Déploiement de masse via Microsoft Intune

Ce que vous déployez

Deux artefacts arrivent sur chaque poste géré : l'extension navigateur Zeuslock (forcée dans Edge et Chrome via ADMX) et l'agent desktop Zeuslock (application Win32 LOB qui intercepte les clients IA natifs invisibles depuis le navigateur). Les deux installations sont silencieuses et remontent vers la même Console Opérateur sur app.zeuslock.ai.

Ce guide accompagne un ingénieur endpoint dans un déploiement Intune propre — environ une heure de travail admin, puis un déroulement par anneaux sur une à deux semaines.

Prérequis

• Licences Microsoft 365 E3, E5 ou Intune autonome pour chaque appareil concerné.
• Un compte disposant du rôle Administrateur Intune ou Gestionnaire de sécurité Endpoint dans Entra ID (anciennement Azure AD).
• Postes déjà enrôlés MDM — Autopilot, jonction hybride AAD ou co-gestion avec Configuration Manager fonctionnent tous.
• Edge et/ou Chrome déjà présents sur les postes cibles (Edge est livré avec Windows 10/11 ; Chrome se pousse généralement séparément).
• Un token d'enrôlement pré-provisionné depuis Zeuslock. Générez-le avant de commencer : Console Opérateur → Paramètres → Appareils → Enrôlement de flotte → Générer un token. Fixez un plafond optionnel d'appareils et une expiration couvrant votre fenêtre de déploiement (90 jours est un défaut raisonnable).

Partie 1 : Forcer l'extension navigateur via ADMX

Étape 1 — Importer les modèles ADMX Zeuslock

Téléchargez le bundle ADMX le plus récent et extrayez-le dans le central store d'Intune :

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive -Path "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force
Copy-Item "$env:TEMP\zeuslock-admx\*.admx" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\"
Copy-Item "$env:TEMP\zeuslock-admx\fr-FR\*.adml" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\fr-FR\"

En environnement Intune pur sans central store AD, les modèles ADMX d'Edge et Chrome sont déjà ingérés par Intune. Vous n'avez besoin des ADMX Zeuslock que pour utiliser les nœuds de politique personnalisés (surcharge d'endpoint télémétrie, logs de debug). Pour la seule installation forcée, passez à l'étape 2.

Étape 2 — Créer le profil de configuration

1. Ouvrez le centre d'administration Microsoft Intune : Appareils → Profils de configuration → Créer un profil.
2. Plateforme : Windows 10 et versions ultérieures. Type de profil : Modèles → Modèles d'administration.
3. Nommez-le Zeuslock - Installation forcée extension navigateur.
4. Dans le sélecteur de paramètres, naviguez vers Configuration ordinateur → Microsoft Edge → Extensions et ouvrez Contrôler quelles extensions sont installées silencieusement (la stratégie ExtensionInstallForcelist).
5. Activez-la et ajoutez l'entrée : iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx.
6. Répétez l'opération pour Chrome sous Configuration ordinateur → Google → Google Chrome → Extensions → Configurer la liste des applications et extensions installées de force.

Étape 3 — Assigner

Assignez le profil à Tous les utilisateurs ou, mieux, à un groupe de sécurité Entra pilote ne contenant que votre équipe IT. Cliquez sur Vérifier + créer. La première synchronisation atteint les appareils sous 8 heures ; vous pouvez la forcer côté poste via dsregcmd /refreshprt puis Paramètres → Comptes → Accès Professionnel ou Scolaire → Synchroniser.

Partie 2 : Déployer l'agent desktop en tant qu'application Win32 LOB

Étape 1 — Empaqueter le MSI

Téléchargez ZeuslockAgent.msi depuis https://download.zeuslock.ai/agent/windows/latest et le Microsoft Win32 Content Prep Tool depuis le GitHub Microsoft. Puis empaquetez :

.\IntuneWinAppUtil.exe -c "C:\Packaging\Zeuslock\source" -s "ZeuslockAgent.msi" -o "C:\Packaging\Zeuslock\output" -q

Vous obtiendrez ZeuslockAgent.intunewin dans le dossier de sortie.

