EPM, Troubleshooting & Prépa · Lab Final Intune C365

0

Contexte : Argos adopte le principe du moindre privilège

😰

Situation actuelle

Argos a 15 développeurs et 5 power users avec des droits administrateurs locaux. Une seule machine compromise peut permettre un mouvement latéral sur le réseau. Les tickets IT pour installer des logiciels coûtent 30 min/ticket.

🔐

Avec EPM

Tous les utilisateurs passent en standard user. EPM permet d'élever des applications spécifiques sans droits admin permanents. Zero Trust : least privilege tout en restant productif. Chaque élévation est journalisée.

🔑

Licence requise

📦 Microsoft Intune Suite
➕ Add-on EPM (standalone)
→ EPM fait partie des "Microsoft Intune advanced capabilities"

⛔ EPM s'applique uniquement aux appareils Windows (pas macOS, pas iOS, pas Android). L'agent EPM est installé automatiquement sur le device quand une Elevation settings policy lui est assignée. Le binaire se trouve dans C:\Program Files\Microsoft EPM Agent.

1

Les 2 policies EPM : Settings vs Rules

🔧 Elevation Settings Policy

Rôle

Contrôle le client EPM, le niveau de reporting et le comportement par défaut d'élévation

Effet sur le device

Installe automatiquement l'agent EPM quand assignée

Paramètre clé

Default elevation response : Allow / Deny / User confirmed (comportement si aucune règle ne correspond)

Reporting

Niveau de log : Off / Basic / Enhanced. Enhanced = toutes les élévations avec métadonnées complètes

Navigation

Endpoint security → Endpoint Privilege Management → Policies → Elevation settings

📋 Elevation Rules Policy

Rôle

Définit les règles d'élévation pour des binaires ou scripts spécifiques

Limite

Max 100 règles par policy. Plusieurs policies possibles par tenant.

Ciblage

Assignable à des groupes d'utilisateurs OU de devices

Validation

File hash · Publisher certificate · File path · File name + arguments allowlist

Navigation

Endpoint security → Endpoint Privilege Management → Policies → Elevation rules

💡 Ordre d'application : EPM cherche d'abord une règle correspondante dans les Elevation rules policies. Si aucune règle ne correspond → il applique le comportement par défaut défini dans l'Elevation settings policy. Pour déployer EPM : créer une Elevation settings policy en premier (active le client), puis créer les Elevation rules policies (définit les comportements spécifiques).

2

Les 5 types d'élévation : Choisir le bon comportement

Clique sur un type d'élévation pour voir son fonctionnement, son niveau de risque et son cas d'usage chez Argos.

⚡

Automatic

Risque élevé

🖱️

User confirmed

Risque modéré

👤

As current user

Risque élevé

📬

Support approved

Risque faible

🚫

Deny

Blocage

↑ Clique sur un type d'élévation pour le détail.

⚠️ Virtual account vs compte utilisateur : Pour la plupart des types (Automatic, User confirmed, Support approved), EPM utilise un compte virtuel isolé pour exécuter le processus élevé : ni le virtual account ni le compte utilisateur ne sont ajoutés aux administrateurs locaux. Seul le type "Elevate as current user" utilise le vrai compte utilisateur (moins sécurisé : utiliser uniquement quand une app nécessite le profil utilisateur).

3

Créer une Elevation Rule : Stepper

Argos veut permettre aux développeurs d'installer NodeJS-22.14.0-x64.msi sans droits admin en mode User Confirmed avec auth.

Étape 1 : Identifier le fichier cible

Nom de la règleArgos-NodeJS-Install-UserConfirmed DescriptionPermet aux devs d'installer NodeJS sans droits admin Nom de fichierNodeJS-22.14.0-x64.msi Type de fichier.msi (Windows Installer)

💡 EPM supporte les types de fichiers : .exe (exécutables), .msi (Windows Installer), .ps1 (scripts PowerShell). Les scripts .bat, .cmd ou .vbs ne sont pas supportés directement.

1 / 4

Étape 2 : Type d'élévation et conditions

✓ Sélectionné : User Confirmed

→ Clic droit → "Run with elevated access"
→ Option : demander une authentification
→ Option : demander une justification métier
→ Élévation via virtual account isolé

Options activées pour Argos

Require authentication (MFA) Require business justification Automatic elevation (non coché)

2 / 4

Étape 3 : Méthode de validation du fichier

✓ File Hash (recommandé : plus sécurisé)

Le hash SHA-256 du fichier est calculé et comparé. Si le hash ne correspond pas (fichier modifié, version différente), la règle ne s'applique pas. Très précis mais : à chaque nouvelle version de NodeJS, il faut mettre à jour la règle.

Hash SHA-256 : 4a7f2c8d...

