Dans tous projet de modernisation de la gestion du poste de travail, la gestion et la collecte des données de diagnostic est un facteur important pour garantir une visibilité totale sur les appareils déployés.
Dans cet article nous allons préparer un profil de configuration permettant de configurer la collecte de ces informations.
Ce sujet n’est évidemment pas nouveau ni techniquement le plus complexe, cependant la méthode pour créer cette configuration et les options ont évolués depuis quelques temps et je pense qu’il est temps de revisiter ce sujet.
Notre objectif est donc de paramètre la collecte de données de diagnostic nous permettant :
- Définir le niveau de télémétrie envoyé chez Microsoft,
- Empêcher les utilisateurs de modifier le niveau,
- Désactiver les notifications utilisateurs,
- Configurer le Commercial ID de l’organisation,
- Inventorier le nom de la machine (1803+)
En complément, cette configuration nous permettra de :
- Surveiller la conformité des mises à jour Windows avec Update Compliance,
- Utiliser un Workspace Log Analytics pour conserver les logs,
- Permettre de créer des tableaux de bords comme Windows Update Compliance Workbook Community Edition – MSEndpointMgr
Creation du profil
- S’authentifier sur la console MEMAC
- Naviguer vers Devices, Windows, Configuration profiles
- Cliquer sur Create profile
- Choisir Windows 10 and later comme plateforme et Settings Catalog
- Donner un nom au profil, ici PRD – Windows 10/11 – Telemetry Settings
Dans le Settings picker, rechercher « Configure the Commercial ID » et l’ajouter. Le commercial ID est récupérable dans la solution Update Compliance située dans votre espace Log Analytics.
Répéter la procédure pour les paramètres suivants :
- Allow Telemetry
- Allow device name to be sent in Windows diagnostic data
- Allow Update Compliance Processing
- Allow WUfB Cloud Processing
- Configure Telemetry Opt In Change Notification
- Configure Telemetry Opt In Settings Ux
Déployer sur des utilisateurs ou des machines, dans mon cas j’utilise le groupe virtuel « All Devices » pour plus de simplicité et m’assurer que l’ensemble de mes machines puissent envoyer leurs informations.
Accélérer la collecte
Vous pouvez forcer un upload complet avec une clé de Registre :
- HKLM\SOFTWARE\Microsoft\Windows\Current\VersionCensus
- Créer un DWORD FullSync avec la valeur définie sur 1.
- Ou exécutez %systemroot%system32devicecensus.exe
Résultat
Après environ 72 heures de processing d’informations, vous pourrez consultez les informations depuis Log Analytics ou depuis les solutions comme Update Compliance.
Export de la configuration
Pour ceux qui souhaitent gagner du temps, j’ai mis à disposition un export de cette policy sur mon GitHub que vous pouvez restaurer avec le module PowerShell IntuneBackupAndRestore