Comment corriger le tatouage de politique Intune lorsque les paramètres supprimés persistent

Commencez par capturer les traces SyncML pour identifier les commandes Delete manquantes. Ouvrez l'invite de commandes en tant qu'administrateur et exécutez l'outil MDM Diagnostics Tool pour générer les traces.

mdmdiagnosticstool.exe -out C:\temp\mdm_trace.etl

Pendant l'exécution de la trace, forcez une synchronisation de l'appareil à partir du centre d'administration Intune. Accédez à Appareils > Tous les appareils, sélectionnez votre appareil, puis cliquez sur Synchroniser. Attendez que la synchronisation soit terminée (généralement 2 à 3 minutes).

Arrêtez la trace en appuyant sur Ctrl+C, puis convertissez le fichier ETL en XML pour l'analyse :

mdmdiagnosticstool.exe -xml C:\temp\mdm_trace.etl

Ouvrez le fichier XML généré et recherchez l'URI de votre stratégie. Recherchez les commandes Add, Replace ou Get, mais notez les commandes Delete manquantes pour les paramètres qui auraient dû être supprimés.

Vérification : Si le tatouage existe, vous verrez des commandes Add/Replace pour les stratégies qui devraient être supprimées, mais aucune commande Delete correspondante dans la trace.

Ouvrez l'Observateur d'événements et accédez aux journaux de stratégie MDM pour confirmer les opérations de suppression manquantes. Appuyez sur Win+R, tapez eventvwr.msc, et appuyez sur Entrée.

Accédez à : Journaux des applications et des services > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider > Admin

Recherchez l'ID d'événement 819 avec la description « MDM PolicyManager: Delete Policy ». L'absence de ces événements pour vos stratégies supprimées confirme le tatouage.

# Commande PowerShell pour rechercher l'ID d'événement 819
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin'; ID=819} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Vérifiez également l'ID d'événement 818 (Ajouter une stratégie) et 820 (Remplacer une stratégie) pour voir quelles opérations se produisent par rapport à ce qui devrait se produire.

Vérification : Exécutez la commande PowerShell ci-dessus. L'absence d'entrées d'ID d'événement 819 pour vos stratégies supprimées indique que les commandes Supprimer n'atteignent pas l'appareil.

Vérifiez le Registre Windows pour identifier les stratégies toujours appliquées malgré leur suppression d'Intune. Ouvrez l'Éditeur du Registre en tant qu'administrateur en appuyant sur Win+R, en tapant regedit, puis en appuyant sur Entrée.

Accédez aux emplacements de stratégie principaux :

HKEY_LOCAL_MACHINE\Software\Microsoft\PolicyManager\current\device\[CSP_Name]
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\[Application_Name]

Par exemple, pour vérifier les stratégies Edge qui auraient dû être supprimées :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Edge

Documentez les clés existant pour les stratégies que vous avez supprimées d'Intune. Prenez des captures d'écran ou exportez les clés de registre pour comparaison après correction :

# Exportez la clé de registre vers un fichier pour comparaison
reg export "HKLM\Software\Policies\Microsoft\Edge" C:\temp\edge_policies_before.reg

Vérifiez également l'emplacement PolicyManager pour les paramètres spécifiques à CSP :

HKEY_LOCAL_MACHINE\Software\Microsoft\PolicyManager\current\device\settings

Vérification : Documentez toutes les clés de registre persistantes. Elles doivent disparaître après une correction réussie.

Connectez-vous au centre d'administration Microsoft Intune et vérifiez les filtres d'affectation invalides qui peuvent bloquer le pipeline de suppression. Accédez à Administration des locataires > Filtres pour examiner tous les filtres existants.

Ensuite, examinez chaque profil de configuration qui avait précédemment les paramètres tatouage. Accédez à Appareils > Profils de configuration et sélectionnez chaque profil pertinent.

Cliquez sur Affectations pour chaque profil et recherchez les filtres qui s'affichent comme « Invalide » ou qui font référence à des noms de filtres supprimés. C'est une cause courante des problèmes de tatouage à l'échelle du locataire.

