Metsys Blog

Configuration et sécurisation des BIOS DELL avec Microsoft Intune

Cliquez pour évaluer cet article !
3 avis

Objectif

Cet article va vous aider à configurer et sécuriser vos BIOS DELL via une stratégie Microsoft Intune et l’agent Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) fournit par DELL.

Une fois les prérequis mis en place, vous pourrez :

  • Gérer les configurations du BIOS des appareils clients Dell.
  • Obtenir un rapport sur l’état de configuration de leurs appareils clients.
  • Déployer un mot de passe BIOS unique pour chaque appareil.
  • La conception de ce système est native à Microsoft Intune et ne nécessite pas d’autorisation, de configuration ou d’accès à l’API externe.

Prérequis

  • L’appareil doit être inscrit dans votre MDM intune
  • Le runtime .NET 6.0 pour Windows x64 est nécessaire pour le fonctionnement de l’agent DCECMI

Configurateur bios CCTK

Télécharger l’application dell command configure > Dell Command | Endpoint Configure for Microsoft Intune | Driver Details | Dell US

Agent DCECMI pour Microsoft Intune

Télécharger la dernière version de dotnet Runtime 6.x Télécharger .NET 6.0 (Linux, macOS et Windows) (microsoft.com)

Télécharger l’application dell command Endpoint Configure for Microsoft Intune  Dell Command | Endpoint Configure for Microsoft Intune | Driver Details | Dell US

Création du fichier de configuration CCTK

Installez et exécutez l’outil Dell Command configure Wizard sur la machine sur laquelle vous souhaitez exporter la configuration. Par exemple ici : un dell Latitude 7440.

Créez un package multi-plateforme de base, puis sélectionnez les valeurs à définir.

Si vous souhaitez utiliser la gestion des mots de passe via Intune : ne pas renseigner de mot de passe admin ! « SetuPwd »

Lorsque votre configuration est validée, cliquez sur exporter la configuration. Un fichier .cctk va être généré.

Création des packages Windows app (Win32)

Création et intégration du package Dotnet Runtime 6

Téléchargez le Dotnet Runtime 6

Convertir le package en intunewin avec Microsoft Win32 Content Prep Tool sources ici > https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool

Se connecter à Microsoft Intune : https://intune.microsoft.com/

Créer une app de type Windows app (Win32)

Sélectionnez le package intunewin de dotnet runtime 6.0.31

Ensuite remplissez les champs suivants :

Création et intégration du package Dell DCECMI

Téléchargez l’application dell command Endpoint Configure for Microsoft Intune :

Convertir le package en intunewin avec Microsoft Win32 Content Prep Tool :

Puis intégrer le package sur Intune avec les options suivantes :

Affectez l’application .net runtime 6 créée précédemment en tant que dépendance !

Une fois l’application créée, déployez-la sur un groupe de test.

Création de la stratégie de configuration pour le déploiement du profil

Se connecter à Microsoft Intune : https://intune.microsoft.com/

Naviguez dans le menu Devices > configuration puis Create New Policy

Sélectionnez la plateforme Windows 10 and later, puis profil type Templates.

Sélectionnez BIOS configurations and other settings et cliquez sur Create :

Renseignez le nom de la stratégie :

Sélectionnez le fichier de configuration créé précédemment avec l’outil Dell Command configure Wizard 

Sélectionnez Non si vous souhaitez que la gestion des mots de passe soit géré par Intune. Un mot de 
passe administrateur BIOS aléatoire sera appliqué sur l’appareil !

Sélectionnez Oui si vous souhaitez effacer le mot de passe Administrateur Bios précédemment appliqué.

Remarque importante lors du déploiement d’un profil de configuration bios

  • Ne ciblez jamais plusieurs profils de configuration du BIOS sur le même groupe d’appareils.
  • Ne modifiez pas les profils de configuration du BIOS dont l’état est En attente.
  • Attendez que le statut passe sur Réussi ou Échec avant de mettre à jours un profil de configuration
  • Les modifications intempestives peuvent provoquer des conflits et des échecs ultérieurs de version du profil de configuration du BIOS. Parfois des échecs de synchronisation du mot de passe du BIOS peuvent survenir et vous ne pourrez être en mesure de récupérer le mot de passe bios !

Déploiement du profil et monitoring

Assurez-vous d’avoir déployé l’agent Dell DCECMI avant de déployer le profil.

Déployez la stratégie sur vos machines et une fois la stratégie appliquée, redémarrez l’appareil.

Pour voir le statut vous pouvez suivre le déploiement depuis la stratégie :

Cliquez sur view report pour voir le détail :

Diagnostic sur le poste de l’utilisateur

Les logs de l’agent DCECMI se trouvent dans C:\ProgramData\Dell\EndpointConfigure

Les informations détaillées sont indiquées dans le DellCommandConfigure.log

Lecture des mots de passe bios Dell

Accorder les permissions depuis graph explorer

Pour utiliser les API Graph en vue de gérer le BIOS Dell, il est nécessaire d’affecter les permissions définit ci-dessous :

Se connecter à graph explorer Graph Explorer | Try Microsoft Graph APIs – Microsoft Graph

Cliquez sur votre profil puis « Consent to permissions » :

Naviguez sur le groupe DeviceManagementManagedDevices et accordez les permissions aux éléments suivant :

  • DeviceManagementConfiguration.Read.All
  • DeviceManagementConfiguration.ReadWrite.All
  • DeviceManagementManagedDevices.PrivilegedOperations.All 

Lire le mot de passe bios des machines Dell

Se connecter a graph explorer > Graph Explorer | Try Microsoft Graph APIs – Microsoft Graph

Commande pour lister toutes les machines :

https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?

Commande pour filtrer sur le numéro de série d’une machine :

https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber eq ‘SERIAL DE LA MACHINE’

Voici ce qu’il se passe dans le cas de la suppression dans Intune et réinstallation de l’ordinateur celui-ci recevra un nouveau DeviceID et l’ancienne entrée de mot de passe sera vide.

Si vous souhaitez supprimer le mot de passe sur la machine :

Vous devez modifier l’option Désactiver la protection par mot de passe de l’appareil ou Fichier de configuration en chargeant un nouveau fichier de configuration .cctk.

La désinscription de l’appareil d’Intune ne supprime pas le mot de passe du BIOS. Si vous désinscrivez l’appareil avant de désactiver le mot de passe, vous devez mettre à jour le mot de passe manuellement sur l’appareil.

En conclusion

Grace aux outils fournit par Dell, il est maintenant facile de déployer des profils de configuration pour sécuriser votre parc efficacement. Toutefois, soyez vigilent il est impératif de tester vos profils de configuration avant mise en production !

Article écrit par Stéphane ROHR

Notez cet article

Vous avez aimé cet article ?

Rendez-le plus visible auprès des internautes en lui mettant une bonne note.

Cliquez pour évaluer cet article !
3 avis

Articles pouvant vous intéresser