Fonctionnalités de Technical Preview 1606 pour Configuration Manager

  • Article

S’applique à : Configuration Manager (branche Technical Preview)

Cet article présente les fonctionnalités disponibles dans technical preview pour Configuration Manager, version 1606. Vous pouvez installer cette version pour mettre à jour et ajouter de nouvelles fonctionnalités à votre Configuration Manager site Technical Preview. Avant d’installer cette version de la préversion technique, consultez la rubrique d’introduction Technical Preview for Configuration Manager pour vous familiariser avec les exigences générales et les limitations relatives à l’utilisation d’une préversion technique, la mise à jour entre les versions et la façon de fournir des commentaires sur les fonctionnalités d’une préversion technique.

Problèmes connus dans cette préversion technique :

  • Lorsque vous effectuez une mise à jour de Technical Preview 1604 vers la version 1605, puis vers la version 1606, la mise à jour peut échouer et une erreur similaire à la suivante est enregistrée dans cmupdate.log :

    ERROR: Failed to execute SQL Server command:  ~ ~-- Create site boundary group ~IF  dbo.fnIsCasOrStandalonePrimary() = 1 ~BEGIN ~   PRINT N'Create site boundary group during upgrade' ~   EXEC dbo.spBuildDefaultBoundaryGroups @UserName = N'SYSTEM' ~END

    Si cela se produit, dans le nœud Mises à jour et maintenance, cliquez sur Rechercher les mises à jour, puis réessayez l’installation de la mise à jour.

Voici les nouvelles fonctionnalités que vous pouvez essayer avec cette version.

Catégoriser automatiquement les appareils en regroupements

Vous pouvez créer des catégories d’appareils, qui peuvent être utilisées pour placer automatiquement des appareils dans des regroupements d’appareils lorsque vous utilisez Configuration Manager avec Microsoft Intune. Les utilisateurs doivent ensuite choisir une catégorie d’appareil lorsqu’ils inscrivent un appareil dans Intune. Vous pouvez également modifier la catégorie d’un appareil à partir de la console Configuration Manager.

Important: Cette fonctionnalité fonctionne avec la version de juin 2016 de Microsoft Intune. Vérifiez que vous avez été mis à jour vers cette version avant d’essayer ces procédures.

Essayez !

Créer un ensemble de catégories d’appareils

  1. Dans l’espace de travail Ressources et conformité de la console Configuration Manager, développez Vue d’ensemble, puis cliquez sur Regroupements d’appareils.
  2. Sous l’onglet Accueil , dans le groupe Catégories , cliquez sur Gérer les catégories d’appareils.
  3. Dans la boîte de dialogue Gérer les catégories d’appareils, vous pouvez créer, modifier ou supprimer des catégories. Essayez de créer une catégorie.

Associer un regroupement à une catégorie d’appareil

Lorsque vous associez un regroupement à une catégorie d’appareils, tous les appareils de la catégorie que vous spécifiez sont ajoutés à ce regroupement.

  1. Dans la boîte de dialogue Propriétés d’un regroupement d’appareils, cliquez sur Ajouter une règle>de catégorie d’appareil.
  2. Dans la boîte de dialogue Créer une règle d’appartenance à une catégorie d’appareil, sélectionnez la catégorie qui sera appliquée à tous les appareils du regroupement.
  3. Fermez la boîte de dialogue Créer une règle d’appartenance à une catégorie d’appareil et la boîte de dialogue propriétés de la collection.

Changer la catégorie d’un appareil

  1. Dans l’espace de travail Ressources et conformité de la console Configuration Manager, développez Vue d’ensemble, puis cliquez sur Appareils.
  2. Sélectionnez un appareil dans la liste Appareils , puis, sous l’onglet Accueil , dans le groupe Appareil , cliquez sur Modifier la catégorie.
  3. Dans la boîte de dialogue Modifier la catégorie d’appareil, choisissez la catégorie à appliquer à cet appareil, puis cliquez sur OK.

