Utiliser Windows Sandbox comme poste de test Intune au lieu d’une VM (enrollment manuel et automatique)

Dans cet article nous verrons comment enrôler Windows Sandbox dans Intune afin de l’utiliser comme un appareil de test au lieu d’utiliser une machine virtuelle.
Nous verrons également comment fair en sorte que Windows Sandbox soit automatiquement enrôler à son lancement.

Allier Windows Sandbox et Intune ?

Windows Sandbox est une fonctionnalité géniale vous permettant d’utiliser un environnement isolé de votre système d’exploitation.
Vous pouvez par exemple y tester des EXE, MSI, PS1… sans impact sur votre machine principale.
Vous trouverez ici, un outil que j’ai créé, permettant d’exécuter des fichiers (PS1, VBS, EXE, MSI, Intunewin, extract zip) directement dans Windows Sandbox en faisant un clic droit sur le fichier.
Pourquoi ne pas utiliser Windows Sandbox afin de tester vos implémentations avec Intune.
En effet cela vous permettrait par exemple de tester des applications Win32, scripts PowerShell, script Proactive Remediation…

Enroller manuellement Windows Sandbox

Nous allons procéder comme ci-dessous:1. Ouvrir Windows Sandbox

  1. Cliquez sur le menu démarrer
  2. Allez dans Access Work and school
  1. Cliquez sur Connect
  1. Saisissez mail et mot de passe
  1. La sandbox sera enrôlée
  1. Attendez un peu

Vous pouvez également accéder à l’interface Access Work and school en PowerShell:

Start-Process ms-device-enrollment:?mode=mdm"&"username=username

Ci-dessous le résultat:

Vérifier l’enrollment

  1. Allez dans Windows Sandbox
  2. Allez dans C:\ProgramData\Microsoft
  3. Vous trouverez le dossier IntuneManagementExtension
  1. Allez dans Services
  2. Vous trouverez Microsoft Intune ManagementExtension

Comportement après la fermeture de Windows Sandbox

Lorsque vous fermez Windows Sandbox, celle-ci sera toujours présente dans Intune mais non gérable.
Lorsque vous ouvrez et enrôlez à nouveau Windows Sandbox, elle sera à nouveau gérable dans Intune.
Cela ne vas pas créer une nouvelle entrée.
Ci-dessous le résultat quand Sandbox est utilisée:


Ci-dessous le résultat quand Sandbox est fermée:

Déployer des choses dans Sandbox

Créer un groupe approprié

  1. Allez dans Group
  2. Créez un groupe Sandbox
  3. Ajoutez la Windows Sandbox

Déployez des applis Win32

Pour toutes les applis Win32 nous procéderons comme ci-dessous:

  1. Allez dans votre appli Win32 app
  2. Allez dans Properties
  3. Dans assignment, ajoutez le groupe approprié

L’exemple suivant montre l’installation de MDT en tant qu’appli Win32.
Ci-dessous la notification depuis la Sandbox:


Ci-dessous le résultat du panneau de configuration:

L’exemple suivant montre l’installation de Notepad++ en tant qu’appli Win32.
Ci-dessous le résultat du panneau de configuration:

L’exemple suivant montre l’installation d’un script permettant d’afficher une notification header.
Ci-dessous la notification depuis la Sandbox:

Deploy Proactive Remediation script

Nous procéderons comme ci-dessous:

  1. Allez dans votre script
  2. Allez dans Properties
  3. Dans assignment ajoutez le groupe
  4. Allez dans Windows Sandbox
  5. Redémarrez le service Microsoft Intune ManagementExtension
  6. Allez dans C:\Windows\IMECache\HealthScripts

Enroller automatiquement Windows Sandbox

Pour enrôler automatiquement Windows Sandbox dans Intune, à son lancement nous procéderons comme ci-dessous:

  1. Créez un provisioned package (ppkg file)
  2. Installez le package dans Sandbox
  3. Nous allons ensuite créer un WSB

Créer le provisioned package

  1. Allez dans MS Store sur votre poste
  2. Cherchez Windows Configuration Designer
  3. Installez le
  4. Allez dans Windows Configuration Designer
  5. Allez dans Provision desktop devices
  1. Dans Set up device, saisissez un nom
  1. Dans Set up network, désactivez
  1. Dans Account management cliquez sur Enroll in Azure AD
  2. Cliquez sur Get Bult Token
  1. Saisissez mail et mot de passe
  1. Passez Add applications
  2. Passez Add certificates
  3. Allez dans Switch to advanced editor, en bas
  4. Allez dans Accounts > Azure
  5. Vérifiez que Authority and BPRT sont remplies
  1. Allez dans DevDetails > DNSComputerName, supprimez le
  1. Allez dans OOBE > HideOOBE
  1. Mettre sur True
  2. Cliquez sur Export > Provisioned package
  1. Cliquez sur Next deux fois

Install le ppkg

  1. Ouvrir Windows Sandbox
  2. Copiez le provisioned package dans votre Sandbox
  3. Exécutez le fichier PPKG
  1. Cliquez sur Yes
  2. Cliquez sur Yes, Add it

Vérifier l’installation

  1. Allez dans Access work or school
  2. Allez dans Add or remove a provioning package
  1. Retournez dans Access work or school
  2. Vous devrez voir votre tenant

Automatiser avec un WSB

Le fichier WSB vous permettra de lancer un environnement Windows Sandbox enrôlé automatiquement dans Intune sans toucher l’image de base.

  1. Créez un fichier WSB comme ci-dessous:
<Configuration>
<VGpu>Enable</VGpu>
<Networking>Enable</Networking>
<AudioInput>Default</AudioInput>
<VideoInput>Default</VideoInput>
<ProtectedClient>Default</ProtectedClient>
<PrinterRedirection>Default</PrinterRedirection>
<ClipboardRedirection>Default</ClipboardRedirection>
<MemoryInMB></MemoryInMB>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\damien.vanrobaeys\OneDrive - METSYS\Documents\Windows Imaging and Configuration Designer (WICD)\sandbox_enrollment1</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -sta -noprofile -executionpolicy unrestricted -command "Install-ProvisioningPackage "C:\Users\WDAGUtilityAccount\Desktop\sandbox_enrollment1\sandbox_enrollment1.ppkg -forceinstall -quietinstall""</Command>
</LogonCommand>
</Configuration>
  1. Exécutez le
  2. La Sandbox sera automatiquement enrôlée

A propos de l'auteur

Ingénieur Systèmes travaillant principalement sur ce qui tourne autour du poste de travail (MDT, SCCM, Intune) et l’automatisation avec PowerShell. MVP Microsoft et auteur pour ENI, il publie régulièrement sur son blog et gère différents groupes Facebook, PowerShell et WPF (~4000 membres), Windows Autopilot (~3000 membres).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *