Lösung

Im Endpoint Protection Manager Portal anmelden und ein neues Konfigurationsprofil erstellen.

• Platform: Windows 10 and later
• Profile type: Templates
• Template name: Custom

Unter Basics einen Namen vergeben.

Im Reiter Configuration settings auf Add klicken und die untenstehenden OMA-URI Daten eintragen. Mit save schließen.

• Name: Beliebig
• Description: Beliebig (optional)
• OMA-URI: ./Device/Vendor/MSFT/Policy/Config/InternetExplorer/DisableInternetExplorerApp
• Data Type: String
• Value: <enabled/><data id=“NotifyDisableIEOptions“ value=“2″/>

Weiter mit Next.

Nun der Konfiguration eine Gruppe zuweisen für welche diese Einstellung gelten soll.

Weiter mit Next.

Unter Applicability Rules können optional Filter gesetzt werden. Dadurch kann die Zuweisung noch genauer (auf Betriebssystemebene) gesteuert werden.

Zum Abschluss des Assistenten alle Eingaben überprüfen und mit Create bestätigen.

Anschließend wird die Richtlinie mit den zuvor zugewiesenen Gruppen synchronisiert und dort aktiv.

Versuchen Benutzer den Internet Explorer zu starten, werden sie mit einer Fehlermeldung begrüßt und an der Ausführung gehindert.

Der Beitrag Internet Explorer via Intune (Endpoint Protection Manager) deaktivieren erschien zuerst auf Daniel Gutermuth.

Damit solche Maschinen ihre Wiederherstellungskennwörter an das Azure AD übertragen, kann mit PowerShell nachgeholfen werden.

Lösung

Im ersten Script wird das Wiederherstellungskennwort des Systemlaufwerkes in das Azure AD gesichert. Der Mount Point bzw. der Laufwerksbuchstabe wird mit der Umgebungsvariablen $env:SystemDrive ermittelt.

Die Ausführung des Skriptes muss nicht mit den Anmeldedaten des aktuellen Benutzers erfolgen.

try{
$BLV = Get-BitLockerVolume -MountPoint $env:SystemDrive
        $KeyProtectorID=""
        foreach($keyProtector in $BLV.KeyProtector){
            if($keyProtector.KeyProtectorType -eq "RecoveryPassword"){
                $KeyProtectorID=$keyProtector.KeyProtectorId
                break;
            }
        }

       $result = BackupToAAD-BitLockerKeyProtector -MountPoint "$($env:SystemDrive)" -KeyProtectorId $KeyProtectorID
return $true
}
catch{
     return $false
}

Natürlich kann dieses Script auch in Intune eingebunden werden. Für bereits vorhandene BitLocker Bestandsmaschinen, kann damit unkompliziert der Wiederherstellungsschlüssel in das Azure AD gesichert werden.

Generell empfiehlt sich aber die Verwendung der entsprechenden BitLocker Richtlinie in Intune.

Dies wären die Einstellungen.

Eine Abwandlung des ersten Scripts ist in Script zwei zu finden. Hier wird das Wiederherstellungskennwort eines bestimmten Laufwerkes in das Azure AD gesichert.

Definiert wird das Laufwerk durch die Variable $MP (In diesem Beispiel D:)

try{
$MP = "D:"
$BLV = Get-BitLockerVolume -MountPoint $MP
        $KeyProtectorID=""
        foreach($keyProtector in $BLV.KeyProtector){
            if($keyProtector.KeyProtectorType -eq "RecoveryPassword"){
                $KeyProtectorID=$keyProtector.KeyProtectorId
                break;
            }
        }

       $result = BackupToAAD-BitLockerKeyProtector -MountPoint "$($MP)" -KeyProtectorId $KeyProtectorID
return $true
}
catch{
     return $false
}

In Intune stellt sich die Frage, warum es 41 Errors bei der Ausführung gab.

Das liegt daran, dass diese 41 Geräte kein Laufwerk D besitzen und das Script so nicht „erfolgreich“ abschließen konnte. Die Errors können daher, nach einer Verifizierung, ignoriert werden.

Auch hier die Einstellungen.

Es gibt sicherlich elegantere Methoden. Diese hier ist, wenn es um BitLocker Bestandsmaschinen geht, die ansonsten nicht Reporten wollen, bisher immer zuverlässig.

Der Beitrag BitLocker Wiederherstellungskennwort mit PowerShell in das Azure AD sichern erschien zuerst auf Daniel Gutermuth.

In diesem Beispiel wird das PowerShell Script in Intune eingebunden und bereitgestellt.

Lösung

Den Editor öffnen und den Inhalt des unten stehenden Scripts in diesen kopieren.

# Silent Installation von Mozilla Firefox


# Pfad zum Temp-Ordner für die Installation
$Installdir = "c:\temp\install_Firefox"
New-Item -Path $Installdir  -ItemType directory

# Download der neusten Mozilla Version
$source = "https://download.mozilla.org/?product=firefox-latest&os=win64&lang=de"
$destination = "$Installdir\firefox.exe"
Invoke-WebRequest $source -OutFile $destination

# Start der Installation nach Abschluss des Downloads
Start-Process -FilePath "$Installdir\firefox.exe" -ArgumentList "/S"

# Timeout für den Abschluss der Installation (240 Sekunden)
Start-Sleep -s 240

# Abschluss
rm -Force $Installdir\*

Datei – Speichern unter wählen und das Skript mit der Dateiendung .ps1 und Dateityp Alle Dateien abspeichern.

In das Microsoft Endpoint Portection Manager Admin Center gehen und durch Devices in den Punkt Scripts wechseln und dort auf Add Windows 10 and later klicken.

Anschließend einen Namen vergeben und mit Next weitergehen.

Nun muss das zuvor erstellte PowerShell Script hochgeladen werden.

Die restlichen Punkte können so belassen werden. Weiter mit Next.

Im letzten Schritt müssen noch die Gruppen zugewiesen und der Vorgang mit Add abgeschlossen werden.

Sobald die Einstellungen synchronisiert wurden, wird das Script ausgeführt und Mozilla Firefox installiert.

Natürlich wäre es auch möglich, das Script als Win32-App zu paketieren und über das Unternehmensportal bereitzustellen.

Der Beitrag Intune – Mozilla Firefox via PowerShell installieren erschien zuerst auf Daniel Gutermuth.