Migration de vos GPO on-prem vers Intune: Analyser vos GPO on-prem depuis Intune pour voir leur équivalence

Dans cet article, nous allons voir comment utiliser Intune pour analyser vos GPO on-prems afin de trouver les équivalences sur intune.

Microsoft a récemment introduit une nouvelle fonctionnalité sur Intune ou Microsoft Endpoint Manager.
Cette dernière semble prometteuse et est une fonctionnalité très attendue qui permettra de faciliter grandement la transition des environnements on-prems vers le cloud.
En effet, la gestion des GPO est une tâche récurrente lorsque vous gérer un parc informatique, sécurités…
Dans certains environnements, vous pouvez avoir de nombreuses, très nombreuses GPOs.
Cela serait fastidieux et très long de devoir analyser chaque GPO, afin de voir si Intune avait une équivalence.
Un outil existait déjà pour analyser les GPOs on-prems et voir quelles étaient les équivalences en mode MDM.
Celui-ci se nommait MMAT. Cependant, pour le peu que j’ai pu l’utiliser, il n’était pas forcément très fiable.

Group Policy analytics (preview)

Microsoft a intégré une nouvelle fonctionnalité dans Intune nommée Group Policy analytics.
Celle-ci est pour l’instant en preview.
Pour y accéder procéder comme ci-dessous:

  1. Ouvrir le portail Microsoft Endpoint Manager admin center
  2. Allez dans Devices

3. Allez dans Group Policy analytics (Preview)

Analyser vos GPOs on-prem

Sauvegarder les GPOs on-prem

Pour analyser des GPOs de votre environnement on-prem et voir l’équivalence sur Intune, il faudra tout d’abord exporter vos GPOs on-prem.

  1. Allez dans votre environnement on-prem
  2. Ouvrir la console Group Policy Management
  1. Faites un clic droit sur une GPO
  2. Cliquez sur Save report puis choisissez le format XML

Voir l’équivalence MDM

Maintenant que nous avons sauvegarder les GPOs au format XML, il suffit d’analyser celles-ci depuis le portail.

  1. Allez dans Group Policy analytics (Preview)
  2. Cliquez sur Import
  1. Cliquez sur le bouton bleu et choissisez le XML de vos GPO on-prem
  2. Le XML va être chargé
  1. Cliquez sur le bouton X pour fermer l’écran d’importation
  2. Vos GPOs seront listées avec l’analyse en mode MDM
  1. La partie MDM support vous indique le taux de GPOs compatible
  2. Lorsque vous cliquez sur le taux, le détail des GPOs s’affiche
  1. Vous pouvez voir les différentes options, ci-dessous:
    – Setting name: Nom du paramètre géré par la GPO
    – Group policy setting: Emplacement de la GPO en mode on-prem
    – MDM support: Indication si le paramètre est supporté ou non
    – Value: Valeur appliquée au paramètre
    – Scope: Indication si c’est une GPO Users ou Computers
    – CSP name: Nom de la CSP permettant d’appliquer la même GPO depuis Intune

Analyse en action

Nous allons dans cette partie créer quelques GPOs très simples dans notre environnement on-prem.

Notre 1ère GPO se nomme GPO_Computers_Network.
Celle-ci comporte les paramètres suivants:
Computer configuration > Admin templates > Network > DNS Client > Turn off Multicast name resolution (Enabled)
Computer configuration > Admin templates > Network > Wireless Display > Require PIN pairing (Enabled)

Notre seconde GPO se nomme GPO_Computers_WinRM.
Celle-ci comporte les paramètres suivants:
Windows Components > Windows Remote Management (WinRM) > WinRM Service > Allow remote server management through WinRM (Enabled)

Notre 3ème GPO se nomme GPO_Computers_SoftwareNotif.
Celle-ci comporte les paramètres suivants:
Windows Components > Windows Update > Turn on Software Notifications (Disabled)

Après exportation de ces GPOs nous avons les trois XML suivants:
– GPO_Computers_Network.xml
– GPO_Computers_WinRM.xml
– GPO_Computers_SoftwareNotif.xml

Maintenant analysons les depuis Intune.


Ci-dessous le résultat pour GPO_Computers_Network

Comme on peut le constater, Intune ne trouve pas d’équivalence.

Ci-dessous le résultat pour GPO_Computers_WinRM

Comme on peut le constater, Intune trouve une équivalence CSP.
Le chemin du CSP est également indiqué: ./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowRemoteServerManagement

Ci-dessous le résultat pour GPO_Computers_SoftwareNotif

Comme on peut le constater, Intune ne trouve pas d’équivalence.

Dans le prochain article, nous verrons comment automatiser le processus avec PowerShell et l’API Graph.

A propos de l'auteur

Damien VAN ROBAEYS

Ingénieur Systèmes travaillant principalement sur ce qui tourne autour du poste de travail (MDT, SCCM, Intune) et l’automatisation avec PowerShell. MVP Microsoft et auteur pour ENI, il publie régulièrement sur son blog et gère différents groupes Facebook, PowerShell et WPF (~4000 membres), Windows Autopilot (~3000 membres).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *