Sommaire
ToggleDans cet article nous verrons comment enrôler Windows Sandbox dans Intune afin de l’utiliser comme un appareil de test au lieu d’utiliser une machine virtuelle.
Nous verrons également comment fair en sorte que Windows Sandbox soit automatiquement enrôler à son lancement.
Allier Windows Sandbox et Intune ?
Windows Sandbox est une fonctionnalité géniale vous permettant d’utiliser un environnement isolé de votre système d’exploitation.
Vous pouvez par exemple y tester des EXE, MSI, PS1… sans impact sur votre machine principale.
Vous trouverez ici, un outil que j’ai créé, permettant d’exécuter des fichiers (PS1, VBS, EXE, MSI, Intunewin, extract zip) directement dans Windows Sandbox en faisant un clic droit sur le fichier.
Pourquoi ne pas utiliser Windows Sandbox afin de tester vos implémentations avec Intune.
En effet cela vous permettrait par exemple de tester des applications Win32, scripts PowerShell, script Proactive Remediation…
Enroller manuellement Windows Sandbox
Nous allons procéder comme ci-dessous :
- Ouvrir Windows Sandbox
- Cliquez sur le menu démarrer
- Allez dans Access Work and school
- Cliquez sur Connect
- Saisissez mail et mot de passe
- La sandbox sera enrôlée
- Attendez un peu
Vous pouvez également accéder à l’interface Access Work and school en PowerShell :
Start-Process ms-device-enrollment:?mode=mdm"&"username=username
Ci-dessous le résultat :
Vérifier l’enrollment
- Allez dans Windows Sandbox
- Allez dans C:\ProgramData\Microsoft
- Vous trouverez le dossier IntuneManagementExtension
- Allez dans Services
- Vous trouverez Microsoft Intune ManagementExtension
Comportement après la fermeture de Windows Sandbox
Lorsque vous fermez Windows Sandbox, celle-ci sera toujours présente dans Intune mais non gérable.
Lorsque vous ouvrez et enrôlez à nouveau Windows Sandbox, elle sera à nouveau gérable dans Intune.
Cela ne vas pas créer une nouvelle entrée.
Ci-dessous le résultat quand Sandbox est utilisée :
Ci-dessous le résultat quand Sandbox est fermée :
Déployer des choses dans Sandbox
Créer un groupe approprié
- Allez dans Group
- Créez un groupe Sandbox
- Ajoutez la Windows Sandbox
Déployez des applis Win32
Pour toutes les applis Win32 nous procéderons comme ci-dessous:
- Allez dans votre appli Win32 app
- Allez dans Properties
- Dans assignment, ajoutez le groupe approprié
L’exemple suivant montre l’installation de MDT en tant qu’appli Win32.
Ci-dessous la notification depuis la Sandbox :
Ci-dessous le résultat du panneau de configuration :
L’exemple suivant montre l’installation de Notepad++ en tant qu’appli Win32.
Ci-dessous le résultat du panneau de configuration :
L’exemple suivant montre l’installation d’un script permettant d’afficher une notification header.
Ci-dessous la notification depuis la Sandbox :
Deploy Proactive Remediation script
Nous procéderons comme ci-dessous :
- Allez dans votre script
- Allez dans Properties
- Dans assignment ajoutez le groupe
- Allez dans Windows Sandbox
- Redémarrez le service Microsoft Intune ManagementExtension
- Allez dans C:\Windows\IMECache\HealthScripts
Enroller automatiquement Windows Sandbox
Pour enrôler automatiquement Windows Sandbox dans Intune, à son lancement nous procéderons comme ci-dessous :
- Créez un provisioned package (ppkg file)
- Installez le package dans Sandbox
- Nous allons ensuite créer un WSB
Créer le provisioned package
- Allez dans MS Store sur votre poste
- Cherchez Windows Configuration Designer
- Installez le
- Allez dans Windows Configuration Designer
- Allez dans Provision desktop devices
- Dans Set up device, saisissez un nom
- Dans Set up network, désactivez
- Dans Account management cliquez sur Enroll in Azure AD
- Cliquez sur Get Bult Token
- Saisissez mail et mot de passe
- Passez Add applications
- Passez Add certificates
- Allez dans Switch to advanced editor, en bas
- Allez dans Accounts > Azure
- Vérifiez que Authority and BPRT sont remplies
- Allez dans DevDetails > DNSComputerName, supprimez le
- Allez dans OOBE > HideOOBE
- Mettre sur True
- Cliquez sur Export > Provisioned package
- Cliquez sur Next deux fois
Install le ppkg
- Ouvrir Windows Sandbox
- Copiez le provisioned package dans votre Sandbox
- Exécutez le fichier PPKG
- Cliquez sur Yes
- Cliquez sur Yes, Add it
Vérifier l’installation
- Allez dans Access work or school
- Allez dans Add or remove a provioning package
- Retournez dans Access work or school
- Vous devrez voir votre tenant
Automatiser avec un WSB
Le fichier WSB vous permettra de lancer un environnement Windows Sandbox enrôlé automatiquement dans Intune sans toucher l’image de base.
- Créez un fichier WSB comme ci-dessous :
<Configuration>
<VGpu>Enable</VGpu>
<Networking>Enable</Networking>
<AudioInput>Default</AudioInput>
<VideoInput>Default</VideoInput>
<ProtectedClient>Default</ProtectedClient>
<PrinterRedirection>Default</PrinterRedirection>
<ClipboardRedirection>Default</ClipboardRedirection>
<MemoryInMB></MemoryInMB>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\damien.vanrobaeys\OneDrive - METSYS\Documents\Windows Imaging and Configuration Designer (WICD)\sandbox_enrollment1</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -sta -noprofile -executionpolicy unrestricted -command "Install-ProvisioningPackage "C:\Users\WDAGUtilityAccount\Desktop\sandbox_enrollment1\sandbox_enrollment1.ppkg -forceinstall -quietinstall""</Command>
</LogonCommand>
</Configuration>
- Exécutez le
- La Sandbox sera automatiquement enrôlée