déconnecter le compte.

 

Avec cette procédure, vous allez cependant perdre les données et les configurations poussées précédemment par Intune.

Sans perdre les données, ni les configurations et applications

Il existe une méthode manuelle, non officiellement supportée par Microsoft, pour réinscrire un ordinateur sur Intune.

Suppression de la tâche planifiée

Il existe une tâche planifiée, pour exécuter l’enrôlement au login d’un utilisateur. Il nous faut supprimer cette tâche :

Tâches planifiées > Microsoft Windows EnterpriseMgmt

Supprimer toutes les tâches qui sont dans le répertoire en question.

Notez l’ID d’enrôlement, nous en aurons besoin plus loin.

Une fois toutes les tâches supprimées, il faut aussi supprimer le répertoire qui porte l’ID.

Suppressions dans le registre

Nous allons maintenant lancer regedit, pour supprimer des clés de registre :

Lancer regedit en tant qu’administrateur.

Chercher ces clés, et (si elles sont présentes) les supprimer :
(xxxxxxxxxxxxx correspond ici à l’ID d’enrôlement, relevé dans l’étape précédente)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments\Status\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseResourceManager\Tracked\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxInstalled\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Accounts\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Logger\xxxxxxxxxxxxx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\Sessions\xxxxxxxxxxxxx

Supprimer le certificat d’enrôlement MEM

Dernière suppression : Le certificat d’enrôlement Intune. Pour cela, il faut lancer la console de management des certificats de l’ordinateur (certlm.msc) en tant qu’administrateur.

Il faut supprimer le certificat qui se trouve dans Personnel > Certificats.

Le certificat sera identifiable par l’identité qui l’a délivré (colonne « Délivré par »). Ce sera “Microsoft Intune MDM Device CA” ou “SC_Online_Issuing” (le nom a changé, et dépendra donc de la date d’enrôlement).

A ce niveau, nous aurons supprimé le nécessaire, permettant de lancer un nouvel enrôlement.

Si toutefois le PC n’avait par exemple pas été enrôlé sur MEM, vous ne trouverez aucune trace de ces trois éléments. Vous pourrez alors passer à la dernière étape, permettant d’ajouter l’équipement à Intune, sans le sortir d’AzureAD.

Processus de ré-enrôlement

Nous allons devoir lancer le processus d’enrôlement comme s’il était initié par le système. Pour cela, nous utiliserons le très pratique outil PSExec de la suite Sysinternals.

Exécuter la commande suivante :

psexec /i /s cmd

Une nouvelle invite de commande sera exécutée, en tant que System.

Il faudra ensuite lancer le processus selon le type d’enrôlement :

Windows 10/11 Entreprise

%windir%\system32\deviceenroller.exe /c /AutoEnrollMDM

Windows 10/11 Multisession pour Azure Virtual Desktop

%windir%\system32\deviceenroller.exe /c /AutoEnrollMDMUsingAADDeviceCredential

Si vous vérifiez à nouveau, vous constaterez qu’un nouveau certificat d’enrôlement a été ajouté dans le catalogue.

Vous devez maintenant voir apparaitre l’appareil en question dans la liste des devices, sur Endpoint Manager.

Vous pouvez lancer la synchronisation, via la gestion du compte :

Conclusion

Cette procédure vous aura permis de corriger le tir, après un problème de désynchro sur Intune/MEM.

Cependant, je tiens à préciser à nouveau que l’opération n’est pas officiellement supportée par Microsoft. Elle provient d’une analyse empirique du processus d’enrôlement, qui est susceptible d’évoluer. Et donc, cette procédure pourrait ne plus fonctionner du jour au lendemain.

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page