Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient de mettre à disposition la version finale (5.00.8692.1000) de System Center Configuration Manager 1806. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1806 comprend les nouveautés suivantes :

Administration

  • Haute disponibilité du rôle serveur de site (Site Server). Il devient possible d’installer un site primaire additionnel dans un mode passif. Ce dernier peut être utilisé immédiatement si nécessaire. La base de données de site doit être distante des deux serveurs de site. La promotion du site primaire passif en actif, se fait manuellement. Un site primaire en mode passif :
    • Utilise la même base de données de site que le serveur de site actif.
    • Reçoit une copie de la librairie de contenu du serveur de site actif qui reste ensuite synchronisé.
    • N’écrit pas de données dans la base de données de site tant qu’il est en mode passif.
    • Ne supporte pas l’installation ou la suppression de rôles de système de site optionnel dès lors qu’il est en mode passif.
    • Peut-être On-Premises ou dans le Cloud Azure.
    • Doit être dans le même domaine que le serveur de site actif.
  • Package Conversion Manager est maintenant intégré dans Configuration Manager afin de permettre de convertir des packages SCCM 2007 vers les applications Configuration Manager Current Branch. Cet outil avait été introduit dans System Center 2012 Configuration Manager pour faciliter la migration.
  • CMTrace est maintenant installé avec le client Configuration Manager dans le répertoire %WinDir%\CCM\cmtrace.exe. Néanmoins, il n’est pas enregistré automatiquement avec Windows pour ouvrir les extensions de fichiers .log.
  • La liste des périphériques dans Asset and Compliance de la console d’administration affiche maintenant par défaut l’utilisateur actuellement connecté. Cette valeur est remontée par les informations de l’état du client. La valeur est nettoyée lorsque l’utilisateur se déconnecte.

  • La fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données.
    • Cette version ajoute les règles suivantes :
      • Les objets de configuration inutilisés : Les objets de configuration qui ne font pas partie d'une ligne de base de configuration et qui datent de plus de 30 jours.
      • Les images de démarrage (boot images) inutilisées : Images de démarrage non référencées pour le démarrage PXE ou l'utilisation d'une séquence de tâches.
      • Les groupes de limites sans système de site assigné : Sans systèmes de site affectés, les groupes de limites ne peuvent être utilisés que pour l'affectation de site.
      • Les groupes de limites sans membres : Les groupes limites ne sont pas applicables pour l'assignation de site ou la recherche de contenu s'ils n'ont pas de membres.
      • Les points de distribution ne servant pas de contenu aux clients : Les points de distribution qui n'ont pas servi de contenu aux clients au cours des 30 derniers jours. Ces données sont basées sur les rapports des clients sur l'historique de leurs téléchargements.
      • Les mises à jour expirées trouvées : Les mises à jour expirées ne s'appliquent pas au déploiement.
    • Une option permet de lancer des actions sur les règles Management Insights. Selon la règle, cette action présente l'un des comportements suivants :
      • Naviguer automatiquement dans la console jusqu'au nœud où vous pouvez réaliser l’action.
      • Naviguer jusqu'à une vue filtrée en fonction d'une requête.

