Vannak felhasználói csoportok, osztályok, ahol a local admin jogosultság megadása nem elkerülhető. Ilyenkor a felhasználók kedvükre tudják módosítani a gpo-t és a registryt, ezzel az Intune-ból leküldött beállításokat tudják manipulálni. Hogyan lehetünk biztosak abban, hogy az IT által leküldött policyk a helyes értékeken maradnak? Hozzunk létre egy Settings Catalog policyt, amely időnként visszaállít minden leküldött configot a policyban definiált értékekre.

Settings Catalog Policy

Hozzunk létre a szokásos módon az Intune portálon egy config policyt:

Keressünk rá a “Config refresh” beállításra a settings picker keresőjében:

Adjuk hozzá a “Config refresh” és a “Refresh cadence” beállításokat a policyhoz.

A “Refresh cadence” beállításban tudjuk definiálni a frissítés gyakoriságát. Itt perc-ben kell megadni az értéket, esetünkben óránként fognak frissülni az Intune-ból leküldött policyk.

A “Config refresh” beállítást tegyük “Enabled” állásba, hogy a config frissítés valóban meg is tudjon történni.

Bővebben itt olvashatsz ezekről az értékekről: LINK

Nincs más hátra, mint menteni a policyt és deployolni az adott user/ device csoportra.

Policy meglétének ellenőrzése

Nyissuk meg a Registry editort egy olyan gépen, amelyre deployoltuk az imént létrehozott policyt. Nyissuk le a következő registry kulcsot: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments

Az Enrollments alatt keressük ki azt a kulcsot, amely tartalmazza az enrollmenthez köthető információkat pl: AADTenantID, felhasználó UPN-je stb..

Ha a policy sikeresen érvénybe lépett a kliensen, akkor egy ConfigRefresh subkey-t kell találnunk az imént leírt útvonalon. Ebben a kulcsban látjuk a cadence értéket és, hogy enabled a beállítás.

Policy működésének ellenőrzése

Teszteljük le, hogy valóban működik-e a policy, menjünk át a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device kulcshoz. Az itt található beállításokra tud hatni a Config Refresh policynk.

Töröljünk ki egy kulcsot (policyt), hogy lássuk valóban vissza kerül-e minden érték a registrybe. Én most az autoplay policy-t fogom törölni:

Ha nem szeretnénk várakozni, esetemben 60 percet, akkor nyissuk meg a Task Schedulert, és futtassuk le a “Schedule created by dm client to refresh settings” taskot, amit a \Microsoft\Windows\EnterpriseMgmtNonCritical\RandomSID útvonalon találtok:

A task futása után, nyissuk meg újra vagy frissítsük a registry editort, és ellenőrizzük, hogy vissza került-e a törölt kulcs/ policy.

Fontos megemlíteni, hogy ez a folyamat nem az Intune-ba kérdez be, hanem a registry-ből dolgozik. Amikor a config policy az eszközre kerül a következő registry kulcsba kerülnek be a beállítások:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\providers\RandomSid(azonos a current alatt látott SID-del)\default\Device

A Config Refresh policy ezeket az értékeket hasonlítja össze a current kulcs alatt található értékekkel. Ha az Intune-ból szeretnénk frissíteni a policykat, arra másik mechanizmust kell használnunk, például egy remediation script-et ami a következő sort tartalmazza: Get-ScheduledTask | Where-Object {$_.TaskName -eq ‘PushLaunch’} | Start-ScheduledTask a deploymentnél definiálhatjuk a script futásának sűrűségét.

Érdemes ezt a policyt nem csak local admin joggal rendelkező felhasználók gépére deployolni, hanem minden gépre.