Sommaire
ToggleObjectif
Cet article va vous aider à configurer et sécuriser vos BIOS DELL via une stratégie Microsoft Intune et l’agent Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) fournit par DELL.
Une fois les prérequis mis en place, vous pourrez :
- Gérer les configurations du BIOS des appareils clients Dell.
- Obtenir un rapport sur l’état de configuration de leurs appareils clients.
- Déployer un mot de passe BIOS unique pour chaque appareil.
- La conception de ce système est native à Microsoft Intune et ne nécessite pas d’autorisation, de configuration ou d’accès à l’API externe.
Prérequis
- L’appareil doit être inscrit dans votre MDM intune
- Le runtime .NET 6.0 pour Windows x64 est nécessaire pour le fonctionnement de l’agent DCECMI
Configurateur bios CCTK
Télécharger l’application dell command configure > Dell Command | Endpoint Configure for Microsoft Intune | Driver Details | Dell US
Agent DCECMI pour Microsoft Intune
Télécharger la dernière version de dotnet Runtime 6.x Télécharger .NET 6.0 (Linux, macOS et Windows) (microsoft.com)
Télécharger l’application dell command Endpoint Configure for Microsoft Intune Dell Command | Endpoint Configure for Microsoft Intune | Driver Details | Dell US
Création du fichier de configuration CCTK
Installez et exécutez l’outil Dell Command configure Wizard sur la machine sur laquelle vous souhaitez exporter la configuration. Par exemple ici : un dell Latitude 7440.
Créez un package multi-plateforme de base, puis sélectionnez les valeurs à définir.
Si vous souhaitez utiliser la gestion des mots de passe via Intune : ne pas renseigner de mot de passe admin ! « SetuPwd »
Lorsque votre configuration est validée, cliquez sur exporter la configuration. Un fichier .cctk va être généré.
Création des packages Windows app (Win32)
Création et intégration du package Dotnet Runtime 6
Téléchargez le Dotnet Runtime 6
Convertir le package en intunewin avec Microsoft Win32 Content Prep Tool sources ici > https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool
Se connecter à Microsoft Intune : https://intune.microsoft.com/
Créer une app de type Windows app (Win32)
Sélectionnez le package intunewin de dotnet runtime 6.0.31
Ensuite remplissez les champs suivants :
Création et intégration du package Dell DCECMI
Téléchargez l’application dell command Endpoint Configure for Microsoft Intune :
Convertir le package en intunewin avec Microsoft Win32 Content Prep Tool :
Puis intégrer le package sur Intune avec les options suivantes :
Affectez l’application .net runtime 6 créée précédemment en tant que dépendance !
Une fois l’application créée, déployez-la sur un groupe de test.
Création de la stratégie de configuration pour le déploiement du profil
Se connecter à Microsoft Intune : https://intune.microsoft.com/
Naviguez dans le menu Devices > configuration puis Create > New Policy
Sélectionnez la plateforme Windows 10 and later, puis profil type Templates.
Sélectionnez BIOS configurations and other settings et cliquez sur Create :
Renseignez le nom de la stratégie :
Sélectionnez le fichier de configuration créé précédemment avec l’outil Dell Command configure Wizard
Sélectionnez Non si vous souhaitez que la gestion des mots de passe soit géré par Intune. Un mot de
passe administrateur BIOS aléatoire sera appliqué sur l’appareil !
Sélectionnez Oui si vous souhaitez effacer le mot de passe Administrateur Bios précédemment appliqué.
Remarque importante lors du déploiement d’un profil de configuration bios
- Ne ciblez jamais plusieurs profils de configuration du BIOS sur le même groupe d’appareils.
- Ne modifiez pas les profils de configuration du BIOS dont l’état est En attente.
- Attendez que le statut passe sur Réussi ou Échec avant de mettre à jours un profil de configuration
- Les modifications intempestives peuvent provoquer des conflits et des échecs ultérieurs de version du profil de configuration du BIOS. Parfois des échecs de synchronisation du mot de passe du BIOS peuvent survenir et vous ne pourrez être en mesure de récupérer le mot de passe bios !
Déploiement du profil et monitoring
Assurez-vous d’avoir déployé l’agent Dell DCECMI avant de déployer le profil.
Déployez la stratégie sur vos machines et une fois la stratégie appliquée, redémarrez l’appareil.
Pour voir le statut vous pouvez suivre le déploiement depuis la stratégie :
Cliquez sur view report pour voir le détail :
Diagnostic sur le poste de l’utilisateur
Les logs de l’agent DCECMI se trouvent dans C:\ProgramData\Dell\EndpointConfigure
Les informations détaillées sont indiquées dans le DellCommandConfigure.log
Lecture des mots de passe bios Dell
Accorder les permissions depuis graph explorer
Pour utiliser les API Graph en vue de gérer le BIOS Dell, il est nécessaire d’affecter les permissions définit ci-dessous :
Se connecter à graph explorer Graph Explorer | Try Microsoft Graph APIs – Microsoft Graph
Cliquez sur votre profil puis « Consent to permissions » :
Naviguez sur le groupe DeviceManagementManagedDevices et accordez les permissions aux éléments suivant :
- DeviceManagementConfiguration.Read.All
- DeviceManagementConfiguration.ReadWrite.All
- DeviceManagementManagedDevices.PrivilegedOperations.All
Lire le mot de passe bios des machines Dell
Se connecter a graph explorer > Graph Explorer | Try Microsoft Graph APIs – Microsoft Graph
Commande pour lister toutes les machines :
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?
Commande pour filtrer sur le numéro de série d’une machine :
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber eq ‘SERIAL DE LA MACHINE’
Voici ce qu’il se passe dans le cas de la suppression dans Intune et réinstallation de l’ordinateur celui-ci recevra un nouveau DeviceID et l’ancienne entrée de mot de passe sera vide.
Si vous souhaitez supprimer le mot de passe sur la machine :
Vous devez modifier l’option Désactiver la protection par mot de passe de l’appareil ou Fichier de configuration en chargeant un nouveau fichier de configuration .cctk.
La désinscription de l’appareil d’Intune ne supprime pas le mot de passe du BIOS. Si vous désinscrivez l’appareil avant de désactiver le mot de passe, vous devez mettre à jour le mot de passe manuellement sur l’appareil.
En conclusion
Grace aux outils fournit par Dell, il est maintenant facile de déployer des profils de configuration pour sécuriser votre parc efficacement. Toutefois, soyez vigilent il est impératif de tester vos profils de configuration avant mise en production !
Article écrit par Stéphane ROHR