  • Les outils serveur Configuration Manager et les outils client sont maintenant inclus dans la Technical Preview. Retrouvez-les dans le dossier cd.latest\SMSSETUP\Tools sur le serveur du site. Aucune autre installation n'est nécessaire.
  • Pour réduire le nombre d'objets découverts, vous pouvez maintenant exclure des conteneurs spécifiques de la découverte du système Active Directory. Cette fonctionnalité est le résultat des feedbacks UserVoice.
  • Les informations sur l'utilisateur principal sont désormais visibles lorsque vous consultez les membres d'une collection sous Assets and Compliance ou Device Collections.
  • Support d’Azure Resource Manager par le Cloud Distribution Point. Lors de la création d'une instance Cloud Distribution Point, l'assistant offre maintenant l'option de créer un déploiement Azure Resource Manager. Azure Resource Manager est une plate-forme moderne pour la gestion de toutes les ressources de la solution comme une seule entité, appelée groupe de ressources. Lors du déploiement d'un Cloud Distribution Point avec Azure Resource Manager, le site utilise Azure Active Directory (Azure AD) pour s'authentifier et créer les ressources Cloud nécessaires. Ce déploiement modernisé ne nécessite pas le certificat de gestion classique Azure.
  • Lorsque vous utilisez l’installation poussée des clients (client push) pour installer le client Configuration Manager, le serveur du site crée une connexion à distance avec le client pour démarrer l'installation. A partir de cette version, le site peut exiger l'authentification mutuelle de Kerberos en ne permettant pas de revenir à NTLM avant d'établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.
  • Les entreprises qui utilisent Windows AutoPilot pour provisionner Windows 10 sur les périphériques joints à Azure Active Directory qui sont connectés au réseau de l’entreprise (On-Premises). Pour installer ou mettre à niveau le client Configuration Manager sur ces périphériques, vous n'avez plus besoin d'un Cloud Distribution Point ou d'un point de distribution On-Prem configuré pour permettre aux clients de se connecter anonymement. Activez plutôt l'option du site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, ce qui permet à un client joint à un domaine cloud de communiquer avec un point de distribution HTTP On-Prem.
  • Amélioration du support des communications clientes sécurisées avec Azure Active Directory (Azure AD). On retrouve notamment les nouveautés suivantes :
    • La sécurisation des communications client sans avoir besoin de certificats d’authentification de serveur délivrés via une PKI.
    • Les clients peuvent accéder contenu de manière sécurisée sans avoir besoin de recourir à un compte d’accès réseau. Note pour l’instant le déploiement de système d’exploitation requiert toujours un compte d’accès réseau.
  • Un nouveau tableau de bord Cloud Management fournit une vue centralisée pour l'utilisation de la Cloud Management Gateway (CMG). Lorsque le site est embarqué avec Azure AD, il affiche également des données sur les utilisateurs et les périphériques dans le Cloud. Cette fonctionnalité inclut également CMG connection analyzer pour une vérification en temps réel afin de faciliter le dépannage. L'utilitaire dans la console vérifie l'état actuel du service et le canal de communication par l'intermédiaire du CMG Connection Point vers tous les Management Points qui permettent le trafic CMG.
  • Amélioration de la Cloud Management Gateway :
    • La commande d’installation du client Configuration depuis Internet via la CMG demande moins de propriétés : CCMHOSTNAME et SMSSITECODE dans tous les cas auxquelles il faut ajouter AADCLIENTAPPID et ADDRESOURCEURI pour l’authentification Azure AD. Vous pouvez éventuellement ajouter SMSMP lorsque le client revient sur le réseau interne.
    • Il est maintenant possible de télécharger du contenu depuis la CMG et non plus uniquement un Cloud Distribution Point. Vous devez activer l’option suivante sur la CMG : Allow CMG to function as a cloud distribution point and serve content from Azure storage
    • Lorsque vous créez une CMG pour authentifier des clients Azure AD, il n’est plus nécessaire de spécifier un certificat racine. Ce prérequis reste toujours nécessaire si vous utilisez l’authentification via des certificats.
  • Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
  • Amélioration du tableau de bord Surface en affichant maintenant une liste de périphériques pertinents lorsque des sections de graphique sont sélectionnées. Vous pouvez cliquer sur la tuile Percent of Surface Devices afin d’ouvrir une liste de périphériques surface. Vous pouvez cliquer sur une barre dans la tuile Top Five Firmware Versions afin d’ouvrir une liste des périphériques surface avec cette version de firmware spécifique. Lorsque vous visualisez ces listes de périphériques à partir du tableau de bord Surface, vous pouvez cliquer avec le bouton droit de la souris sur un périphérique et effectuer des actions.

