Dans cet article, nous parlerons de Config Refresh

Principes de base d'Intune Config Refresh

L'objectif d'Intune Config Refresh est de contribuer à améliorer les postures "sécurité" et "conformité" de vos postes de travail Windows 11 gérés par Microsoft Intune.

Cette fonctionnalité vise à réduire l'impact de modifications malveillantes ou accidentelles en s'assurant que les profils de configuration en vigueur sur le poste de travail correspondent bien à ceux qui sont prévus. Ces profils sont réappliqués à une fréquence définie par l'administrateur.

Basé sur cette fréquence, Intune réappliquera automatiquement les profils de configuration sur les appareils à des intervalles réguliers, avec un minimum de 30 minutes et un maximum de 1440 minutes. (La ou l'intervalle d'un policy refresh classique est d'environ 8 heures)

Si un administrateur a besoin de modifier la configuration d'un appareil spécifique, il peut mettre en pause la fonction Config Refresh via une action à distance depuis la console d'administration Microsoft Intune pour une durée pouvant atteindre 1 440 minutes.

Pour activer Config Refresh, Windows 11 22H2 ou 23H2 avec la mise à jour de sécurité cumulative de Juin 2024 ou + est requis.


Comment mettre en place :

Pour implémenter Config Refresh, il faut créer un profil de type "Settings Catalog" 


Vous aurez à définir la fréquence du refresh qui est par défaut de 90 minutes.

Enregistrer et déployer le profil sur le scope voulu.


Comment ça fonctionne :

- Config Refresh va créer une tâche planifiée sur le poste de travail.



- Cette tâche va contrôler si des modifications ont eu lieu sur celui-ci par rapport à la dernière configuration en date obtenue

- Si une modification a eu lieu, Config Refresh la détecte et la corrige automatiquement en réappliquant la valeur souhaitée à l'intervalle que vous avez défini. (dans mon exemple 30 minutes)



Attention, Certaines politiques du type : Firewall, AppLocker ou Laps ne sont pas compatibles avec Config Refresh.

Pour en savoir +, je vous conseille cet excellent poste de Rudy Oooms I’m Gonna Config Refresh You So Hard!


Comment mettre en pause :

Rendez vous directement dans les actions à distance d'un poste de travail sous Microsoft Intune et choisir "Pause config refresh"


 Choisir le délai de Pause et cliquer sur Pause







La pause est initiée et vous pouvez voir le statut d'application de celle-ci dans la partie "Device Actions Status"



Vous verrez alors la date/heure de prochaine exécution de la tâche planifiée qui va se décaler pour prendre en compte la pause que vous avez défini.

CONCLUSION

Config Refresh permet de maintenir la sécurité et la conformité de vos postes de travail par rapport aux standards définis par votre organisation. En l'activant, vous pourrez donc garantir qu'ils soient toujours sécurisés et ceux même si ils sont hors ligne. 


Retour sur l'annonce de Microsoft ici