# Script PowerShell pour vérifier les filtres d'affectation via l'API Graph
$tenantId = "your-tenant-id"
$clientId = "your-app-id"
$clientSecret = "your-secret"

# Obtenir le jeton d'accès
$body = @{
    grant_type = "client_credentials"
    client_id = $clientId
    client_secret = $clientSecret
    scope = "https://graph.microsoft.com/.default"
}

$tokenResponse = Invoke-RestMethod -Uri "https://login.microsoftonline.com/$tenantId/oauth2/v2.0/token" -Method Post -Body $body
$headers = @{Authorization = "Bearer $($tokenResponse.access_token)"}

# Obtenir tous les profils de configuration d'appareil
$profiles = Invoke-RestMethod -Uri "https://graph.microsoft.com/v1.0/deviceManagement/deviceConfigurations" -Headers $headers

# Vérifier les affectations pour chaque profil
foreach ($profile in $profiles.value) {
    $assignments = Invoke-RestMethod -Uri "https://graph.microsoft.com/v1.0/deviceManagement/deviceConfigurations/$($profile.id)/assignments" -Headers $headers
    Write-Host "Profile: $($profile.displayName)"
    foreach ($assignment in $assignments.value) {
        if ($assignment.target.deviceAndAppManagementAssignmentFilterId) {
            Write-Host "  Filter ID: $($assignment.target.deviceAndAppManagementAssignmentFilterId)"
        }
    }
}

Recherchez les profils qui font référence à des ID de filtre inexistants ou qui affichent des erreurs d'affectation dans le centre d'administration.

Vérification : Tous les filtres d'affectation doivent s'afficher comme valides dans le centre d'administration Intune. Toute référence de filtre « Invalide » ou manquante nécessite une attention immédiate.

Résolvez les filtres d'affectation invalides pour restaurer le pipeline de suppression. Dans le centre d'administration Intune, accédez au profil de configuration avec l'affectation de filtre invalide.

Cliquez sur Affectations, puis cliquez sur Modifier à côté du groupe d'affectation qui a le filtre invalide. Dans la liste déroulante des filtres, sélectionnez un filtre valide existant ou choisissez (Aucun) pour supprimer l'exigence de filtre.

Cliquez sur Vérifier + enregistrer pour appliquer les modifications. Cela devrait immédiatement restaurer la capacité d'Intune à envoyer des commandes de suppression aux appareils.

Si vous devez créer un nouveau filtre pour remplacer celui qui est invalide :

1. Accédez à Administration des locataires > Filtres
2. Cliquez sur Créer et sélectionnez Appareils gérés
3. Fournissez un nom et une description
4. Créez votre règle de filtre à l'aide du générateur de règles
5. Cliquez sur Créer

Retournez à vos affectations de profil de configuration et sélectionnez le nouveau filtre. Voici un exemple PowerShell pour mettre à jour les affectations via l'API Graph :

# Update assignment filter for a configuration profile
$profileId = "your-profile-id"
$assignmentId = "your-assignment-id"
$newFilterId = "your-new-filter-id"

$updateBody = @{
    target = @{
        "@odata.type" = "#microsoft.graph.groupAssignmentTarget"
        groupId = "your-group-id"
        deviceAndAppManagementAssignmentFilterId = $newFilterId
        deviceAndAppManagementAssignmentFilterType = "include"
    }
} | ConvertTo-Json -Depth 3

Invoke-RestMethod -Uri "https://graph.microsoft.com/v1.0/deviceManagement/deviceConfigurations/$profileId/assignments/$assignmentId" -Method Patch -Body $updateBody -Headers $headers -ContentType "application/json"

Vérification : Vérifiez que tous les filtres d'affectation s'affichent comme valides dans le centre d'administration. Aucun statut « Invalide » ne devrait subsister.

Après correction des filtres d'affectation, forcez une synchronisation d'appareil pour déclencher les commandes Delete. Dans le centre d'administration Intune, allez à Appareils > Tous les appareils, sélectionnez votre appareil affecté, et cliquez sur Synchroniser.

Pendant que la synchronisation est en cours, lancez une nouvelle trace SyncML pour surveiller les commandes Delete :

mdmdiagnosticstool.exe -out C:\temp\mdm_trace_after_fix.etl

Attendez que la synchronisation se termine (généralement 2-3 minutes), puis arrêtez la trace et convertissez en XML :

mdmdiagnosticstool.exe -xml C:\temp\mdm_trace_after_fix.etl

Ouvrez le fichier XML et recherchez les commandes Delete pour vos stratégies précédemment tatouées. Vous devriez maintenant voir des entrées comme :

<Data Name="RequestData"><![CDATA[<Delete><CmdID>2</CmdID><Item><Target><LocURI>./Device/Vendor/MSFT/Policy/Config/YourCSP/YourSetting</LocURI></Target></Item></Delete>]]></Data>

Parallèlement, surveillez l'Observateur d'événements pour les entrées Event ID 819 (Delete Policy) :

# Surveiller les nouveaux événements de suppression en temps réel
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin'; ID=819; StartTime=(Get-Date).AddMinutes(-10)} | Format-Table TimeCreated, Message -Wrap

Vérification : Confirmez que les commandes Delete apparaissent dans les traces SyncML et que les entrées Event ID 819 sont enregistrées pour vos stratégies supprimées.