Co-Management

  • Support de l’interconnexion de plusieurs hiérarchies vers un seul tenant Azure Active Directory et Microsoft Intune
  • Le Co-Management supporte maintenant la transition de
    • La configuration du périphérique par Microsoft Intune. Ceci vous laisse la possibilité de déployer des stratégies MDM tout en continuant de déployer des applications avec Microsoft Intune. La transition de cet élément déplace également la configuration de l'accès aux ressources et de protection des clients, qui constituent un sous-ensemble de la configuration des périphériques. Lorsque vous transférez cet élément, vous pouvez toujours déployer les paramètres ConfigMgr vers des périphériques cogérés, même si Intune est l'autorité de configuration des périphériques. Cette exception peut être utilisée pour configurer les paramètres requis par votre organisation mais qui ne sont pas encore disponibles dans Intune. Spécifiez cette exception sur une baseline de configuration. Activez l'option "Always apply this baseline even for co-managed clients" lors de la création de la baseline ou dans l'onglet Général des propriétés d'une baseline existante.
    • La charge de travail Office 365 de Configuration Manager vers Microsoft Intune pour le Co-Management. Microsoft a introduit un nouvelle condition globale « Are Office 365 applications managed by Intune on the device »
    • Les applications mobiles/modernes avec Microsoft Intune tout en continuant à utiliser Configuration Manager pour déployer les applications Win32. Pour transférer la charge de travail des applications modernes, allez à la page des propriétés du Co-Management. Déplacez la barre de défilement de Configuration Manager vers Pilote ou All. Après la transition de cette charge de travail, toutes les applications disponibles déployées à partir d'Intune sont disponibles dans le portail de l'entreprise. Les applications que vous déployez à partir du Configuration Manager sont disponibles dans le Software Center.
  • A partir de cette version, les périphériques co-gérés avec Microsoft Intune, synchroniseront les stratégies MDM lorsque vous initiez l’action Download computer policy depuis les notifications clientes de la console d’administration.

Inventaire et Reporting

  • CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats. Vous pouvez ensuite filtrer et regrouper ces données dans l'outil. En fournissant des données en temps réel à partir de clients en ligne, vous pouvez répondre plus rapidement aux questions des entreprises, résoudre les problèmes et répondre aux incidents de sécurité. Par exemple, pour atténuer les vulnérabilités Spectre, l'une des exigences est de mettre à jour le BIOS du système. Vous pouvez utiliser CMPivot pour interroger rapidement les informations du BIOS du système et trouver les clients qui ne sont pas en conformité. Vous pouvez exécuter à partir du résultat des actions comme la prise en main à distance, l’explorateur de ressources et l’exécution de scripts.
  • La consultation des rapports de conformité aux mises à jour logicielles inclut traditionnellement les données des clients qui n'ont pas récemment contacté le site. Un nouveau rapport vous permet de filtrer les résultats de conformité pour un groupe de mise à jour logicielle spécifique par clients "sains". Ce rapport montre l'état de conformité plus réaliste des clients actifs dans votre environnement. Pour afficher le rapport, accédez à Monitoring – Reporting et exécutez Compliance 9 - Overall health and compliance. Ce rapport affiche le nombre total de clients sains vs le total des clients, l’aperçu de la conformité et le TOP5 des mises à jour avec le plus de clients non conformes.
  • Amélioration de l’inventaire matériel avec notamment les valeurs pour les integer larges. La limite actuelle était de 4,294,967,296 (2^32). Microsoft passe à 18,446,744,073,709,551,616 (2^64). Ce qui permet de traiter des valeurs plus larges notamment pour les éléments comme l’espace disque total.
  • Dans Configuration Manager 1710, la valeur par défaut utilisée pour les vues d’inventaire étaient passée de megabytes (MB) à gigabytes (GB). Avec l’amélioration des valeurs limitées pour l’inventaire matériel (large integer), la valeur a été repassée en MB.

