Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft vient de mettre à disposition pour tous, la version finale (5.00.9040.1000) de Microsoft EndPoint Configuration Manager 2010. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

On retrouve seulement un problème connu avec les droits RBAC : Release notes - Configuration Manager | Microsoft Docs

Microsoft Endpoint Configuration Manager 2010 comprend les nouveautés suivantes : 

Administration

  • Le réveil des machines à la date butoir du déploiement prend maintenant en compte la fonctionnalité Wake-up Client afin qu’un client d’un même sous-réseau envoie l’ordre de réveille
  • Un paramétrage client When a deployment requires a restart, allow low-rights users to restart a device running Windows Server permet à des utilisateurs à faible droits sur Windows Server de redémarrer ces machines Windows Server pour par exemple des mises à jour logicielles.

  • On retrouve plusieurs améliorations autour des collections :
    • Vous pouvez maintenant prévisualiser le résultat d’une requête construite dans l’éditeur de requêtes.

    • Intégration de l’outil Collection Evaluation Viewer directement dans le produit afin de fournir voir les temps d’évaluation, les dates de dernières évaluations, etc.

    • Un diagramme permet de voir les relations de dépendances entre collections de façon graphique. Cela montre les collections limitantes, les inclusions et les exclusions. Ceci permet de vous aider à comprendre l’impact de changements sur des collections.

  • ConfigMgr est compliqué à dépanner. Il est particulièrement complexe de comprendre la latence du système et le retard entre les composants. Les fonctions de service Cloud augmentent cette complexité. Vous pouvez désormais utiliser ConfigMgr pour surveiller l’état des scénarios de bout en bout. Il simule les activités pour exposer les mesures de performance et les points de défaillance. Ces activités synthétiques sont similaires aux méthodes que Microsoft utilise pour surveiller certains composants de ses services dans le Cloud. Cette version comprend les deux scénarios suivants :
    • SQL Server Service Broker : Le Service Broker est une configuration requise pour la base de données du site. De nombreux sous-systèmes de base de ConfigMgr utilisent le Service Broker.
    • Client action health : Surveiller la santé du Fast Channel utilisé pour les actions des clients. Si votre environnement est attaché au tenant avec l’upload des périphériques, cette fonction vous aide à détecter les problèmes potentiels liés aux actions des clients à partir du centre d'administration de Microsoft Endpoint Manager. Vous pouvez également utiliser cette fonction pour les actions des clients sur site. Par exemple, CMPivot, l'exécution de scripts et le réveil de périphérique.

  • Si le processus d'installation ou de mise à jour ne se déroule pas correctement, vous pouvez désormais signaler l'erreur directement à Microsoft. En cas d'échec, le bouton Signaler l'erreur de mise à jour à Microsoft est activé. Lorsque vous utilisez ce bouton, un assistant interactif s'ouvre et vous permet de fournir plus d'informations.
  • Microsoft introduit une tâche d’administration appelée Delete Aged Collected Diagnostic Files permettant d’effacer les fichiers de diagnostic. Les fichiers collectés par la partie Software Inventory ne sont pas supprimés par cette tâche. Les fichiers de diagnostic sont par défaut supprimés après 14 jours.

  • L’Administration Service ne requiert plus l’installation de IIS sur le SMS Provider comme auparavant. Le rôle nécessite toujours une connexion HTTPS sécurisée néanmoins à partir de cette version car lorsque vous activez Enhanced HTTP, il crée un certificat auto-signé pour le SMS Provider et le lie automatiquement sans avoir besoin d'IIS.

 

 

Gestion attachée au Cloud (Cloud-attached Management)

  • Les déploiements de Cloud Management Gateway (CMG) peuvent désormais utiliser une virtual machine scale set dans Azure pour prendre en charge les abonnements des Cloud Service Provider (CSP). Cette fonctionnalité est actuellement en préversion. Pour l'instant, elle n'est destinée qu'aux clients CSP qui n'ont pas déjà une CMG dans un autre abonnement.

  • Vous pouvez désormais désactiver l'authentification Azure Active Directory (Azure AD) pour les tenants qui ne sont pas associés aux utilisateurs et aux périphériques. Lorsque vous enregistrez ConfigMgr à Azure AD, il permet au site et aux clients d'utiliser une authentification moderne. Actuellement, l’authentification du périphérique Azure AD est activée pour tous les tenants embarqués, qu'ils disposent ou non de périphériques. Ceci est utile par exemple si vous avez un tenant séparé avec un abonnement que vous utilisez pour exécuter la Cloud Management Gateway et qui ne comprend pas d'utilisateurs ou de périphériques. Dans ce cas, il y a un intérêt de désactiver l'authentification Azure AD.

  • Lors de l’enregistrement de ConfigMgr à Azure AD et la création des applications nécessaires à l’authentification, il est maintenant possible de spécifier une expiration à Never pour la clé secrète.