Période de grâce d’application pour les déploiements d’applications et de mises à jour logicielles requis

Dans certains cas, vous pouvez accorder aux utilisateurs plus de temps pour installer les déploiements d’applications ou les mises à jour logicielles requis au-delà des délais que vous avez configurés. Cela peut généralement être nécessaire lorsqu’un ordinateur a été éteint pendant une période prolongée et doit installer un grand nombre de déploiements d’applications ou de mises à jour. Par exemple, si un utilisateur final vient de revenir de vacances, il peut être amené à attendre longtemps au fur et à mesure que des déploiements d’applications en retard sont installés. Pour résoudre ce problème, vous pouvez désormais définir une période de grâce d’application en déployant Configuration Manager paramètres client dans un regroupement.

Essayez !

Pour configurer la période de grâce, effectuez les actions suivantes :

  1. Dans la page Agent ordinateur des paramètres du client, configurez la nouvelle propriété Période de grâce pour l’application après l’échéance du déploiement (heures) avec une valeur comprise entre 1 et 120 heures.
  2. Dans un nouveau déploiement d’application obligatoire ou dans les propriétés d’un déploiement existant, dans la page Planification , cochez la case Retarder l’application de ce déploiement en fonction des préférences de l’utilisateur, jusqu’à la période de grâce définie dans les paramètres du client. Tous les déploiements sur lesquels cette case à cocher est cochée et qui sont destinés aux appareils sur lesquels vous avez également déployé le paramètre client utilisent la période de grâce d’application.

Si vous configurez une période de grâce d’application et cochez la case, une fois l’échéance d’installation de l’application atteinte, elle est installée dans la première fenêtre non professionnelle que l’utilisateur a configurée jusqu’à cette période de grâce. Toutefois, l’utilisateur peut toujours ouvrir le Centre logiciel et installer l’application à tout moment. Une fois la période de grâce expirée, l’application revient à un comportement normal pour les déploiements en retard. Des options similaires ont été ajoutées à l’Assistant Déploiement des mises à jour logicielles, à l’Assistant Règles de déploiement automatique et aux pages de propriétés.

Utilisation de Configuration Manager en tant que programme d’installation managé avec Device Guard

Device Guard est une fonctionnalité Windows 10 qui utilise des fonctionnalités matérielles et logicielles pour contrôler strictement ce qui est autorisé à s’exécuter sur l’appareil.

Pour plus d’informations, consultez Présentation de Device Guard.

Dans cette version, Configuration Manager pouvez interagir avec Device Guard et Windows AppLocker afin que les fichiers exécutables et DLL déployés avec Configuration Manager soient automatiquement approuvés car ils proviennent d’un programme d’installation managé, ce qui signifie qu’ils sont autorisés à s’exécuter sur l’appareil cible et que d’autres logiciels ne sont pas autorisés à s’exécuter, sauf autorisation explicite pour exécuter par d’autres règles AppLocker.

À l’heure actuelle, cette fonctionnalité n’est pas configurable à partir de la console Configuration Manager. Pour configurer la stratégie, vous devez configurer une clé de Registre sur chaque client et configurer les services Windows sur le client. Une fois cette opération effectuée, configurez le fichier de stratégie AppLocker. Après avoir configuré le fichier de stratégie, vous pouvez le déployer sur n’importe quel appareil client compatible.

Comme toutes les stratégies AppLocker, les stratégies avec des règles d’installation managée peuvent s’exécuter dans deux modes :

  • Mode Audit : les applications ne peuvent pas s’exécuter, mais toutes les applications qui auraient été bloquées sont signalées dans un fichier journal (cela sera pris en charge dans une version ultérieure de Configuration Manager).
  • Application activée : l’exécution des applications est bloquée.

