Préparation de postes

Noa Ollier

Objectifs et Enjeux

Le but principal de cette mission était de garantir l'intégrité et la sécurité du parc informatique. L'enjeu était de répondre aux exigences de la DSI en assurant que 100% des postes de travail soient "Compliants" (conformes) vis-à-vis des politiques de sécurité modernes.

Sommaire

1. Analyse et diagnostic du parc via Microsoft Intune

Tout a commencé par une analyse sur Microsoft Intune, notre outil de gestion à distance (MDM). J'ai remarqué qu'environ 40 postes (modèles HP G3) étaient marqués en "Non-conforme".

En creusant, j'ai identifié que le point de blocage était le Secure Boot (le système qui vérifie que le PC ne démarre pas sur un logiciel malveillant). Techniquement, ces postes étaient configurés en mode Legacy BIOS (ancien mode de démarrage).

Pour activer la sécurité moderne, il aurait fallu :

  • Passer en mode UEFI (nécessitant une conversion de disque).
  • Posséder une puce TPM 2.0 (un processeur de sécurité qui sert de coffre-fort matériel pour les clés de chiffrement).

Comme les modèles G3 n'avaient pas cette puce physique, j'ai dû organiser leur remplacement par des PC neufs pour garantir la sécurité de l'entreprise.

Screen 1 - Diagnostic Intune HP G3

2. Préparation et enrôlement avec Windows Autopilot

Pour les nouveaux PC, j'utilise la procédure Autopilot. C'est un service Cloud qui permet de configurer un ordinateur automatiquement sans avoir besoin de créer une image système (ISO) sur une clé USB.

Sur le PC neuf, j'ouvre une console de commande (Shift + F10) et je lance PowerShell. Voici les commandes que j'exécute pour lier le PC à l'entreprise :

  • Set-ExecutionPolicy Bypass : J'autorise l'ordinateur à lancer mes scripts.
  • Install-Script Get-WindowsAutopilotInfo : Je télécharge l'outil de liaison.
  • Get-WindowsAutopilotInfo.ps1 -online -grouptag AutopilotPROD : Cette commande est cruciale. Elle extrait l'identifiant unique du PC (le Hardware ID) et l'envoie sur notre tenant Olga.
Screen 2 - PowerShell Autopilot

3. Vérification sur la console Intune (Côté Admin)

Avant de redémarrer le PC, je dois m'assurer que l'importation est réussie sur la console Microsoft Intune (section "Appareils Windows | Inscription Windows").

  • Contrôle du Numéro de Série : Je vérifie que le numéro de série du PC apparaît bien dans la liste.
  • État du profil de déploiement : Je regarde la colonne "Profil d'attribution".
    • Si c'est marqué "En attente" : Il faut patienter, le Cloud traite la demande.
    • Si c'est marqué "Attribué" : Le PC a bien reçu son profil de configuration.
Screen 3 - Console Intune profil

4. Authentification Administrateur et Redémarrage

À ce moment-là, une fenêtre Microsoft s'ouvre : je dois rentrer un compte admin du tenant pour prouver que c'est bien un technicien d'Olga qui autorise ce nouveau PC. Une fois fini, je tape shutdown /r /t 0 pour redémarrer.

Screen 4 - Authentification admin

5. Phase finale : Configuration et MCO

Une fois que l'utilisateur s'est connecté et que l'installation est finie, le PC apparaît désormais dans la liste principale des appareils de la console Intune.

À quoi sert cette gestion centralisée ?

  • Gestion des applications : Intune "pousse" automatiquement les logiciels (Office 365, M3) sans intervention manuelle.
  • Stratégies de configuration : On applique à distance les paramètres Wi-Fi, les certificats et les restrictions de sécurité.
  • Sécurité et Conformité : On surveille en temps réel si le PC est à jour et si son chiffrement BitLocker est actif. En cas de vol, je peux même bloquer ou effacer le PC à distance.
Screen 5 - MCO Intune configuration finale

6. Mise à jour de l'inventaire dans EasyVista

Je termine par la gestion de l'inventaire dans notre outil ITSM EasyVista.

  • Je déclare l'ancien poste HP G3 comme "Sorti du parc".
  • Je rattache le nouveau PC et son écran à la fiche de l'utilisateur (ex: Noa OLLIER). Cela garantit une traçabilité parfaite pour le support technique.
Screen 6 - Inventaire EasyVista

Conclusion de l'activité

Ce projet a été pour moi l'occasion de découvrir concrètement la gestion moderne d'un parc informatique.

J'ai appris qu'avec le couple Autopilot et Intune, on peut automatiser entièrement la configuration d'un PC (logiciels et sécurité) à distance, sans installation manuelle. J'ai aussi compris l'importance de la sécurité matérielle : savoir identifier un poste obsolète (sans puce TPM ou en Legacy BIOS) est devenu essentiel pour protéger les données.

Enfin, j'ai acquis la rigueur nécessaire pour assurer la traçabilité du matériel dans EasyVista, garantissant ainsi un inventaire toujours à jour et un meilleur support pour les utilisateurs.