  • Si vous utilisez Desktop Analytics ou tenant-attach, le Service Connection Point vérifie maintenant les URLs importantes. Ces vérifications permettent de s'assurer que les services connectés au Cloud sont disponibles. Il vous aide également à résoudre les problèmes en déterminant rapidement si la connectivité du réseau pose un problème.
  • Le portail de dépannage du centre d'administration de Microsoft Endpoint Manager permet de rechercher un utilisateur et de visualiser les périphériques qui lui sont associés. À partir de cette version, les périphériques rattachés à un tenant qui se voient attribuer automatiquement une affinité utilisateur/périphérique en fonction de l'utilisation seront désormais renvoyés lors de la recherche d'un utilisateur. 

  • Les administrateurs peuvent désormais effectuer les actions suivantes pour les applications dans le centre d'administration de Microsoft Endpoint Manager :
    • Désinstaller une application
    • Réparation de l'installation d'une application
    • Réévaluer le statut d'installation de l'application
    • Réinstaller une application a remplacé Réessayer l'installation

Desktop Analytics

  • Support des nouveaux niveaux de diagnostic Windows 10. Microsoft accroît la transparence en classant les données de diagnostic Windows 10 tel que :
    • Les données de diagnostic Basic sont recatégorisées Required
    • Full est recatégorisé comme Optional

Si vous avez déjà configuré des périphériques en Enhanced ou Enhanced (Limited), dans une prochaine version de Windows 10, ils utiliseront le niveau requis.

  • Desktop Analytics supporte maintenant Windows 10 Enterprise LTSC 2019 pour permettre aux entreprises d’évaluer la transition vers la version Semi-Annual.

 

Gestion du contenu

  • Le tableau de bord Client data sources offre désormais une sélection élargie de filtres permettant de visualiser les informations sur les sources de contenu des clients. Ces nouveaux filtres comprennent : Single boundary group, All boundary groups, Internet clients, Clients not associated with a boundary group. Le tableau de bord comprend également une nouvelle tuile pour les téléchargements de contenu utilisant une source de repli (fallback). Ces informations vous aident à comprendre la fréquence à laquelle les clients téléchargent du contenu à partir d'une autre source.

  • Si vous retirez un contenu d'un point de distribution alors que le système du site est hors ligne, un enregistrement orphelin peut exister dans WMI. Avec le temps, ce comportement peut éventuellement entraîner un état d'alerte sur le point de distribution. Dans le passé, pour pallier ce problème, vous deviez supprimer manuellement les entrées orphelines de WMI. L'outil content library cleanup en mode suppression peut désormais supprimer ces enregistrements de contenu orphelins de WMI.

 

Gestion des Applications

  • Un périphérique basé sur Internet et joint à un domaine qui n'est pas joint ou enregistré à Azure Active Directory (Azure AD) et qui communique via une Cloud Management Gateway (CMG) peut voir les déploiements d'applications en libre-service. L'utilisateur du domaine Active Directory sur le périphérique a besoin d'une identité Azure AD correspondante. Lorsque l'utilisateur démarre le Software Center, Windows lui demande de saisir ses identifiants Azure AD. Il peut alors voir toutes les applications disponibles.  

 

Mises à jour logicielles

  • À partir de la mise à jour cumulative de septembre 2020, les serveurs WSUS en mode HTTP seront sécurisés par défaut. Par défaut, un client qui recherche des mises à jour par rapport à un serveur WSUS HTTP ne peut pas utiliser un proxy utilisateur. Si vous avez toujours besoin d'un proxy utilisateur malgré les compromis en matière de sécurité, un nouveau paramètre client de mise à jour logicielle est disponible pour permettre ces connexions. Pour plus d'informations sur les changements : Changes to improve security for Windows devices scanning WSUS - Microsoft Tech Community

  • Pour vous aider à gérer les risques de sécurité, vous serez averti dans la console des périphériques dont le système d'exploitation est dépassé par la date de fin support. Ces périphériques peuvent ne plus recevoir de mises à jour de sécurité. En outre, une nouvelle règle de Management Insights a été ajoutée pour détecter Windows 7, Windows Server 2008 et Windows Server 2008 R2 sans mises à jour de sécurité étendues (ESU).

  • Il y a un nouveau paramètre client pour les mises à jour de logiciels. Si le contenu delta n'est pas disponible à partir des points de distribution du groupe de limites actuel, vous pouvez autoriser un repli immédiat vers un voisin ou vers les points de distribution du groupe limite par défaut du site. Ce paramètre est utile lorsque vous utilisez le contenu delta pour les mises à jour logicielles, car le délai d'attente par tâche de téléchargement est de cinq minutes.