Si vous souhaitez en savoir plus, consultez les articles suivants :

  • Présentation de Device Guard

  • Planification et prise en main du processus de déploiement Windows Defender Application Control

    Plusieurs points de gestion des appareils pour les Gestion des appareils mobiles locaux

    Avec Technical Preview 1606, la Gestion des appareils mobile locale (MDM) prend en charge une nouvelle fonctionnalité dans Windows 10 mise à jour anniversaire qui configure automatiquement un appareil inscrit pour qu’il dispose de plusieurs points de gestion d’appareils disponibles. Cette fonctionnalité permet à l’appareil de revenir à un autre point de gestion des appareils lorsque celui qu’il utilise normalement n’est pas disponible. Cette fonctionnalité ne fonctionne que pour les PC sur 20000 Windows 10 mise à jour anniversaire installée.

Essayez !

  1. Installez plusieurs points de gestion des appareils dans votre hiérarchie.

  2. Inscrire un appareil de mise à jour anniversaire Windows 10 pour les Gestion des appareils mobiles locaux.

Pour plus d’informations sur la préparation de votre site et l’inscription d’appareils pour les Gestion des appareils mobiles locaux, consultez Gérer les appareils mobiles avec une infrastructure locale.

Service de proxy cloud pour la gestion des clients sur Internet

Le service proxy cloud offre un moyen simple de gérer Configuration Manager clients sur Internet. Le service, qui est déployé sur Microsoft Azure et nécessite un abonnement Azure, se connecte à votre infrastructure Configuration Manager locale à l’aide d’un nouveau rôle appelé point de connecteur de proxy cloud. Une fois qu’il est entièrement déployé et configuré, les clients peuvent accéder aux rôles de système de site Configuration Manager locaux, qu’ils soient connectés au réseau privé interne ou à Internet.

Vous utilisez la console Configuration Manager pour déployer le service sur Azure, ajouter le rôle de point de connecteur de proxy cloud et configurer des rôles de système de site afin d’autoriser le trafic de proxy cloud. Actuellement, le service proxy cloud prend uniquement en charge les rôles de point de gestion, de point de distribution et de point de mise à jour logicielle.

Les certificats clients et les certificats SSL (Secure Socket Layer) sont requis pour authentifier les ordinateurs et chiffrer les communications entre les différentes couches du service. Les ordinateurs clients reçoivent généralement un certificat client par le biais de l’application de la stratégie de groupe. Pour chiffrer le trafic entre les clients et le serveur de système de site hébergeant les rôles, vous devez créer un certificat SSL personnalisé à partir de l’autorité de certification. En plus de ces deux types de certificats, vous devez également configurer un certificat de gestion sur Azure qui permet Configuration Manager de déployer le service proxy cloud.

Configuration requise pour le service proxy cloud dans TP 1606

  • Ordinateurs clients et serveur de système de site exécutant le point de connecteur de proxy cloud.
  • Certificats SSL personnalisés de l’autorité de certification interne : utilisés pour chiffrer les communications à partir des ordinateurs clients et authentifier l’identité du service proxy cloud.
  • Abonnement Azure pour les services cloud.
  • Certificat de gestion Azure : utilisé pour authentifier Configuration Manager auprès d’Azure.

Limitations du service proxy cloud dans TP 1606

  • Prend uniquement en charge les rôles de point de gestion, de point de distribution et de point de mise à jour logicielle.
  • Les stratégies utilisateur ne sont pas prises en charge.
  • Ne peut pas être utilisé avec les Gestion des appareils mobiles locaux dans Configuration Manager.
  • Pris en charge uniquement sur la plateforme de cloud public d’Azure.

Essayez !

Le processus de déploiement du service proxy cloud comprend les étapes suivantes :

  1. Créez et émettez un certificat SSL personnalisé pour le service proxy cloud.
  2. Exportez la racine du certificat client.
  3. Chargez le certificat de gestion sur Azure.
  4. Configurez le service proxy cloud dans la console Configuration Manager.
  5. Configurez le site principal pour utiliser l’authentification par certificat client.
  6. Ajoutez le point de connecteur de proxy cloud à votre site.
  7. Configurez les rôles de système de site pour accepter le trafic de proxy cloud.