 

Gestion du contenu

  • Il est maintenant possible de relocaliser la librairie de contenu sur un autre emplacement de stockage. Cela peut être sur un autre disque du serveur de site, sur un serveur séparé ou sur des disques à tolérance de panne dans un SAN. Ceci est un nouveau prérequis pour la haute disponibilité du rôle de serveur de site.
  • Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
  • Microsoft permet le support de LEDBAT par les points de distribution. Windows Low Extra Delay Extra Delay Background Transport (LEDBAT) est une fonctionnalité de Windows Server pour aider à gérer les transferts réseau en arrière-plan. Pour les points de distribution fonctionnant sur les versions supportées de Windows Server, vous pouvez activer une option pour aider à ajuster le trafic réseau. Les clients n'utilisent la bande passante réseau que lorsqu'elle est disponible. Le point de distribution doit exécuter Windows Server 1709 et les clients

  • Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu. doivent utiliser Windows 10 1607.
  • Les groupes de limites incluent maintenant des paramètres additionnels permettant de mieux contrôler la distribution du contenu dans l’environnement :
    • Allow peer downloads in this boundary group est activé par défaut. Le Management Point fournit alors au client la liste des emplacements de contenu incluant la liste des sources client Peer Cache. La désactivation de cette fonctionnalité peut être utile pour les clients VPN ou pour les groupes de limites importants qui ne référencent pas de points de distribution.
    • During peer downloads, only use peers within the same subnet est dépendant du paramètrage ci-dessus. Dans ce cas, le Management Point n’inclut seulement dans la liste des emplacements de contenu, les sources client Peer Cache qui sont sur le même sous-réseau. Ceci peut être significatif pour la création d’un groupe de limites très large qui englobe de plus petits groups de limites ou lorsque vous avez un seul grand groupe de limites pour tous les sites distants.

Software Center

  • Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.
  • Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

  • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
  • Vous pouvez maintenant contrôler si le lien Open the Application Catalog web site apparaît dans le nœud Installation Status du Software Center.

 

Déploiement d’applications

  • Vous pouvez maintenant créer un déploiement par phases (Phased Deployments) avec des phases configurées manuellement.

  • Intégration de l’outil de personnalisation Office (OCT) avec l’assistant Office 365 de la console. Vous pouvez donc dynamiquement configurer les paramétrages de gestion lorsque vous créez l’application Office 365 depuis la console. Ce dernier est mis à jour dès lorsqu’une nouvelle version d’Office 365 est publiée afin de bénéficier des nouveaux paramétrages de gestion dès lors qu’ils sont disponibles.
  • Les rôles du catalogue d’applications ne sont plus nécessaires pour afficher les applications disponibles en libre-service à l’utilisateur dans le Software Center. Le client utilise maintenant le Management Point pour obtenir l’information ce qui de mieux gérer la charge dans les gros environnements en utilisant les Boundary Groups.
  • Vous pouvez maintenant provisionner une application moderne Windows 10 sur des périphériques pour tous les utilisateurs. Auparavant, Configuration Manager ne supportait que les applications installées pour les utilisateurs.
  •  Configuration Manager supporte maintenant le déploiement d’applications avec les nouveaux packages d’application Windows 10 (MSIX) et des bundles d’application (msixbundle). La dernière version Insider (17682) de Windows 10 supporte ces nouveaux formats.

 

Mises à jour logicielles

  • Intégration des mises à jour logiciels tiers permettant de vous abonner aux catalogues partenaires dans la console Configuration Manager et de publier les mises à jour de WSUS. Vous pouvez ensuite déployer ces mises à jour à l'aide du processus de gestion des mises à jour logicielles existantes. Ceci est l’intégration et l’amélioration de ce que System Center Updates Publisher (SCUP) faisait auparavant. Configuration Manager peut notamment automatiquement configurer le client et déployer le certificat utilisé pour signer les mises à jour logicielles.

