Før vi standardiserte nettleserne våre, stod brukerne fritt til å installere det de ville, noe som førte til at Firefox ble spredt over hundrevis av maskiner. Jeg kaster ikke bort tid på manuell opprydding; jeg har automatisert hele prosessen.

Kartlegging i stor skala med KQL

Jeg starter med å få et klart bilde av omfanget. Jeg bruker KQL (Kusto Query Language) i Defender Advanced Hunting for å se nøyaktig hvilke versjoner som finnes og hvor mange enheter som er berørt:

// Min spørring for Firefox-kartlegging
DeviceTvmSoftwareInventory
| where SoftwareName contains "Firefox"
| summarize DeviceCount = dcount(DeviceName), Versions = make_set(SoftwareVersion) by SoftwareName
| order by DeviceCount desc

Denne spørringen gir meg umiddelbar oversikt over antall enheter og versjoner, noe jeg bruker for å målrette Intune-utbedringene mine effektivt.

Strategien: Automatisere oppryddingen

Jeg bruker Intune Proactive Remediation med et to-skripts system:

• Deteksjon: Finner Firefox i registeret, Program Files og brukerprofiler.
• Utbedring (Remediation): Fjerner alt—prosesser, filer, snarveier, tjenester og planlagte oppgaver.

Deteksjonslogikk

Skriptet mitt skanner tre hovedområder hvor Firefox liker å gjemme seg:

1. Registeret - 64-bit/32-bit avinstalleringsnøkler og per-bruker installasjoner.
2. Program Files - Standard installasjonsplasseringer.
3. Brukerprofiler - AppData-mapper.

$findings = @()
$uninstallPaths = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall",
    "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
)

foreach ($path in $uninstallPaths) {
    if (Test-Path $path) {
        $apps = Get-ItemProperty "$path\*" -ErrorAction SilentlyContinue |
            Where-Object { $_.DisplayName -like "*Firefox*" }
        foreach ($app in $apps) {
            $findings += "Registry: $($app.DisplayName)"
        }
    }
}

if ($findings.Count -gt 0) { exit 1 } else { exit 0 }

Komplett skript: firefox-removal-detection.ps1

Selve fjerningen: Remediation

Utbedringsskriptet mitt er designet for å være grundig. Det stopper alle aktive prosesser før det prøver å avinstallere, for å sikre at ingen filer er låst.

1. Stopp prosesser - Firefox, plugin-container og oppdateringsprogrammer.
2. Avinstaller - Bruker avinstalleringsstrengen fra registeret (håndterer både helper.exe og msiexec).
3. Opprydding - Sletter mapper i Program Files, ProgramData og AppData.
4. Siste finpuss - Fjerner snarveier, tjenesten MozillaMaintenance og oppdateringsoppgaver.

# Min liste over prosesser som skal stoppes
$firefoxProcesses = @("firefox", "firefox-esr", "plugin-container", "crashreporter", "updater")
foreach ($proc in $firefoxProcesses) {
    Get-Process -Name $proc -ErrorAction SilentlyContinue | Stop-Process -Force
}

Komplett skript: firefox-removal-remediation.ps1

Resultat og verifisering

Jeg overvåker fremdriften direkte i Intune-portalen under Devices > Scripts and remediations.

Suksess betyr at enhetene får status “fixed”. Jeg sjekker også mine egne logger på C:\ProgramData\Eriteach\Logs\ hvis jeg ser installasjoner som krever en manuell titt.

Erfaringer

• Brukerprofiler - Skriptet rydder alle profiler på maskinen. Jeg varsler alltid brukerne om at bokmerker og lagrede passord vil forsvinne.
• Tvangslukking - Siden jeg tvinger prosessen til å avslutte, kjører jeg denne utbedringen i vedlikeholdsvinduer for å minimere forstyrrelser.

Relaterte lenker

• Auto-oppdater Firefox med Intune - Min arbeidsflyt når jeg skal beholde Firefox, men holde den oppdatert.
• Intune Remediations oversikt
• Microsoft Defender programvareoversikt

Jeg sjekker ikke hver enkelt enhet manuelt. I stedet har jeg bygget en arbeidsflyt som finner disse appene på tvers av hele flåten og fjerner dem automatisk.

Kartlegging: Jakt i hele flåten med KQL

Før jeg kan fjerne noe, må jeg vite nøyaktig hvor problemene ligger. Jeg bruker Microsoft Defender for Endpoint (MDE) for å finne disse appene på sekunder. I stedet for å bla i portalen, kjører jeg en KQL-spørring i Advanced Hunting for å identifisere høyrisiko-programvare:

// Min spørring for kartlegging (Eksempel)
DeviceTvmSoftwareInventory
| where SoftwareName has_any ("utorrent", "anydesk", "ccleaner")
| project DeviceName, SoftwareName, SoftwareVersion

Dette gir meg “hitlisten” min. For en mer aggressiv tilnærming som også håndterer EOL- og EOS-programvare, bruker jeg arbeidsflyten for Jakten på zombie-programvare.

Automatisering: Intune Proactive Remediation

Når jeg har målene klare, bruker jeg Intune Proactive Remediation. Oppsettet mitt består av to skript:

1. Deteksjon - Sjekker om appen finnes (exit 1 = funnet, som trigger fjerning)
2. Utbedring (Remediation) - Lydløs fjerning

Min konfigurasjon

Jeg målretter apper via registeret, WMI eller programlisten. Vanligvis konfigurerer jeg deteksjonen ved å sette disse variablene:

$AppDisplayName = "Zoom"
$AppPublisher = ""
$AppProductCode = "{86B70A45-00A6-4CBD-97A8-464A1254D179}"
$UsePartialMatch = $true

Komplett skript: Detect-UnwantedApp.ps1

Utbedringen (Remediation)

Når appen er oppdaget, henter utbedringsskriptet mitt avinstalleringsstrengen fra registeret eller bruker MSI-produktkoden for å fjerne appen lydløst.

Komplett skript: Remove-UnwantedApp.ps1

Detaljer om utrulling

Slik har jeg satt det opp i min tenant:

1. Intune → Enheter → Utbedringer
2. Opprett skriptpakke: “Fjern [AppNavn]”
3. Innstillinger:
   • Kjør skript i 64-bit PowerShell: Ja
   • Kjør med påloggede legitimasjoner: Nei (kjører som SYSTEM)
4. Tidsplan: Daglig (jeg vil ha disse bort så fort som mulig)

Erfaringer og avveininger

• Pilot først - Jeg kjører alltid deteksjon på en pilotgruppe før jeg aktiverer utbedring.
• Produktkoder endres - Jeg har lært at ulike versjoner ofte har ulike koder; KQL hjelper meg å finne alle variantene først.
• Risiko med delvis treff - Jeg bruker $UsePartialMatch = $true med forsiktighet for å unngå å fjerne tilleggsprogrammer (plugins) som jeg faktisk vil beholde.

Relaterte lenker

• Microsoft: Proactive Remediations
• Intune skriptkrav