Je vous propose un billet pour parler d’une erreur 1625 renvoyée lors l’installation d’une application avec System Center Configuration Manager. Cette erreur concerne les machines Windows 10. Vous observez les messages suivants en ouvrant le fichier de journalisation appenforce.log :
+++ MSI application not discovered [MSI Product Code: {XXXXXXXx}, MSI Product version:
App enforcement environment:
Context: Machine
Command line: msiexec /i "XXXXXXXXX.msi" /q
Allow user interaction: No
UI mode: 0
User token: null
Session Id: 1
Content path: C:\WINDOWS\ccmcache\5
Working directory:
Prepared working directory: C:\WINDOWS\ccmcache\5
Found executable file msiexec with complete path C:\WINDOWS\system32\msiexec.exe
Prepared command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn
Valid MSI Package path = C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi
Advertising MSI package [C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi] to the system
AdvertisePackage - MsiAdvertiseProduct Failed : 0x80070659
AdvertisePackage failed (0x80070659).
Lowright users might fail to install this application if it requires higher privileges
Executing Command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn with user context
Working directory C:\WINDOWS\ccmcache\5
Post install behavior is BasedOnExitCode
Waiting for process 6044 to finish. Timeout = 120 minutes.
Process 6044 terminated with exitcode: 1625
Looking for exit code 1625 in exit codes table...
Unmatched exit code (1625) is considered an execution failure.
L’erreur 1625 correspond au message : “This installation is forbidden by system policy. Contact your system administrator”.
Ceci est dû à l’activation de Windows Defender Application Control / Device Guard. Une stratégie est appliquée sur la machine Windows 10 et bloque les installations même si elles sont réalisées avec le compte système.
En l’occurrence ici, la stratégie est appliquée avec une stratégie de restriction du périphérique (Device Restriction) dans Microsoft Intune. Le périphérique est dans un mode Co-Management et l’installation de l’application a lieu avec System Center Configuration Manager.
Windows Defender Application Control permet normalement à l’outil d’administration de spécifier une exception appelée Managed Installers pour des outils de déploiement. Les solutions d’administration définies comme Managed Installers peuvent exécuter des installations d’applications et les applications installées sont automatiquement ajoutées à la liste des exceptions pour l’exécution.
En l’occurrence, Microsoft Intune (à date d’écriture – Août 2019) ne définit ni ses propres processus (Intune Management Extension) ni le client ConfigMgr comme Managed Installers. C’est pourquoi cette situation survient dans un mode de Co-Management.
A date, la seule option est de déployer la stratégie Windows Defender Application Control avec System Center Configuration Manager. En effet, ce dernier s’ajoute tout seul comme Managed Installer et peut ainsi exécuter l’installation des applications qu’il déploie. Notez qu’à date, la stratégie Windows Defender Application Control avec System Center Configuration Manager, ne définit par contre pas Microsoft Intune (Intune Management Extensions) comme Managed Installer et ce malgré la mise en place du Co-Management.
Microsoft travaille pour améliorer ces scénarios (notamment côté Intune)