Comment utiliser stratégie de groupe pour déployer une restauration d’un problème connu

  • Article

Cet article explique comment configurer stratégie de groupe pour utiliser une définition de stratégie de restauration des problèmes connus (KIR) qui active un KIR sur des appareils gérés.

S’applique à : Windows Server (toutes les versions prises en charge), client Windows (toutes les versions prises en charge)

Résumé

Microsoft a développé une nouvelle technologie de maintenance Windows nommée KIR pour Windows Server 2019 et Windows 10 versions 1809 et ultérieures. Pour les versions prises en charge de Windows, un KIR restaure une modification spécifique qui a été appliquée dans le cadre d’une version non sécuritaire Windows Update. Toutes les autres modifications apportées dans le cadre de cette version restent intactes. En utilisant cette technologie, si une mise à jour Windows provoque une régression ou un autre problème, vous n’avez pas besoin de désinstaller l’intégralité de la mise à jour et de retourner le système à la dernière configuration correcte connue. Vous restaurez uniquement la modification à l’origine du problème. Cette restauration est temporaire. Une fois que Microsoft a publié une nouvelle mise à jour qui résout le problème, la restauration n’est plus nécessaire.

Importante

Les kirs s’appliquent uniquement aux mises à jour non liées à la sécurité. Cela est dû au fait que la restauration d’un correctif pour une mise à jour non liée à la sécurité ne crée pas de vulnérabilité de sécurité potentielle.

Microsoft gère le processus de déploiement KIR pour les appareils non professionnels. Pour les appareils d’entreprise, Microsoft fournit des fichiers MSI de définition de stratégie KIR. Les entreprises peuvent ensuite utiliser stratégie de groupe pour déployer des kirs dans des domaines Microsoft Entra ID hybrides ou services de domaine Active Directory (AD DS).

Remarque

Vous devez redémarrer les ordinateurs affectés pour appliquer cette modification stratégie de groupe.

Processus KIR

Si Microsoft détermine qu’une mise à jour non liée à la sécurité présente une régression critique ou un problème similaire, Microsoft génère un KIR. Microsoft annonce le KIR dans le tableau de bord d’intégrité Windows et ajoute les informations aux emplacements suivants :

Pour les clients non professionnels, le processus Windows Update applique automatiquement le KIR. Aucune action de l’utilisateur n’est requise.

Pour les clients d’entreprise, Microsoft fournit un fichier MSI de définition de stratégie. Les clients d’entreprise peuvent propager le KIR aux systèmes managés à l’aide de l’infrastructure de stratégie de groupe d’entreprise.

Pour voir un exemple de fichier MSI KIR, téléchargez Windows 10 (2004 & 20H2) Restauration du problème connu 031321 01.msi.

Une définition de stratégie KIR a une durée de vie limitée (quelques mois au maximum). Une fois que Microsoft a publié une mise à jour modifiée pour résoudre le problème d’origine, le KIR n’est plus nécessaire. La définition de stratégie peut ensuite être supprimée de l’infrastructure stratégie de groupe.

Appliquer KIR à un seul appareil à l’aide de stratégie de groupe

Pour utiliser stratégie de groupe pour appliquer un KIR à un seul appareil, procédez comme suit :

  1. Téléchargez le fichier MSI de définition de stratégie KIR sur l’appareil.

    Importante

    Assurez-vous que le système d’exploitation répertorié dans le nom de fichier .msi correspond au système d’exploitation de l’appareil que vous souhaitez mettre à jour.

  2. Exécutez le fichier .msi sur l’appareil. Cette action installe la définition de stratégie KIR dans le modèle d’administration.
  3. Ouvrez le stratégie de groupe Rédacteur local. Pour ce faire, sélectionnez Démarrer, puis entrez gpedit.msc.
  4. Sélectionnez Stratégie de l’ordinateur> localConfiguration> ordinateurModèles> d’administrationKb ####### Problème XXX Restauration>Windows 10, version YYMM.

    Remarque

    Dans cette étape, ####### est le numéro d’article de la base de connaissances de la mise à jour à l’origine du problème. XXX est le numéro du problème et YYMM est le numéro de version Windows 10.

  5. Cliquez avec le bouton droit sur la stratégie, puis sélectionnez Modifier>désactivé>OK.
  6. Redémarrez lʼappareil.

Pour plus d’informations sur l’utilisation de l’stratégie de groupe Rédacteur local, consultez Utilisation des paramètres de stratégie de modèle d’administration à l’aide du stratégie de groupe Rédacteur local.

Appliquer un KIR à des appareils dans un domaine Microsoft Entra ID hybride ou AD DS à l’aide de stratégie de groupe

Pour appliquer une définition de stratégie KIR à des appareils qui appartiennent à un domaine Microsoft Entra ID hybride ou AD DS, procédez comme suit :

  1. Télécharger et installer les fichiers MSI KIR
  2. Créez un objet stratégie de groupe (GPO).
  3. Créez et configurez un filtre WMI qui applique l’objet de stratégie de groupe.
  4. Liez l’objet de stratégie de groupe et le filtre WMI.
  5. Configurez l’objet de stratégie de groupe.
  6. Surveillez les résultats de l’objet de stratégie de groupe.

1. Télécharger et installer les fichiers MSI KIR

  1. Vérifiez les informations de publication KIR ou les listes de problèmes connus pour identifier les versions de système d’exploitation que vous devez mettre à jour.
  2. Téléchargez la définition de stratégie KIR .msi fichiers dont vous avez besoin pour effectuer la mise à jour vers l’ordinateur que vous utilisez pour gérer stratégie de groupe pour votre domaine.
  3. Exécutez les fichiers .msi. Cette action installe la définition de stratégie KIR dans le modèle d’administration.

    Remarque

    Les définitions de stratégie sont installées dans le dossier C :\Windows\PolicyDefinitions . Si vous avez implémenté le magasin central stratégie de groupe, vous devez copier les fichiers .admx et .adml dans le magasin central.

2. Créer un objet de stratégie de groupe

  1. Ouvrez stratégie de groupe Console de gestion, puis sélectionnez Forêt : Domaines DomainName>.
  2. Cliquez avec le bouton droit sur votre nom de domaine, puis sélectionnez Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.
  3. Entrez le nom du nouvel objet de stratégie de groupe (par exemple, KIR Issue XXX), puis sélectionnez OK.

Pour plus d’informations sur la création d’objets de stratégie de groupe, consultez Créer un objet stratégie de groupe.

3. Créer et configurer un filtre WMI qui applique l’objet de stratégie de groupe

  1. Cliquez avec le bouton droit sur Filtres WMI, puis sélectionnez Nouveau.

  2. Entrez un nom pour votre nouveau filtre WMI.

  3. Entrez une description de votre filtre WMI, telle que Filtrer sur tous les appareils Windows 10 version 2004.

  4. Sélectionnez Ajouter.

  5. Dans Requête, entrez la chaîne de requête suivante :

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Importante

    Dans cette chaîne, <VersionNumber> représente la version Windows à laquelle vous souhaitez que l’objet de stratégie de groupe s’applique. Le numéro de version doit utiliser le format suivant (excluez les crochets lorsque vous utilisez le nombre dans la chaîne) :

    10.0.xxxxx

    xxxxx est un nombre à cinq chiffres. Actuellement, les kir prennent en charge les versions suivantes :

    Version Numéro de build
    Windows 10, version 20H2 10.0.19042
    Windows 10, version 2004 10.0.19041
    Windows 10, version 1909 10.0.18363
    Windows 10, version 1903 10.0.18362
    Windows 10, version 1809 10.0.17763

    Pour obtenir une liste à jour des versions de Windows et des numéros de build, consultez Windows 10 - Informations sur les versions.

    Importante

    Les numéros de build répertoriés dans la page d’informations de mise en production Windows 10 n’incluent pas le préfixe 10.0. Pour utiliser un numéro de build dans la requête, vous devez ajouter le préfixe 10.0 .

Pour plus d’informations sur la création de filtres WMI, consultez Créer des filtres WMI pour l’objet de stratégie de groupe.

  1. Sélectionnez l’objet de stratégie de groupe que vous avez créé précédemment, ouvrez le menu Filtrage WMI , puis sélectionnez le filtre WMI que vous venez de créer.
  2. Sélectionnez Oui pour accepter le filtre.

5. Configurer l’objet de stratégie de groupe

Modifiez votre objet de stratégie de groupe pour utiliser la stratégie d’activation KIR :

  1. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous avez créé précédemment, puis sélectionnez Modifier.
  2. Dans le stratégie de groupe Rédacteur, sélectionnez GPOName>Computer Configuration>Administrative Templates>Kb ####### Issue XXX Rollback>Windows 10, version YYMM.
  3. Cliquez avec le bouton droit sur la stratégie, puis sélectionnez Modifier>désactivé>OK.

Pour plus d’informations sur la modification des objets de stratégie de groupe, consultez Modifier un objet stratégie de groupe à partir de la console GPMC.

6. Surveiller les résultats de l’objet de stratégie de groupe

Dans la configuration par défaut de stratégie de groupe, les appareils gérés doivent appliquer la nouvelle stratégie dans un délai de 90 à 120 minutes. Pour accélérer ce processus, vous pouvez exécuter gpupdate sur les appareils affectés pour case activée manuellement les stratégies mises à jour.

Assurez-vous que chaque appareil affecté redémarre après avoir appliqué la stratégie.

Importante

Le correctif qui a introduit le problème est désactivé une fois que l’appareil a appliqué la stratégie, puis redémarré.

Déployer une activation KIR à l’aide de l’ingestion de stratégie ADMX Microsoft Intune sur les appareils gérés

Remarque

Pour utiliser les solutions de cette section, vous devez installer la mise à jour cumulative publiée le 26 juillet 2022 ou ultérieure sur l’ordinateur.

Les stratégies de groupe et les objets de stratégie de groupe ne sont pas compatibles avec les solutions basées sur la gestion des appareils mobiles (GPM), telles que Microsoft Intune. Ces instructions vous guident tout au long de l’utilisation de Intune paramètres personnalisés pour l’ingestion ADMX et la configuration des stratégies GPM adossées à ADMX pour effectuer une activation KIR sans nécessiter d’objet de stratégie de groupe.

Pour effectuer une activation KIR sur Intune appareils gérés, procédez comme suit :

  1. Téléchargez et installez le fichier MSI KIR pour obtenir les fichiers ADMX.
  2. Créez un profil de configuration personnalisé dans Microsoft Intune.
  3. Surveiller l’activation KIR.

1. Téléchargez et installez le fichier MSI KIR pour obtenir les fichiers ADMX

  1. Consultez les informations de publication KIR ou les listes de problèmes connus pour identifier les versions de système d’exploitation que vous devez mettre à jour.

  2. Téléchargez la définition de stratégie KIR requise .msi fichiers sur l’ordinateur que vous utilisez pour vous connecter à Microsoft Intune.

    Remarque

    Vous devez accéder au contenu d’un fichier ADMX d’activation KIR.

  3. Exécutez les .msi fichiers. Cette action installe la définition de stratégie KIR dans le modèle d’administration.

    Remarque

    Les définitions de stratégie sont installées dans le dossier C :\Windows\PolicyDefinitions .

    Si vous souhaitez extraire les fichiers ADMX vers un autre emplacement, utilisez la msiexec commande avec la propriété TARGETDIR . Par exemple :

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Créer un profil de configuration personnalisé dans Microsoft Intune

Pour configurer des appareils afin d’effectuer une activation KIR, vous devez créer un profil de configuration personnalisé pour chaque système d’exploitation de vos appareils gérés. Pour créer un profil personnalisé, procédez comme suit :

  1. Sélectionnez les propriétés et ajoutez les informations de base du profil.
  2. Ajoutez un paramètre de configuration personnalisé pour ingérer des fichiers ADMX pour l’activation KIR.
  3. Ajoutez un paramètre de configuration personnalisé pour définir une nouvelle stratégie d’activation KIR.
  4. Affectez des appareils au profil de configuration personnalisé d’activation KIR.
  5. Utilisez des règles d’applicabilité pour les appareils cibles afin de recevoir les paramètres de configuration personnalisés KIR par système d’exploitation.
  6. Passez en revue et créez un profil de configuration personnalisé d’activation KIR.

R. Sélectionner des propriétés et ajouter des informations de base sur le profil

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Profils de configuration>Créer un profil.

  3. Sélectionnez les propriétés suivantes :

    • Plateforme : Windows 10 et versions ultérieures
    • Profil : Modèles>personnalisés

  4. Sélectionnez Créer.

  5. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est « 04/30 KIR Activation – Windows 10 21H2 ».
    • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

    Remarque

    Les valeurs Plateforme et Type de profil doivent déjà être sélectionnées.

  6. Sélectionnez Suivant.

Remarque

Pour plus d’informations sur la création de profils de configuration personnalisés et de paramètres de configuration, consultez Utiliser des paramètres d’appareil personnalisés dans Microsoft Intune.

Avant de passer aux deux étapes suivantes, ouvrez le fichier ADMX dans un éditeur de texte (par exemple, bloc-notes) où le fichier a été extrait. Le fichier ADMX doit se trouver dans le chemin C :\Windows\PolicyDefinitions si vous l’avez installé en tant que fichier MSI.

Voici un exemple de fichier ADMX :

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Enregistrez les valeurs de policy name et parentCategory. Ces informations se trouve dans le nœud « stratégies » à la fin du fichier.

B. Ajouter un paramètre de configuration personnalisé pour ingérer des fichiers ADMX pour l’activation KIR

Ce paramètre de configuration est utilisé pour installer la stratégie d’activation KIR sur les appareils cibles. Procédez comme suit pour ajouter les paramètres d’ingestion ADMX :

  1. Dans Paramètres de configuration, sélectionnez Ajouter.

  2. Entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le paramètre de configuration. Nommez vos paramètres pour pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de paramètre est « Ingestion ADMX : 04/30 KIR Activation – Windows 10 21H2 ».

    • Description : entrez une description pour le paramètre. Ce paramètre est facultatif, mais recommandé.

    • OMA-URI : entrez la chaîne ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Remarque

      Remplacez ADMX Policy Name> par <la valeur du nom de la stratégie enregistrée à partir du fichier ADMX. Par exemple, « KB5011563_220428_2000_1_KnownIssueRollback ».

    • Type de données : sélectionnez Chaîne.

    • Valeur : ouvrez le fichier ADMX avec un éditeur de texte (par exemple, bloc-notes). Copiez et collez l’intégralité du contenu du fichier ADMX que vous envisagez d’ingérer dans ce champ.

  3. Sélectionnez Enregistrer.

C. Ajouter un paramètre de configuration personnalisé pour définir une nouvelle stratégie d’activation KIR

Ce paramètre de configuration est utilisé pour configurer la stratégie d’activation KIR, qui est définie à l’étape précédente.

Procédez comme suit pour ajouter les paramètres de configuration de l’activation KIR :

  1. Dans Paramètres de configuration, sélectionnez Ajouter.

  2. Entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le paramètre de configuration. Nommez vos paramètres pour pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de paramètre est « Activation KIR : 04/30 KIR Activation – Windows 10 21H2 ».

    • Description : entrez une description pour le paramètre. Ce paramètre est facultatif, mais recommandé.

    • OMA-URI : entrez la chaîne ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Remarque

      Remplacez Parent Category> par <la chaîne de catégorie parente enregistrée à l’étape précédente. Par exemple, « KnownIssueRollback_Win_11 ». Remplacez <ADMX Policy Name> par le même nom de stratégie que celui utilisé à l’étape précédente.

    • Type de données : sélectionnez Chaîne.

    • Valeur : entrez <disabled/>.

  3. Sélectionnez Enregistrer.

  4. Sélectionnez Suivant.

D. Affecter des appareils au profil de configuration personnalisé d’activation KIR

Une fois que vous avez défini ce que fait le profil de configuration personnalisé, procédez comme suit pour identifier les appareils que vous allez configurer :

  1. Dans Affectations, sélectionnez Ajouter tous les appareils.
  2. Sélectionnez Suivant.

E. Utiliser des règles d’applicabilité pour cibler des appareils afin de recevoir des paramètres de configuration personnalisés KIR par système d’exploitation

Pour cibler les appareils par système d’exploitation applicables à la stratégie de groupe, ajoutez une règle d’applicabilité pour case activée la version du système d’exploitation de l’appareil (build) avant d’appliquer cette configuration. Vous pouvez rechercher les numéros de build du système d’exploitation pris en charge dans les pages suivantes :

Les numéros de build affichés dans les pages sont au format MMMMM.mmmm (M= version principale et m= version mineure). Les propriétés version du système d’exploitation utilisent les chiffres de version principale. Les valeurs version du système d’exploitation entrées dans les règles d’applicabilité doivent être mises en forme comme « 10.0.MMMMM ». Par exemple, « 10.0.22000 ».

Suivez ces instructions pour définir les règles d’applicabilité correctes pour votre activation KIR :

  1. Dans Règles d’applicabilité, créez une règle d’applicabilité en entrant les propriétés suivantes sur la règle vide déjà présente sur la page :

    • Règle : sélectionnez Attribuer un profil si dans la liste déroulante.
    • Propriété : sélectionnez Version du système d’exploitation dans la liste déroulante.
    • Valeur : entrez les numéros de version min et max du système d’exploitation au format « 10.0.MMMMM ».

  2. Sélectionnez Suivant.

Remarque

La version du système d’exploitation d’un appareil est disponible en exécutant la winver commande à partir du menu Démarrer. Il affiche un numéro de version en deux parties séparé par un « ». Par exemple, « 22000.613 ». Vous pouvez ajouter le numéro de gauche à « 10.0 ». pour la version minimale du système d’exploitation. Obtenez le numéro de version maximale du système d’exploitation en ajoutant 1 au dernier chiffre du numéro de version minimale du système d’exploitation. Pour cet exemple, vous pouvez utiliser les valeurs suivantes :
Version minimale du système d’exploitation : « 10.0.22000 »
Version maximale du système d’exploitation : « 10.0.22001 »

F. Examiner et créer un profil de configuration personnalisé d’activation KIR

Passez en revue vos paramètres du profil de configuration personnalisé, puis sélectionnez Créer.

3. Surveiller l’activation KIR

Votre activation KIR doit être en cours maintenant. Suivez ces étapes pour surveiller la progression du profil de configuration :

  1. Accédez à Appareils>Profils de configuration, puis sélectionnez un profil existant. Par exemple, sélectionnez un profil macOS.

  2. Sélectionnez l’onglet Vue d’ensemble. Dans cette vue, le Statut d’affectation de profil inclut les statuts suivants :

    • Réussite : la stratégie est correctement appliquée.
    • Erreur : impossible d’appliquer la stratégie. Le message affiche généralement un code d’erreur lié à une explication.
    • Conflit : deux paramètres sont appliqués au même appareil et Intune ne peut pas résoudre le conflit. Un administrateur doit examiner le conflit.
    • En attente : l’appareil n’a pas vérifié auprès d’Intune pour recevoir la stratégie.
    • Non applicable : l’appareil ne peut pas recevoir la stratégie. Par exemple, la stratégie met à jour un paramètre spécifique à iOS 11.1, mais l’appareil utilise iOS 10.

Pour plus d’informations, consultez Surveiller les profils de configuration d’appareil dans Microsoft Intune.

Informations supplémentaires