Les sections suivantes fournissent plus d’informations pour effectuer ces étapes.

Créer un certificat SSL personnalisé

Vous pouvez créer un certificat SSL personnalisé pour le service proxy cloud de la même façon que vous le feriez pour un point de distribution cloud. Suivez les instructions relatives au déploiement du certificat de service pour Cloud-Based points de distribution , mais procédez différemment :

  • Lors de la configuration du nouveau modèle de certificat, accordez des autorisations de lecture et d’inscription au groupe de sécurité que vous avez configuré pour Configuration Manager serveurs.

Exporter la racine du certificat client

Le moyen le plus simple d’exporter la racine des certificats clients utilisés sur le réseau consiste à ouvrir un certificat client sur l’une des machines jointes au domaine qui en possède un et à le copier.

Remarque

Les certificats clients sont requis sur tous les ordinateurs que vous souhaitez gérer avec le service proxy cloud et sur le serveur de système de site hébergeant le point de connecteur de proxy cloud. Si vous devez ajouter un certificat client à l’une de ces machines, consultez Déploiement du certificat client pour les ordinateurs Windows.

  1. Dans la fenêtre Exécuter, tapez mmc et appuyez sur Retour.
  2. Dans le menu Fichier de la console de gestion, cliquez sur Ajouter/Supprimer un composant logiciel enfichable...
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, sur Ajouter >, sur Compte d’ordinateur, sur Suivant, sur Ordinateur local, puis sur Terminer. Cliquez sur OK pour fermer la boîte de dialogue.
  4. Accédez à Certificats > Certificats personnels>.
  5. Double-cliquez sur le certificat pour l’authentification du client sur l’ordinateur, cliquez sur l’onglet Chemin de certification, puis double-cliquez sur l’autorité racine (en haut du chemin d’accès).
  6. Cliquez sur l’onglet Détails, puis sur Copier dans un fichier.
  7. Terminez l’Assistant Exportation de certificat en utilisant le format de certificat par défaut. Notez le nom et l’emplacement du certificat racine que vous créez. Vous en aurez besoin pour configurer le service proxy cloud dans une étape ultérieure.

Charger le certificat de gestion sur Azure

Un certificat de gestion Azure est requis pour Configuration Manager pour accéder à l’API Azure et configurer le service proxy cloud. Pour plus d’informations et pour obtenir des instructions sur le chargement d’un certificat de gestion, consultez les articles suivants dans la documentation Azure :

Veillez à copier l’ID d’abonnement associé au certificat de gestion. Vous en aurez besoin pour configurer le service proxy cloud dans la console Configuration Manager.

Configurer le service proxy cloud

  1. Dans la console Configuration Manager, accédez à Administration > Services cloud > Service proxy cloud.
  2. Cliquez sur Créer un service proxy cloud.
  3. Dans l’Assistant Création d’un service proxy cloud, entrez votre ID d’abonnement Azure (copié à partir du portail de gestion Azure), cliquez sur Parcourir, puis sélectionnez le fichier de certificat que vous avez utilisé pour charger en tant que certificat de gestion Azure. Cliquez sur Suivant. Attendez quelques instants que la console se connecte à Azure.
  4. Renseignez les détails supplémentaires dans l’Assistant :
    • Spécifiez la clé privée (fichier .pfx) que vous avez exportée à partir du certificat SSL personnalisé.
    • Spécifiez le certificat racine exporté à partir du certificat client.
    • Spécifiez le nom de domaine complet du service que vous avez utilisé lors de la création du nouveau modèle de certificat.
    • Décochez la case en regard de Vérifier la révocation du certificat client (sauf si vous publiez publiquement vos informations de liste de révocation de certificats).
    • Lorsque vous avez terminé, cliquez sur Suivant .
  5. Passez en revue les paramètres, puis cliquez sur Suivant. Configuration Manager commence à configurer le service. Une fois l’Assistant terminé, vous pouvez cliquer sur Fermer. Toutefois, le provisionnement complet du service dans Azure prend entre 5 et 15 minutes. Vérifiez la colonne État du service proxy cloud nouvellement configuré pour déterminer quand le service est prêt.