Publisher Certificate (alternatif)

Valide que le fichier est signé par un éditeur spécifique. Plus souple : fonctionne sur toutes les versions signées par le même éditeur. Risque : confiance dans l'ensemble du certificat de l'éditeur.

⚠️ Ne jamais utiliser uniquement le chemin de fichier comme validation : un attaquant pourrait placer un exécutable malveillant au même chemin. Combiner file path + file hash ou file path + publisher cert.

3 / 4

Étape 4 : Child Process Controls

Quand NodeJS installe, il peut créer des processus enfants (npm, scripts post-install). EPM permet de contrôler si ces sous-processus héritent des droits élevés.

Allow all child processes

Tous les processus enfants héritent des droits élevés. Simple mais large en surface d'attaque.

✓ Deny all child processes (Argos)

Seul le processus .msi parent est élevé. Les processus enfants s'exécutent en standard user. Plus sécurisé : recommandé pour les installeurs.

✓ Règle créée : Argos-NodeJS-Install-UserConfirmed NodeJS .msi élevé via user confirmation + auth + business justification. File hash validé. Child processes bloqués. Assigné au groupe GRP-Developers-Argos.

4 / 4 ✓

4

Outils de diagnostic : Portail, logs et commandes

Troubleshoot + support : Le portail de diagnostic centralisé

Navigation : Help and Support → Troubleshoot + support → Sélectionner un utilisateur

Ce que tu peux voir :

📋 Enrollments : statut, date, type d'enrollment

📱 Devices : appareils de l'utilisateur + statuts

📦 Apps : statut d'installation par app

✅ Compliance : état par policy de conformité

⚙️ Configuration : état par profil de configuration

Causes communes d'enrollment failure :

❌ Pas de licence Intune assignée à l'utilisateur

❌ Enrollment restriction bloque la plateforme/OS

❌ MDM URL incorrecte dans Entra

❌ Limite d'appareils par user atteinte (défaut: 15)

Logs sur le device Windows

📤 Exporter les logs MDM (depuis le device)

Settings → Accounts → Access work or school → Connected to [tenant] → Info → Export MDM logs

Génère un fichier MDMDiagReport.zip dans C:\Users\Public\Documents\MDMDiagnostics\

📋 Event Viewer : Intune MDM

Event Viewer → Applications and Services Logs → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin

🔧 MDMDiagnosticsTool.exe

Collecte les logs MDM depuis la ligne de commande :

MDMDiagnosticsTool.exe -area Autopilot;DeviceEnrollment -zip C:\Temp\diag.zip

Intune Management Extension (IME) : Logs PowerShell & Apps

📁 Chemin des logs IME : C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\

Fichiers importants :

IntuneManagementExtension.log

AgentExecutor.log

HealthScripts.log (Remediations)

Quand consulter les logs IME :

→ Script PowerShell ne s'exécute pas

→ Remediation en status "Failed"

→ Win32 app non installée

→ Vérifier que l'IME service est démarré

PowerShell : Redémarrer le service IME

# Vérifier l'état du service IME Get-Service "IntuneManagementExtension" | Select-Object Status, StartType # Redémarrer le service pour forcer une re-synchronisation IME Restart-Service "IntuneManagementExtension" -Force # Vérifier les dernières erreurs dans le log IME Get-Content "C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log" -Tail 50 | Where-Object { $_ -match "Error|Failed|Exception" }

Forcer une synchronisation : Depuis Intune ou depuis le device

Depuis Intune (portail)

Devices → All devices → Sélectionner le device

→ Sync (dans la barre d'actions)

Envoie une notification push au device pour qu'il contacte Intune. Utile si le device n'a pas encore récupéré une nouvelle policy.

Depuis le device

Settings → Accounts → Access work or school

→ Clic sur la connexion → Info → Sync

Ou via PowerShell :

Start-Process "ms-settings:workplace"

💡 Fréquence de synchronisation : Les appareils Intune contactent le service toutes les 8 heures environ (varie selon l'activité). Les nouvelles policies peuvent prendre jusqu'à 8 heures sans sync manuelle. Pour les tests, toujours forcer une sync après modification d'une policy.

5

Domaines de l'examen (màj 28 avril 2026)

🎓 Score requis : 700 / 1000 · Renouvellement annuel (assessment gratuit) · Sandbox : aka.ms/examdemo

Clique sur un domaine pour voir les compétences mesurées.

Domaine 1

Prepare infrastructure for devices

25–30%

Domaine 2

Manage and maintain devices

30–35%

Domaine 3

Manage applications

15–20%

Domaine 4

Protect devices

15–20%

↑ Clique sur un domaine pour voir les compétences mesurées.

6

Checklist révision : Concepts couverts dans ce curriculum

Coche les sujets maîtrisés. Cette checklist couvre les 15 labs du curriculum Intune C365.