Déploiement de systèmes d’exploitation

  • Il est désormais possible de déployer un système d’exploitation via la Cloud Management Gateway (donc potentiellement sur Internet) en utilisant un média de démarrage. Vous pouvez donc envoyer une clé USB à vos employés pour qu’ils réimagent leur machine depuis chez eux par exemple.
  • Microsoft avait ajouté un type de déploiement pour associer une séquence de tâches à une application. Avec cette version, il est possible de déployer cette application sur une collection utilisateur. Dans ce cas le déploiement ciblé sur l’utilisateur s’exécute dans le contexte System.
  • Sur la gestion de la taille de la séquence de tâches :
    • ConfigMgr restreint maintenant les actions pour une séquence de tâches d'une taille supérieure à 2 Mo. L'éditeur de séquence de tâches affichera une erreur si vous essayez de sauvegarder les modifications d'une grande séquence de tâches.
    • Lorsque vous consultez la liste des séquences de tâches dans la console, vous pouvez ajouter la colonne Size (KB) afin d’identifier identifier les grandes séquences de tâches qui peuvent poser des problèmes.
  • Depuis Windows 10 2004, l'outil de diagnostic SetupDiag est inclus dans le setup de Windows. En cas de problème avec la mise à jour, SetupDiag s'exécute automatiquement pour déterminer la cause de la panne. ConfigMgr rassemble et résume désormais les résultats de SetupDiag à partir des déploiements de mise à jour des fonctionnalités avec Windows 10 Servicing.
  • Depuis ConfigMgr 1910, pour améliorer la vitesse globale de la séquence des tâches, vous pouvez activer le plan d'alimentation High Performance de Windows. À partir de cette version, vous pouvez désormais utiliser cette option sur les périphériques dotés d'un mode de veille moderne et sur d'autres appareils qui n'ont pas ce plan d'alimentation par défaut.

 

Protection

  • Vous pouvez désormais gérer les stratégies BitLocker et ingérer les clés de récupération via une Cloud Management Gateway (CMG). Ce changement permet également de gérer BitLocker via une gestion des clients basée sur Internet (IBCM). Ceci ne requiert pas de changement dans le processus de configuration de la gestion de BitLocker.
  • Vous pouvez appliquer des stratégies Microsoft Defender Application Control sur des périphériques exécutant Windows Server 2019.

  

Console Configuration Manager

  • La console ConfigMgr dispose d'un nouvel assistant pour l'envoi de commentaires. L'assistant remanié améliore le flux de travail en donnant de meilleures indications sur la manière de soumettre les bonnes de retour d’information. Il y a également une nouvelle requête de message d’état, Feedback sent to Microsoft afin de trouver facilement les messages d’état de retour.

(screen)

  • La présentation a été améliorée pour les notifications dans la console. Les notifications sont plus lisibles et le lien d'action est plus facile à trouver. En outre, l'âge de la notification est affiché pour vous aider à trouver les dernières informations. Si vous rejetez une notification ou si vous faites Snooze, cette action est désormais persistante pour votre utilisateur sur toutes les consoles.

  • Vous pouvez désormais copier les données de découverte des périphériques et des utilisateurs dans la console. Copiez les détails dans le presse-papiers, ou exportez-les tous dans un fichier. Ces nouvelles actions vous permettent d'obtenir plus facilement et rapidement ces données à partir de la console. Par exemple, vous pouvez copier l'adresse MAC d'un périphérique avant de le réimager.
  • Diverses zones de la console utilisent désormais la police à largeur fixe Consolas. Cette police de caractères offre un espacement cohérent et facilite la lecture.

  • Vous disposez désormais d'un moyen plus simple de visualiser les messages d’état des objets. Sélectionnez un objet dans la console, puis sélectionnez Show Status Messages dans le menu ruban.

  • Désormais, lorsque vous importez un objet dans la console, il importe vers le dossier en cours. Auparavant, ConfigMgr mettait toujours les objets importés dans le nœud racine. Ce nouveau comportement s'applique aux applications, aux packages, aux drivers packages, et aux séquences de tâches.
  • Pour vous aider à créer des scripts et des requêtes dans la console, vous verrez désormais la coloration syntaxique et le code folding, si disponible.

PowerShell

  • Vous pouvez maintenant utiliser Update-Help pour obtenir les dernières informations du module PowerShell de Configuration Manager via la commande Update-Help -Module Configuration Manager.
  • Le module PowerShell supporte maintenant PowerShell 7.
  • Avec plus de clients qui gèrent désormais des périphériques à distance, cette version comprend plusieurs nouvelles cmdlets PowerShell améliorées pour la Cloud Management Gateway (CMG). Vous pouvez utiliser ces cmdlets pour automatiser la création, la configuration et la gestion des exigences du service CMG et de l'Azure Active Directory (Azure AD).

 

Plus d’informations sur cette version : What’s new in version 2010

Pour obtenir les éléments relatifs au processus de mise à jour : Updates and servicing - Configuration Manager | Microsoft Docs

Facebook Like
Anonymous