Dans les environnements traditionnels basés sur Active Directory, l’outil « gpresult /h« est un incontournable pour diagnostiquer l’application des stratégies de groupe.
Mais qu’en est-il dans un monde moderne où la gestion des postes de travail Windows passe par Microsoft Intune ? C’est là qu’intervient IntuneDebug, un module PowerShell pensé pour offrir une visibilité similaire sur les politiques MDM appliquées sur un poste de travail.
IntuneDebug est un module qui a été développé par Jonas Ohmsen et qui a été mis à jour en Aout dernier avec des optimisations majeures. Ce module répond à un besoin : comprendre rapidement et efficacement quelles politiques Intune sont appliquées à un appareil ou à un utilisateur.
C’est un outil que j’ai pu utilisé dans un contexte client et il est très utile dans des cas de debug ou pour vérifier si votre politique s’applique comme prévu.
Installation du module
Le module est disponible sur la Powershell Gallery et est installable rapidement en saisissant cette commande dans votre invit de commande Powershell (Aucune dépendance n’est requise). Il vous faudra les droits administrateurs pour l’installation.
Install-Module -Name IntuneDebugVous pouvez aussi trouver le repo GitHub de Jonas en cliquant sur ce lien.
Exécution de l’outil
– En local
La commande Powershell permettant d’obtenir le rapport d’un poste est : Get-MDMPolicyReport
Il n’est pas nécessaire d’avoir de droit administrateurs pour exécuter cette commande, cependant, ils seront nécessaires si vous voulez obtenir l’état d’installation des applications Intune Win32.
– A partir de logs collectés à distance sur un poste distant
On utilise la même commande qu’au dessus à laquelle on y ajoute le paramètre “-MDMDiagReportPath” pour charger les logs collectés d’une machine distante
Pour collecter les logs vous avez 3 méthodes, ma préférence va à la 1ere 🙂
- Utiliser la fonction « Collect Diagnostics » que vous trouverez en sélectionnant un poste de travail dans Intune.
- Utiliser la commande suivante :
mdmdiagnosticstool.exe -area "DeviceEnrollment;DeviceProvisioning;Autopilot" -zip C:\temp\MDMDiagnosticsData.zip - Ou faire un export des logs directement depuis la partie « Compte professionnel ou scolaire » de Windows
On y trouve quoi dans ce rapport ?
Une fois le script exécutée, la sortie se fait dans un fichier HTML qui s’ouvrira automatiquement dans Microsoft Edge.
Le résultat est regroupé en sections pour faciliter la lecture du rapport.
Le rapport ressemble à cela lorsque toutes les sections sont réduites :
Chaque section apporte son lot d’informations :
Device Info : Affiche des informations générales sur l’appareil et l’état de synchronisation Intune de celui-ci
Device : Affiche tous les paramètres appliqués à l’appareil, regroupés par zone/produit.
EnterpriseDesktopAppManagement : Affiche toutes les installations d’application au format MSI.
Ressources : Affiche les politiques qui déploient par exemple un certificat ou un profil d’accès au Wifi
LAPS : Affiche tous les paramètres liés à Microsoft LAPS.
Win32Apps : Affiche toutes les installations d’application au format Win32Apps qu’elles soient installés ou en mode disponible
Petit rappel : Si vous avez besoin de plus d’informations sur l’état de l’installation, vous devez exécuter le script avec des droits administrateurs
Intune Scripts : Affiche les scripts Powershell déployés et leur état
Voici en quelques captures d’écrans le rendu :
Conclusion
Avec IntuneDebug, fini les prises de tête à essayer de comprendre ce qui s’applique à quel appareil ou utilisateur. En quelques lignes de PowerShell, on obtient un rapport clair et lisible.
C’est simple, efficace, et ça fait le job. Ce petit module te fera gagner du temps et comme il continue d’évoluer, on peut s’attendre à encore plus de fonctionnalités à l’avenir !!
Bref, un outil à garder sous le coude. Et à partager sans modération 🙂
Très bon article!