Configurer le site principal pour l’authentification de certification client

  1. Dans la console Configuration Manager, accédez à Sites de configuration du site d’administration >>.
  2. Sélectionnez le site principal pour les clients que vous souhaitez gérer via le service proxy cloud, puis cliquez sur Propriétés.
  3. Sous l’onglet Communications de l’ordinateur client de la feuille de propriétés du site principal, cochez la case en regard de Utiliser le certificat client PKI (authentification client) le cas échéant.
  4. Veillez à décochez la case en regard de Clients pour vérifier la liste de révocation de certificats (CRL) pour les systèmes de site. Cette option n’est requise que si vous publiez publiquement votre liste de révocation de certificats.
  5. Cliquez sur OK.

Ajouter le point de connecteur de proxy cloud

Le point de connecteur de proxy cloud est un nouveau rôle de système de site pour la communication avec le service proxy cloud. Pour ajouter le point de connecteur de proxy cloud, suivez les instructions fournies dans Ajouter des rôles de système de site pour Configuration Manager.

Configurer des rôles pour le trafic de proxy cloud

La dernière étape de la configuration du service proxy cloud consiste à configurer les rôles de système de site pour accepter le trafic proxy cloud. Pour Tech Preview 1606, seuls les rôles de point de gestion, de point de distribution et de point de mise à jour logicielle sont pris en charge pour le service proxy cloud. Vous devez configurer chaque rôle séparément.

  1. Dans la console Configuration Manager, accédez à Administration > Site Configuration > Serveurs et rôles de système de site.
  2. Cliquez sur le serveur de système de site pour le rôle que vous souhaitez configurer pour le trafic de proxy cloud.
  3. Cliquez sur le rôle, puis sur Propriétés.
  4. Dans la feuille Propriétés du rôle, sous Connexions client, choisissez HTTPS, cochez la case en regard de Autoriser le trafic proxy cloud Configuration Manager, puis cliquez sur OK. Répétez ces étapes pour les rôles restants.

Vérifier l’état d’un client sur Internet

Une fois le service et les rôles entièrement configurés, les clients internes obtiennent l’emplacement du service proxy cloud lors de la demande d’emplacement suivante. Les clients disposant d’informations d’emplacement mises à jour peuvent ensuite communiquer avec Configuration Manager sur Internet. Le cycle d’interrogation des demandes d’emplacement est toutes les 24 heures. Si vous ne souhaitez pas attendre la demande d’emplacement normalement planifiée, vous pouvez forcer la demande en redémarrant le service hôte de l’agent SMS (ccmexec.exe) sur l’ordinateur.

Une fois que les clients disposent des nouvelles informations d’emplacement pour le service proxy cloud, essayez de vérifier l’état des clients qui ne se trouvent plus sur le réseau privé interne, mais qui ont accès à Internet. Vous pouvez également surveiller le trafic sur le service proxy cloud en accédant à Administration > Services cloud > Service proxy cloud, en sélectionnant le service dans le volet de liste et en affichant les informations sur le trafic dans le volet d’informations.

Gérer l’agent client Microsoft 365 dans Configuration Manager

À partir de Technical Preview 1606, vous pouvez utiliser un paramètre d’agent client Configuration Manager, au lieu d’une stratégie de groupe, pour permettre aux clients Microsoft 365 de recevoir des mises à jour de Configuration Manager. Après avoir configuré ce paramètre et déployé Microsoft mises à jour 365, l’agent client Configuration Manager communique avec l’agent client Microsoft 365 pour télécharger Microsoft mises à jour 365 à partir d’un point de distribution et les installer. Configuration Manager effectue également l’inventaire du paramètre de l’agent client.

