Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient de mettre à disposition en Early Wave, la version finale (5.00.8968.1000) de Microsoft EndPoint Manager Configuration Manager 2002. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

 

Microsoft Endpoint Manager Configuration Manager 2002 comprend les nouveautés suivantes : 

Administration

  • Si vous disposez d’une hiérarchie avec un CAS, vous pouvez maintenant supprimer ce CAS afin de simplifier la hiérarchie et la complexité liée à la réplication intersites. Ce mécanisme doit pour l’instant être réalisé avec l’aide du support Microsoft.
  • De nouvelles règles Management Insights sont disponible sous le groupe Configuration Manager Assessment avec notamment :
    • Réduire le nombre d’applications et de packages sur les points de distribution. Le nombre supporté peut aller jusqu’à 10 000 packages et applications.
    • Mettre à jour tous les sites d’une hiérarchie avec la même version. Ceci permet d’identifier les hiérarchies dans un mode d’interopérabilité.
    • La découverte par pulsation d’inventaire (Heartbeat) est désactivée.
    • Des requêtes de collection à temps d’exécution long sont activées avec la mise à jour incrémentielle. Cette règle révèle les collections qui ont un temps de mise à jour incrémentiel supérieur à 30 secondes.
    • Problèmes d’installation des sites secondaires révèlent les sites secondaires avec un état de mise à niveau bloqué à Pending ou Failed.
    • La découverte de système Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
    • La découverte de groupe de sécurité Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
    • La découverte d’utilisateur Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
    • Les collections limitées à All Systems et All Users. Configuration Manager met à jour l'appartenance de ces collections avec les données des méthodes de découverte Active Directory. Ces données peuvent ne pas être valides pour les clients Configuration Manager
  • De nouvelles règles Management Insights sont disponible sous le groupe Cloud Services avec notamment :
    • Les sites n’ont pas la configuration HTTPS adéquates
    • Les périphériques ne sont pas uploadés sur Azure AD
  • Amélioration de l’Administration Service afin de ne plus demander d’activer la fonctionnalité Enhanced HTTP ou d’utiliser un certificat au niveau du rôle IIS du SMS Provider. A partir de maintenant, le service d’administration utilise automatiquement le certificat autosigné du site.
  • Support du proxy pour la synchronisation des groupes et la découverte Azure AD
  • Vous pouvez initier la collection des journaux (logs) d’un client vers le serveur de site depuis les actions de notification dans la console d’administration. Les journaux sont ensuite consultables depuis l’explorateur de ressources (Resource Explorer) via le nœud Diagnostic Files.
  • Il est possible d’exécuter une action de notification cliente à distance depuis le CAS afin de réveiller des périphériques. Cette action n’était disponible qu’à partir du site primaire.
  • Ajout de la plateforme All Windows 10 (ARM64) à la liste des conditions et prérequis (pour les applications, les baselines, les objets de configuration, etc.). L’option est sous le groupe de plateformes Windows 10. L’option n’est pas présélectionnée pour les objets existants.
  • OneTrace supporte maintenant des groupes de journalisation personnalisables comme dans Support Center. Ceci permet d’ouvrir tous les fichiers de journalisation dans un seul scénario (Application Management, Compliance Settings, Software Updates). Pour rappel, OneTrace est une nouvelle visionneuse de journaux. L’outil fonctionne de manière similaire à CMTrace en supportant les logs ConfigMgr, les messages d’état, et les logs Windows Update.
  • L'outil d'extension et de migration des sites On-Premises vers Microsoft Azure prend désormais en charge le provisionnement de plusieurs rôles de système de site sur une seule machine virtuelle Azure. Vous pouvez ajouter des rôles de système de site après le déploiement initial de la machine virtuelle Azure.

 

 

Gestion attachée au Cloud (Cloud-attached Management)

  • La gestion attachée au Cloud est une nouvelle fonctionnalité qui permet de connecter l’infrastructure Microsoft Endpoint Manager à Microsoft Intune afin de pouvoir remonter des informations et de lancer des actions à partir d’un portail unique celui de Microsoft Endpoint Manager/Microsoft Intune.
  • Le serveur de site lève des messages d’état critique (ID 11488) si le serveur de site n’arrive pas à se connecter aux points de terminaison requis pour les services Cloud.
  • La Cloud Management Gateway (CMG) supporte maintenant l’authentification basée sur des tokens (jetons). Ce nouveau mode d’authentification vient compléter celui proposé au travers des certificats, de l’authentification via la jointure à Azure AD. Il permet de couvrir des machines qui sont sur Internet et ne se connectent pas fréquemment au réseau Internet.
  • La charge de travail Client Apps (précédemment Mobile Apps) du Co-Management sort de sa phase de Preview

 

Desktop Analytics

  • Le tableau d’état de santé des connexions de Desktop Analytics affiche maintenant les problèmes de connexion client avec notamment deux aspects :
    • La vérification de la connectivité des points de terminaison : Si un client ne peut atteindre ces points de terminaison, vous voyez un alerte dans le tableau de bord ; ce qui peut vous permettre d’identifier les problèmes de configuration de proxy
    • L’état de connectivité : Si vous utilisez un proxy, Configuration Manager affiche les problèmes d’authentification proxy des clients.

Inventaire et Reporting

  • Vous pouvez maintenant intégrer Power BI Report Server avec le composant de reporting. Ceci permet d’avoir accès à des visualisations modernes et de meilleures performances.
  • Microsoft facilite la navigation entre les entités CMPivot en permettant la recherche de propriétés.

 

Gestion du contenu

  • Dans le cadre de l’utilisation de PeerCache, il devient possible de spécifier des sous-réseaux à exclure de la liste des sources fournie aux clients qui souhaitent récupérer du contenu.
  • Support du Proxy pour Microsoft Connected Cache, le serveur relais de Delivery Optimization.

 

Gestion des Applications

  • Le tableau de bord de gestion de Microsoft Edge (présent dans l’espace Software Library) fournit des éléments sur l’usage de Microsoft Edge et des autres navigateurs en permettant de :
    • Voir combien de périphériques ont Microsoft Edge installé.
    • Voir combien de clients ont des versions différentes de Microsoft Edge installées
    • Avoir une vue des navigateurs installés sur les périphériques
    • Avoir une vue des navigateurs préférés par périphérique
  • Il est maintenant possible de créer une application Microsoft Edge qui se voit automatiquement mise à jour avec les nouvelles versions. Ceci permet de s’assurer que vous déployez toujours la dernière version sans avoir à passer par le système de gestion des mises à jour logicielles.
  • Vous pouvez maintenant installer des applications complexes en utilisant les séquences de tâches via le modèle d’application. Ceci signifie que vous pouvez ajouter un type de déploiement de type séquence de tâches sur une application pour l’installation ou la désinstallation. Ceci permet de pouvoir faire afficher une icône et de mettre des métadonnées additionnelles sur une séquence de tâches qui ne le permettait pas en temps normal

 

 

Mises à jour logicielles

  • Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
  • Configuration Manager détecte maintenant si une mise à jour de la pile de maintenance (Servicing Stack Update) fait partie d'une installation de plusieurs mises à jour. Lorsqu'un SSU est détecté, il est d'abord installé. Après l'installation du SSU, un cycle d'évaluation des mises à jour logicielles s'exécute pour installer les mises à jour restantes. Ce changement permet d'installer une mise à jour cumulative dépendante après la mise à jour de la pile de maintenance. L'appareil n'a pas besoin de redémarrer entre l’installation, et vous n'avez pas besoin de créer une fenêtre de maintenance supplémentaire. Les SSU ne sont installés en premier que pour les installations initiées par des non-utilisateurs. Par exemple, si un utilisateur lance une installation pour plusieurs mises à jour à partir du Software Center, le SSU pourrait ne pas être installé en premier.
  • Vous pouvez utiliser un nouvel outil pour importer les mises à jour d'Office 365 à partir d'un serveur WSUS connecté à Internet dans un environnement Configuration Manager déconnecté. Auparavant, lorsque vous exportiez et importiez des métadonnées pour des logiciels mis à jour dans des environnements déconnectés, vous ne pouviez pas déployer les mises à jour d'Office 365. Les mises à jour d'Office 365 nécessitent des métadonnées supplémentaires téléchargées à partir d'une API Office et du CDN Office, ce qui n'est pas possible pour les environnements déconnectés.

 

Déploiement de systèmes d’exploitation

  • Vous pouvez lancer une séquence de tâches immédiatement après l’enregistrement du client en ajoutant le paramètre de ligne de commande /PROVISIONTS <ID de la Séquence de tâches>. Cette fonctionnalité permet notamment d’améliorer les scénarios de personnalisation réalisés avec Windows Autopilot après l’installation du client SCCM par Microsoft Intune.
  • Amélioration de l’étape de vérification des prérequis (Check Readiness) avec l’ajout des propriétés suivantes :
    • Architecture de l'OS actuel
    • Version minimale du système d'exploitation
    • Version maximale du système d'exploitation
    • Version minimale du client
    • Langue du système d'exploitation actuel
    • Alimentation électrique branchée
    • L'adaptateur réseau est connecté et non pas le WiFi
  • Amélioration de fenêtre de progression de la séquence de tâches pour :
    • Permettre l’affichage du nombre total d’étape, le numéro de l’étape courante et le pourcentage de progression
    • Augmenter la taille de la fenêtre pour donner plus d’espace et mieux voir le nom de l’entreprise sur une seule ligne.
  • Les améliorations générales suivantes sur le déploiement de système d’exploitation :
    • L'environnement de la séquence de tâches comprend une nouvelle variable en lecture seule, _TSSecureBoot. Cette variable permet déterminer l'état de démarrage sécurisé (SecureBoot) sur un périphérique compatible UEFI.
    • Définissez les variables de séquence de tâches SMSTSRunCommandLineAsUser et SMSTSRunPowerShellAsUser pour configurer le contexte utilisateur pour les tâches Run Command Line et Run PowerShell Script.
    • Sur la tâche Run PowerShell Script, vous pouvez maintenant définir la propriété Paramètres sur une variable.
    • Le PXE responder envoie désormais des messages d'état au serveur du site. Ce changement permet de faciliter le dépannage des déploiements de systèmes d'exploitation qui utilisent ce service.

 

Protection

  • Extension de l’onboarding des machines dans Microsoft Defender Advanced Threat Protection pour supporter les nouveaux systèmes suivants : Windows 7 SP1, Windows 8.1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2016, version 1803, et Windows Server 2019.
  • Amélioration de la gestion de BitLocker :
    • La stratégie de gestion de BitLocker comprend désormais des paramètres supplémentaires, notamment des stratégies pour les lecteurs fixes et amovibles.
    • Avec Configuration Manager 1910, vous deviez activer le protocole HTTPS sur un Management Point. La connexion HTTPS est nécessaire pour chiffrer les clés de restauration en transit sur le réseau. À partir de cette version, l'exigence HTTPS concerne le site web d'IIS qui héberge le service de récupération, et non l'ensemble des rôles Management Point. Ce changement assouplit les exigences en matière de certificat, tout en continuant à chiffrer les clés de récupération en transit.

 

 

Gestion des paramétrages et de la conformité

  • Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.E

 

Console Configuration Manager

  • Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

  • Comme dans les versions précédentes, vous pouvez maintenant utiliser l'option de recherche Tous les sous-dossiers (All Subfolders) à partir des nœuds Configuration Items et Configuration Baselines.
  • Vous pouvez désormais choisir de joindre des fichiers de journalisation et de diagnostic lorsque vous utilisez la fonction Send a Frown dans la console. Ces informations supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec les commentaires sont transmis et stockés à l'aide de Microsoft Error Reporting (également connu sous le nom de Windows Error Reporting).
  • Lorsque vous envoyez retour, un message d’état est créé lorsque le retour d'information est soumis. Cette amélioration permet d'enregistrer les informations sur quand, qui, le statut et l’identifiant de la soumission. Un message d’état avec un identifiant 53900 est une soumission réussie et 53901 est une soumission échouée.

 

Plus d’informations sur cette version : What’s new in version 2002

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell

Facebook Like