Dans cet article nous allons voir comment utiliser la fonctionnalité Endpoint Analytics Proactive Remediation.
Nous verrons dans les prochains articles quelques exemples concrets:
- Vérification de poste avec des problèmes de drivers
- Vérification de redémarrage en attente sur les postes
Endpoint Analytics Proactive Remediation
Cette fonctionnalité, très utile, permet de détecter et résoudre de potentiels problèmes à distance sur vos appareils de manière proactive et transparente.
Cela vous permettra également dans le cas où la résolution n’est pas possible à distance, d’informer l’utilisateur qu’il doit effectuer une action spécifique sur son poste ou contacter son support.
Cette fonctionnalité vous permet d’effectuer les actions suivantes :
- Vérifier un cas spécidique comme date de scan antivirus, admin local…
- Résoudre le problème de ce cas comme supprimer l’admin local…
- Afficher une notification à l’utilisateur qu’un problème est présent
Pour y accéder, il faudra procéder comme ci-dessous :
- Allez dans the Microsoft Endpoint manager admin center
- Allez dans Reports
- Allez dans Endpoint analytics
- Allez dans Proactive remediations
- Activer la fonctionnalité
Quelques exemples:
Comment cela fonctionne ?
La Proactive Remediation se compose en deux scripts possibles:
- Detection script
- Remediation script
Script de détection
Le script de détection permet de vérifier un cas spécifique.
En fonction du résultat de ce script, un code retour permettra de déclencher ou non le script de remédiation:
- Le script ne répond pas à nos attentes: exit code 1
- Le script répond pas à nos attentes: exit code 0
Si l’exit code est sur 1, le script de rémédiation sera exécuté.
Dans l’exemple de chasse aux admin locaux, le script de détection retournera un exit code à 1 si des admin locaux (qui ne doivent pas l’être) ont été détéctés.
Dans notre exemple de vérification des drivers, si un driver est désactivé ou non installé, l’exit code sera à 1.
Script de remediation
Le script de remédiation quant à lui, comme son nom l’indique, permet d’effectuer une action si le script de détection ne répond pas à nos attentes, avec un exit code à 1.
Ce script permettra de résoudre le problème ou d’effectuer une autre action telle qu’afficher une notification à l’utilisateur.
Dans l’exemple de chasse aux admin locaux, la remédiation pourra être de supprimer les utilisateurs membres du groupe admin local.
Dans l’exemple de vérification des drivers, la remédiation pourra être d’afficher une notification à l’utilisateur, l’informant de contacter son support.
Votre script de remédiation devra lui aussi comporter un Exit code à 0 si tout est bon.
Une fois le script de remédiation effectué avec succès, votre script de détection sera réexécuté afin de vérifier que le problème est résolu.
Création du package de remediation
- Cliquez sur Create script package
- Saisissez un nom
- Cliquez sur Next
- Cliquez sur Detection script file
- Naviguez jusqu’au script PowerShell de détection
- Cliquez sur Remediation script file
- Naviguez jusqu’au script PowerShell de remédiation
- Cliquez sur Next
- Choisissez votre assignment
- Dans la partie Schedule, choisissez quand devra être exécuté le package
- Dans notre cas, nous allons choisisr toutes les 3 heures (pour nos tests)
- Cliquez sur Apply
- Cliquez sur Next
- Cliquez Create
Vérification du status
Rapport global
Un 1er rapport vous donne un aperçu global sur vos différents packages de remédiation.
Dans ce rapport vous pouvez voir les état suivants :
- Status: Status du package de rémédiation
- Without issues: postes avec exit code 0 sur le script de détection
- Detection failed: postes avec exit code 1 sur le script de détection
- With issues: postes avec exit code 1 sur le script de détection
- Issue fixed: postes avec exit code 0 sur le script de détection de remédiation
- Recurred: postes avec exit code 1 sur la second exécution du script de détection
Status par package
Lorsque vous cliquez sur votre package, la partie Device Status vous permet d’avoir le status de ce dernier.
Vous pouvez ainsi obtenir la liste des appareils sur lesquels le package de remédiation s’est exécuté ainsi que le status de détection et remédiation.