  • L’assistant de nettoyage WSUS décline maintenant les mises à jour logicielles qui sont soit expirées soit replacées selon les règles de remplacement.
  • Vous pouvez maintenant filtrer les règles de déploiement automatique pour exclure les architectures comme Itanium et ARM64.
  • Déploiement de mises à jour logicielles sur les périphériques sans avoir téléchargé et distribué le contenu des mises à jour logicielles sur les points de distribution. Ceci permet de gérer les scénarios avec un contenu extrêmement large ou lorsque vous souhaitez que les clients récupèrent systématiquement les mises à jour depuis Microsoft Update. Il est possible qu’un client récupère la mise à jour depuis Microsoft Update et que les autres clients viennent récupérer le contenu via les fonctionnalités BranchCache, PeerCache ou Delivery Optimization.

 

Déploiement de systèmes d’exploitation

  • Le déploiement par phases (Phased Deployments) est intégré et propose une expérience de supervision native. A partir de l’espace Monitoring – Deployments, vous pouvez sélectionner Phased Deployment Status. Ce tableau de bord comprend des informations telles que le nombre total de périphérique ciblé dans la phase, l’état de la phase (déploiement créé, en attente, suspendue), l’état de progression du déploiement (success, In progress, Error, Requirements Not Met, Unknown).
  • Le modèle de séquence de tâches pour la mise à niveau de Windows 10 inclut maintenant u nouveau groupe avec des actions recommandées à ajouter en cas d’échec dans le processus de mise à niveau. On retrouve la capacité de collecter des logs, d’exécuter des outils de diagnostic (Windows SetupDiag, etc.)
  • Amélioration du serveur PXE intégré à Configuration Manager via l’option Enable a PXE responder without Windows Deployment Service. L’option créé automatiquement les exceptions dans le parefeu Windows. En outre, on retrouve une amélioration de la journalisation.
  • Amélioration du support des communications clientes sécurisées. Le compte d’accès réseau (Network Access Account) n’est plus requis pour le téléchargement du contenu depuis un point de distribution dans les scénarios suivants :
    • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis un média de démarrage ou PXE
    • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis le Software Center
  • Le produit masque les données sensibles stockées dans les variables de séquence de tâches : Dans la tâche Set Task Sequence Variable, sélectionnez la nouvelle option Do not display this value. Par exemple, lorsque vous spécifiez un mot de passe. Les comportements suivants s'appliquent lorsque vous activez cette option :
    • La valeur de la variable n'est pas affichée dans smsts.log.
    • La console Configuration Manager et le fournisseur SMS traitent cette valeur de la même manière que d'autres secrets tels que les mots de passe.
    • La valeur n'est pas incluse lorsque vous exportez la séquence de tâches.
    • L'éditeur de séquence de tâches ne lit pas cette valeur lorsque vous modifiez l'étape. Retapez la valeur pour faire des changements.
  • Masquer le nom du programme pendant la tâche Run Command: Pour empêcher l'affichage ou l'enregistrement de données potentiellement sensibles, configurez la variable de séquence de tâches OSDDoNotLogCommand à TRUE. Cette variable masque le nom du programme dans le fichier smsts.log pendant une étape de séquence de tâche de ligne de commande d'exécution.
  • Vous pouvez spécifier des paramètres de ligne de commande additionnels à DISM en utilisant la variable OSDInstallDriversAdditionalOptions. Vous devez pour cela activer l’option Install Drivers package via running DISM with recurse sur la tâche Apply Driver Package.
  • Les tâches Enable BitLocker et Pre-Provision BitLocker incluent maintenant une option Use full disk encryption pour chiffrer l’ensemble du disque et non plus l’espace disque utilisé.

 

Conformité des paramétrages

  • Ajout de trois paramétrages Windows Defender SmartScreen aux paramétrages de conformité pour le navigateur Microsoft Edge:
    • Allow SmartScreen permet de spécifier si SmartScreen est autorisé
    • User can override SmartScreen prompt for sites spécifie si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un site.
    • User can override SmartScreen prompt for files définit si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un fichier.
  • Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

 Plus d’informations sur cette version : What’s new in version 1806

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Facebook Like