Certains fournisseurs de services de configuration (CSP) nécessitent un traitement spécial même après l'envoi de commandes de suppression. Pour les CSP comme RemovableStorageAccess ou certains paramètres BitLocker, une intervention manuelle peut être nécessaire.

Identifiez d'abord le CSP qui cause un tatouage persistant en vérifiant l'emplacement du registre :

# Vérifier les paramètres CSP persistants
Get-ChildItem "HKLM:\Software\Microsoft\PolicyManager\current\device" -Recurse | Where-Object {$_.Name -like "*RemovableStorage*" -or $_.Name -like "*BitLocker*"}

Pour le tatouage du CSP RemovableStorageAccess, vous devrez peut-être définir manuellement la valeur de registre avant la suppression :

# Activer temporairement le paramètre dans le registre
Set-ItemProperty -Path "HKLM:\Software\Microsoft\PolicyManager\current\device\RemovableStorageAccess" -Name "RemovableStorageAccess_Deny" -Value 1

Créez ensuite une nouvelle stratégie Intune avec le paramètre opposé (Activé au lieu de Désactivé), assignez-la à l'appareil, attendez qu'elle s'applique, puis supprimez l'ancienne stratégie. Cela oblige le CSP à traiter correctement la suppression.

Pour les stratégies récalcitrantes, utilisez la « méthode de remplacement » :

1. Créez un nouveau profil de configuration avec l'état final souhaité
2. Assignez le nouveau profil aux appareils affectés
3. Attendez que le nouveau profil s'applique et vérifiez qu'il fonctionne
4. Supprimez l'ancien profil problématique
5. Après 24 heures, supprimez le nouveau profil temporaire si vous n'en avez plus besoin

Vérification : Vérifiez que les clés de registre CSP spécifiques sont supprimées après l'application de la solution de contournement et que l'état de stratégie souhaité est atteint.

Effectuez une vérification complète pour vous assurer que le problème de tatouage est entièrement résolu. Commencez par vérifier les emplacements du registre que vous avez documentés précédemment :

# Comparer l'état du registre avant et après
reg export "HKLM\Software\Policies\Microsoft\Edge" C:\temp\edge_policies_after.reg

# Comparer les fichiers avant et après
fc C:\temp\edge_policies_before.reg C:\temp\edge_policies_after.reg

Vérifiez que les clés de registre problématiques sont désormais absentes :

# Vérifier que les clés de politique spécifiques sont supprimées
$policyPaths = @(
    "HKLM:\Software\Policies\Microsoft\Edge",
    "HKLM:\Software\Microsoft\PolicyManager\current\device\settings"
)

foreach ($path in $policyPaths) {
    if (Test-Path $path) {
        Write-Host "Vérification de $path :"
        Get-ChildItem $path -Recurse | Select-Object Name, Property
    } else {
        Write-Host "Le chemin $path n'existe pas (c'est bon - politique supprimée)"
    }
}

Vérifiez que l'application de la politique a cessé en testant les paramètres précédemment appliqués. Par exemple, si vous avez supprimé une politique de navigateur, vérifiez que les utilisateurs peuvent désormais accéder aux sites précédemment bloqués ou modifier les paramètres précédemment verrouillés.

Exécutez une trace SyncML finale pour confirmer que les commandes Delete en cours ne sont pas envoyées (indiquant que la politique est entièrement supprimée) :

mdmdiagnosticstool.exe -out C:\temp\final_verification.etl

Après avoir capturé un cycle de synchronisation, convertissez et vérifiez qu'aucune commande Add/Replace n'existe pour vos politiques supprimées.

Vérification : Les clés de registre de politique supprimées doivent être absentes, l'application de la politique doit être levée, et aucune commande SyncML en cours ne doit référencer les politiques supprimées.