Pour plus d’informations, consultez Gérer les mises à jour Applications Microsoft 365 pour les grandes entreprises.

Définir le paramètre client Configuration Manager pour gérer l’agent client Office 365

  1. Dans la console Configuration Manager, cliquez surVue d’ensemble de>l’administration>Paramètres client.
  2. Ouvrez les paramètres d’appareil appropriés pour activer l’agent client. Pour plus d’informations sur les paramètres client par défaut et personnalisés, consultez Guide pratique pour configurer les paramètres du client.
  3. Cliquez sur Logiciel Mises à jour et sélectionnez Oui pour le paramètre Activer la gestion de l’agent client Office 365.

La variable de séquence de tâches OSDPreserveDriveLetter a été dépréciée

La variable de séquence de tâches OSDPreserveDriveLetter détermine si la séquence de tâches utilise ou non la lettre de lecteur capturée dans le fichier WIM d’image du système d’exploitation lors de l’application de cette image à un ordinateur de destination.

  • Cette variable de séquence de tâches a été déconseillée dans Technical Preview 1606.

Pendant un déploiement de système d’exploitation, par défaut, le programme d’installation de Windows détermine désormais la meilleure lettre de lecteur à utiliser (généralement C:). Si vous souhaitez spécifier un autre lecteur à utiliser, vous pouvez modifier l’emplacement dans l’étape de séquence de tâches Appliquer le système d’exploitation. Accédez au paramètre Sélectionner l’emplacement où vous souhaitez appliquer ce système d’exploitation , sélectionnez Lettre de lecteur logique spécifique, puis choisissez le lecteur que vous souhaitez utiliser. Un lecteur doit être attribué avec la lettre que vous choisissez sur l’ordinateur de destination.

Modifications pour le nœud Mises à jour et maintenance

Avec Technical Preview 1606, plusieurs modifications ont été introduites qui s’appliquent à la Mises à jour et à la maintenance dans la console Configuration Manager :

  • Changement de nom de nœud :

    Dans l’espace de travail Surveillance, le nœud État de maintenance du site a été renommé Mises à jour et État de maintenance.

  • État de l’installation supplémentaire :

    Lorsque vous affichez l’état d’installation de la mise à jour d’un site, la console affiche désormais des détails distincts pour les actions suivantes :

    • Télécharger (cela s’applique uniquement au site de niveau supérieur où le rôle de système de site de point de connexion de service est installé)
    • Réplication
    • Vérification des prérequis
    • Installation

    En outre, il existe désormais des informations plus détaillées pour chaque étape, y compris dans quel fichier journal vous pouvez afficher pour plus d’informations.

  • Nouvelle option pour réessayer les échecs de prérequis :

    Dans les espaces de travail Administration et surveillance, le nœud Mises à jour et maintenance inclut un nouveau bouton sur le ruban nommé Ignorer les avertissements de prérequis.

    Lorsque vous installez des mises à jour sans utiliser l’option Ignorer les avertissements de prérequis (à partir de l’Assistant Mises à jour) et que l’installation de la mise à jour s’arrête avec un avertissement d’état prereq, vous pouvez ensuite sélectionner Ignorer les avertissements de prérequis dans le ruban pour déclencher une continuation automatique de cette installation de mise à jour qui ignore les avertissements de prérequis.

  • Vue plus claire des mises à jour :

    Lorsque vous affichez le nœud Mises à jour et maintenance, vous voyez désormais uniquement la dernière mise à jour installée, ainsi que toutes les nouvelles mises à jour que vous pouvez installer. Pour afficher les mises à jour précédemment installées, cliquez sur le nouveau bouton Historique qui s’affiche dans le ruban.

  • Option renommée pour la préproduction :

    Dans le nœud Mises à jour et maintenance, le bouton nommé Options client est maintenant renommé Promouvoir le client de préproduction.