Étape 2 — Créer l'application Win32 dans Intune

1. Applications → Windows → Ajouter → Type : application Windows (Win32).
2. Téléversez le package .intunewin.
3. Informations sur l'application : Nom Zeuslock Desktop Agent, Éditeur Zeuslock, Catégorie Sécurité.
4. Programme : renseignez les commandes d'installation et de désinstallation ci-dessous.
5. Exigences : Architecture 64 bits, OS minimum Windows 10 1809, Espace disque libre 500 Mo, Mémoire physique minimum 4096 Mo.
6. Règles de détection : Configurer manuellement → Type : Fichier → Chemin C:\Program Files\Zeuslock\Agent, Fichier zeuslock-agent.exe, Méthode Le fichier ou dossier existe.
7. Affectations : Obligatoire → Tous les appareils (ou votre groupe pilote).

Commandes d'installation et de désinstallation

msiexec /i "ZeuslockAgent.msi" /qn ZEUS_ENROLL_TOKEN=<votre-token>

msiexec /x {a8f4c2e0-9b1d-4d5e-8c3f-7e6b9d2a1c8f} /qn

Remplacez <votre-token> par le token d'enrôlement généré plus haut. Le GUID produit est stable d'une version à l'autre — vérifiez-le dans HKLM:\SOFTWARE\Classes\Installer\Products sur une machine de test après une installation manuelle.

Vérification sur un poste de test

Avant de passer à l'échelle, prouvez que ça fonctionne sur un poste. Choisissez un appareil de l'anneau pilote, forcez une synchronisation, et vérifiez :

1. Icône systray : le bouclier Zeuslock apparaît près de l'horloge dans les cinq minutes suivant la livraison de la politique.
2. Statut de l'agent depuis une invite PowerShell élevée :

   & "C:\Program Files\Zeuslock\Agent\zeuslock-agent.exe" status

   Attendu : Status: Connected | Tenant: <votre-tenant> | Policy version: <n>.
3. Extension navigateur : ouvrez edge://extensions. L'entrée Zeuslock doit afficher Installée par l'entreprise sans bouton de suppression.
4. Console Opérateur → Appareils : le nom d'hôte apparaît avec le statut En ligne sous deux minutes.

Déploiement par vagues

N'assignez pas à Tous les appareils dès le premier jour. Échelonnez :

• Anneau 0 — IT (jour 0) : vos propres portables. Repérez les soucis d'empaquetage avant les utilisateurs.
• Anneau 1 — 10 % d'un département (jour 3) : une équipe accueillante avec un référent identifié.
• Anneau 2 — 50 % (jour 7) : élargissez à plusieurs départements. Surveillez les incidents et faux positifs dans la Console Opérateur.
• Anneau 3 — 100 % (jour 10-14) : parc complet. Maintenez les politiques en mode Monitor pendant les deux premières semaines avant de basculer en Anonymize ou Block.

Pannes Intune fréquentes

• Délai d'affectation. Intune n'est pas instantané. Les changements d'appartenance à un groupe peuvent prendre jusqu'à 8 heures. Forcez une sync côté poste pour les tests impatients.
• ADMX non synchronisés. Si la stratégie d'extension manque dans edge://policy, lancez gpupdate /force puis redémarrez Edge. En MDM pur, regardez Observateur d'événements → Journaux des applications et services → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider.
• Code de sortie MSI 1603. Quasi toujours un ZEUS_ENROLL_TOKEN manquant ou mal formé. Inspectez C:\Windows\Temp\zeuslock-install.log — l'installeur agent l'écrit systématiquement.
• Stratégie Edge conflictuelle. Si une autre stratégie pose ExtensionInstallBlocklist avec un wildcard, l'extension Zeuslock est bloquée malgré le force-install. Mettez l'ID Zeuslock explicitement dans ExtensionInstallAllowlist.
• App Win32 bloquée sur En attente du statut d'installation. Mauvaise règle de détection — le chemin spécifié n'existe pas après installation. Connectez-vous à un poste test et confirmez que l'agent s'installe bien dans C:\Program Files\Zeuslock\Agent, pas Program Files (x86).

Une fois l'Anneau 3 au vert et la file d'incidents stable dans la Console Opérateur, votre déploiement Intune est terminé. Passez au réglage des politiques — voir le guide Premier déclenchement de détection pour la progression Monitor → Anonymize → Block recommandée.