Matt Shadbolt de l’équipe Intune de Microsoft a publié un article expliquant comment bloquer certains fabricants de matériel via des règles de conformité Intune .
Microsoft envisagerait de permettre cette limitation de manière native dans les règles de conformité d’Intune. En attendant Matt nous propose une solution de contournement qui devrait donner des idées pour d’autres cas.
Il utilise pour cela une combinaison en deux étapes, l’une utilisant un groupe dynamique Azure AD et l’autre une stratégie de conformité basé sur un résultat impossible à obtenir.
Voici comment il procède :
Etape 1
Il crée un groupe dynamique Azure AD avec comme régle : (device.deviceOSType-contient « Android ») et (device.deviceManufacturer -eq « SomeHardwareVendor ») où SomeHardwareVendor est le nom du fabricant de périphérique.
Etape 2
Dans Intune, il crée une nouvelle stratégie de conformité de périphérique pour Android (vous devrez le faire également pour Android Enterprise). Dans les propriétés du périphérique de la stratégie, il configure la version minimale du système d’exploitation sur quelque chose d’impossible, tel que 100.
Il attribue maintenant cette stratégie de conformité au groupe de périphériques SomeHardwareVendor Android. Maintenant lors de l’enregistrement des membres du groupe sur Intune, ils seront considérés comme non conformes.
Avec ces deux étapes rapides, il empêche efficacement tout fabricant de matériel d’accéder aux ressources de l’entreprise.