Prérequis pour un deploiement via Intune

Cette configuration est à faire qu'une seule fois

Pour rappel : Intune est un service basé sur le cloud qui permet de gérer les appareils mobiles et les ordinateurs de bureau. Il offre des fonctionnalités de gestion des appareils mobiles et des applications, de gestion des PC et des applications, de protection des données et de sécurité.

Étape 1: Créer une application Azure AD avec les permissions nécessaires

Pour pouvoir utiliser WinAppack avec Microsoft Intune, nous devons configurer l'environnement Microsoft Azure pour être autorisé à ajouter des applications dans Intune.

1. Accédez au "Centre d'administration microsoft Entra" dans le portail Azure.

2. Enregistrez une nouvelle application en allant dans le menu "Inscriptions d'Applications"

3. Cliquer sur "Nouvelle inscription".

Azure-Config-Intune

4. Donnez-lui un nom, comme "WinAppack for IntuneAppManagement". Une redirection n'est pas nécessaire dans le cas où nous utiliserons des scripts PowerShell.

5. Cliquer sur "S'inscrire"

Azure-Config-Intune

Attribuer les autorisations :

6. Accéder au menu "API autorisées"

7. Cliquer sur "Ajouter une autorisation"

Azure-Config-Intune

8. Choisir l'API "Microsoft Graph"

9. Cliquer sur "Autorisations d'application"

10. Rechercher "DeviceManagementApps"

11. Cocher l'autorisation : DeviceManagementApps.ReadWrite.All (Pour lire et écrire des données d'application)

12. Cliquer sur "Ajouter des autorisations"

Azure-Config-Intune

13. Cliquez sur "Accorder un consentement d'administrateur pour votre organisation"

Le statut doit être "Accordé pour votre organisation"

Azure-Config-Intune

14. Accéder au menu "Certificats & secrets"

15. Cliquer sur "Nouveau secret client"

16. Donnez un nom à votre secret client et choisissez une expiration

17. Cliquer sur "Ajouter"

Azure-Config-Intune

18. Noter la valeur du secret et la conserver dans un lieu sûr car vous en aurez besoin pour l'étape suivante

Le secret ne sera plus visible après avoir quitté la page

Azure-Config-Intune

19. Accéder au menu "Vue d'ensemble" et récupérer également les valeurs des informations suivantes :

Azure-Config-Intune

Étape 2: Stocker les informations d'authentification

A réaliser sur la machine de l'utilisateur qui ajoutera les applications dans Intune

Pour que le script d'integration de package dans Intune fonctionne correctement, il est nécessaire de stocker les informations d'authentification dans les clés registres de l'utilisateur pour éviter d'avoir à les renseigner à chaque integration.

1. Créer un clé registre "WAP" dans "HKEY_CURRENT_USER\Software"

2. Insérer la propriété "ClientID" type REG_SZ (String) et ajouter la valeur de votre ID d'application (client)

3. Insérer la propriété "TenantID" type REG_SZ (String) et ajouter la valeur de votre ID de l'annuaire (locataire)

4. Sauvegarder la propriété "ClientSecret" dans une solution de sécurisation des mots de passe.

Azure-Config-Intune

Étape 3: Configuration PowerShell

A réaliser sur la machine de l'utilisateur qui ajoutera les applications dans Intune.

Il est nécessaire de configurer PowerShell pour qu'il puisse autoriser l'execution des scripts locaux non signés, mais exige une signature pour les scripts téléchargés depuis Internet (bonne pratique pour des utilisateurs individuels).

Pour cela, exécuter la commande suivante dans une console PowerShell :

# Ce script affiche la politique d'exécution actuelle
Get-ExecutionPolicy
# Change la politique d'exécution pour le compte actuel
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser