Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft a annoncé la Public Preview d’un service cloud de suivi des mises à jour et mises à niveau pour Windows 10. Update Compliance est gratuit et proposé au travers d’Operations Management Suite (OMS) et de son module Log Analytics. Il s’adresse à la gestion moderne des périphériques Windows 10 qui utilisent notamment Windows Update for Business (WUfB) ou Microsoft Update.

La solution donne des informations sur :

  • L’état d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
  • L’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
  • Les périphériques qui nécessitent une attention pour résoudre des problèmes.

Note : Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

 

Vous devez commencer par ouvrir un abonnement Microsoft Operations Management Suite (OMS) ou utiliser un abonnement existant.

Connectez-vous au portail OMS et naviguez dans Solutions Gallery. Sélectionnez la solution Windows Analytics Update Compliance et cliquez sur Add :

 

Vous devez ensuite activer la solution vis-à-vis de la télémétrie Windows. Ouvrez les paramétrages OMS et ouvrez Connected Sources puis Windows Telemetry. Cliquez sur Subscribe pour la solution Update Compliance :

Note : Vous pouvez régénérer un identifiant commercial si nécessaire.

 

Vous devez ensuite déployer l’identifiant commercial sur l’agent de télémétrie de Windows 10. Ceci permettra au service de télémétrie de Microsoft dans le Cloud d’identifier vos données lorsqu’elles sont envoyées par les clients.

Les prérequis suivants sont nécessaires :

  • Utilisation à minima de Windows 10 1607 (Anniversary Update)
  • Configuration de la télémétrie au niveau Basic (le niveau Security ne permet pas de renvoyer assez de données).

La configuration de l’identifiant commercial peut se faire de deux manières :

  • Utilisation de stratégies de groupe (GPO)
  • Utilisation d’une solution d’administration (MDM) telle que Microsoft Intune ou System Center Configuration Manager (SCCM).

 

Configuration par stratégies de groupe (GPO)

Vous pouvez créer une stratégie locale ou une stratégie de domaine. Naviguez ensuite dans Computer Configuration – Policies – Administrative Templates – Windows Components – Data Collection and Preview Builds. Identifiez le paramètre Configure the Commercial ID.

 

Vous devez activer le paramètre et spécifier l’identifiant commercial :

Note : vous pouvez choisir le niveau de télémétrie avec le paramètre Allow Telemetry. Spécifiez au minimum le niveau Basic (1).

Le rechargement des stratégies sur les clients permettra l’association de l’identifiant lors de l’envoi des données de télémétrie.

 

Configuration avec Microsoft Intune

Ce mode de configuration s’adresse particulièrement aux périphériques gérés de manière moderne via une solution d’administration de périphériques mobiles (MDM) telle que Microsoft Intune.

Ouvrez le portail Microsoft Intune et naviguez dans More Services – Intune. Sur le tableau de bord, sélectionnez Configure Devices.

Dans Device Configuration – Profiles, sélectionnez ensuite Manage – Profiles puis cliquez sur Create Profile. Renseignez :

  • Le nom de la stratégie
  • La plateforme cible : Windows 10 and later
  • Le type de profil : Custom

 

Dans Settings, choisissez Configure dans Settings et ajouter un paramétrage.
Renseignez le nom du paramétrage et la description. Spécifiez ensuite :

  • L’OMA-URI :
    • ./Vendor/MSFT/DMClient/<NOM DE VOTRE ENTREPRISE>/CommercialID
    • Exemple : ./Vendor/MSFT/DMClient/MicrosoftTouch/CommercialID
  • Data Type : String
  • Value : l’identifiant commercial de votre organisation

Cliquez sur Add.

Note :  vous pouvez aussi configurer le niveau de télémétrie via le paramètre :

  • L’OMA-URI :
    • ./Vendor/MSFT/Policy/Config/System/AllowTelemetry
  • Data Type : Integer
  • Value : 1

Cliquez sur Ok puis Create.

Vous devez ensuite déployer le profile en cliquant sur Manage – Assigments et en sélectionnant le groupe de périphériques cibles

Les différents rapports présents dans le portail vous permettront de valider le déploiement du paramètre :

 

Plus généralement que ce soit par GPO ou MDM, vous pouvez valider l’application de l’iddentifiant commercial via le registre dans la clé de registre : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

 

Après plusieurs jours, les données sont remontées et agrégées par le service. Vous pouvez alors voir l’apparition des données dans le portail OMS en ouvrant la solution Update Compliance.

La première partie du tableau de bord affiche :

  • Le nombre total de périphériques
  • Le nombre de périphériques qui requièrent une attention particulière
  • La date de dernière mise à jour des données
  • L’état de mise à jour et le nombre de périphériques associés (Courant et mis à jour, mis à jour et pas à jour).

 

La seconde partie du tableau de bord affiche des informations sur les mises à jour de qualité avec :

  • L’état global des mises à jour de qualité pour les versions de Windows 10 (à jour et non à jour)
  • L’état vis-à-vis des dernières mises à jour de sécurité (Installé, en cours d’installation ou ajourné, mis à jour en échec, état inconnus). On retrouve des tableaux par versions de Windows 10 avec le numéro de version pour les mises à jour de sécurité courante et les dernières mises à jour de sécurité.

 

La troisième partie du tableau de bord s’adresse spécifique aux mises à jour de fonctionnalités (Builds) de Windows 10 avec :

  • L’état global des mises à jour de fonctionnalités (courant ou pas) par versions de Windows 10
  • On retrouve ensuite un découpage de l’état de déploiement par branche : Current Branch, Current Branch for Business, Long Term Servicing Branch (LTSB). Ces tableaux permet de voir le nombre de clients :
    • Installés,
    • En cours d’installation,
    • Planifiés dans les 7 prochains jours,
    • En échec,
    • Avec un état inconnu.

 

Enfin la dernière partie du tableau de bord liste des requêtes intéressantes à exécuter sur les données pour ressortir :

  • Les échecs de déploiement de mises à jour
  • Les périphériques en attente de redémarrage afin que les mises à jour se réalisent
  • La répartition des branches par périphérique

  • Les éditions par périphérique

  • Les configurations d’ajournement pour les mises à jour de fonctionnalité ou de qualité
  • Les configurations de mise en pause pour les mises à jour de fonctionnalités ou de qualité

 

On peut retenir que cette nouvelle solution est un bon moyen d’obtenir une console globale et simplifiée de suivi de la conformité des mises à jour pour Windows 10. Elle permettra de remonter l’état des mises à jour pour des périphériques gérés de manière traditionnelle (SCCM) ou de manière moderne (MDM / Intune).

Facebook Like