✓

Architecture Intune, composants, licences (Labs 1-2)

✓

Inscription appareils : Windows Auto-enrollment, Autopilot, Apple Business Manager, Android Enterprise (Lab 2)

✓

Profils de configuration : templates, Settings Catalog, ADMX, OMA-URI, filtres (Lab 3)

✓

Déploiement d'applications : Win32, M365 Apps, LOB, store apps, dépendances, supersedence (Lab 4)

✓

Politiques de conformité, Conditional Access, grace period, actions on non-compliance (Lab 5)

✓

Scripts PowerShell et Remediations (Proactive Remediations), exit codes 0/1, IME (Lab 6)

✓

Accès Conditionnel : policies, conditions, named locations, compliance, MFA, block legacy auth (Lab 7)

✓

Microsoft Defender for Endpoint : onboarding, policies antivirus/firewall/ASR/disk encryption, security baselines (Lab 8)

✓

Mises à jour Windows (Update Rings, Feature Updates), iOS, macOS, Android (Lab 9)

✓

Windows Autopilot v1 : hardware hash, profils, modes (User-driven, Self-deploying, Pre-provisioning), OOBE (Lab 10)

✓

Autopilot Device Preparation (APDP v2) : DPP, ETG, pas de hash, no ESP, scenarios GA (Lab 11)

✓

Co-management, 7 workloads, CMG, Multi-tenant (GDAP, Cross-tenant Access Settings) (Lab 12)

✓

Certificats PKI : Trusted Root, SCEP/NDES, PKCS, PKCS Imported, Certificate Connector (Lab 13)

✓

Windows 365 Cloud PC : provisioning, réseau, statuts, grace period, actions distantes (Lab 14)

✓

Monitoring Intune : 4 types de rapports, Graph API export, audit logs, throttling (Lab 14)

✓

EPM : Elevation settings/rules policies, 5 types élévation, virtual account, validation methods (Lab 15)

✓

Troubleshooting : Troubleshoot blade, IME logs, MDM logs, sync forcée (Lab 15)

0 / 17 sujets cochés

5

Cas clinique : diagnostique une app Win32 en Failed

Un utilisateur d'Argos Consulting signale que 7-Zip n'est pas installé sur son poste alors que Intune indique Failed. Choisis tes actions de diagnostic dans le bon ordre.

🚨 Alerte — l'utilisateur Pierre Lambert (LAPTOP-ARGOS-047, Windows 11 23H2) signale que 7-Zip n'est pas installé. Dans la console Intune → Apps → 7-Zip → Device install status, tu vois : Failed · Error code 0x87D1041C.

Quel est ton premier réflexe de diagnostic ?

📄 Tu ouvres le log IME. Voici les dernières lignes relatives à 7-Zip :

[2026-06-21 09:14:22] [Info] App 7-Zip (Win32) : download started
[2026-06-21 09:14:45] [Info] Download completed : 7zip-2406.intunewin (1.4 MB)
[2026-06-21 09:14:46] [Warning] Extraction to temp folder : C:\Windows\IMECache\{guid-7zip}
[2026-06-21 09:14:47] [Error] Install command failed : msiexec.exe /i 7zip.msi /quiet /norestart
[2026-06-21 09:14:47] [Error] Exit code : 1603 — Fatal error during installation
[2026-06-21 09:14:48] [Info] Retry scheduled in 60 min

Le log affiche exit code 1603. Que signifie ce code et quelle est ta prochaine action ?

🔍 Tu vérifies sur le poste via PowerShell : Get-Package -Name "*7-Zip*". Résultat : 7-Zip 19.00 (x64) — installé hors Intune, version ancienne non détectée par la règle. La règle de détection Intune cherche la version 24.06 dans le registre mais 19.00 est installée en dehors du chemin attendu.

Cause identifiée. Quelle est la solution correcte ?

✅ Résolu — La commande de désinstallation silencieuse a été déployée. IME a exécuté msiexec /x {guid-7zip-19} /quiet. Ensuite, 7-Zip 24.06 s'est installé avec succès. Statut Intune : Installed.

Bilan pédagogique — qu'as-tu appris ?

💡 Exit code 1603 = erreur fatale MSI, souvent causée par une version précédente incompatible ou un fichier verrouillé. Toujours vérifier avec Get-Package avant de creuser plus loin.

💡 Ordre de diagnostic : Portail Intune (error code) → Log IME (exit code + détail) → Poste (Get-Package, Add-Remove Programs) → Action corrective.

💡 Bonne pratique Win32 : toujours définir un uninstall command dans le package Intune, même si tu ne penses pas en avoir besoin — les conflits de versions sont fréquents sur des parcs existants.

7

Quiz final : EPM, Troubleshooting &