Partage via

Mise à niveau de Microsoft Tunnel pour Microsoft Intune

  • Article

Microsoft Tunnel, une solution de passerelle VPN pour Microsoft Intune, reçoit périodiquement des mises à niveau de logiciel, qui doivent être installées sur les serveurs de tunnel. Pour continuer à bénéficier du support, ces derniers doivent en effet exécuter la dernière version, ou présenter au maximum une version de retard. Les informations contenues dans cet article expliquent :

  • Processus de mise à niveau
  • Contrôles de mise à niveau
  • Rapports d’état que vous pouvez utiliser pour comprendre la version logicielle des serveurs tunnel
  • Quand les mises à niveau sont disponibles
  • Comment contrôler le moment où les mises à niveau se produisent.

Intune gère automatiquement la mise à niveau des serveurs affectés à chaque site de tunnel. Lorsque les mises à niveau du site commencent, tous les serveurs du site sont mis à niveau un par un, ce qui est appelé cycle de mise à niveau. Pendant la mise à niveau d’un serveur, Microsoft Tunnel n’est pas disponible sur ce serveur. Lorsque le site comprend plusieurs serveurs, le fait de les mettre à niveau un à la fois permet de réduire les perturbations pour les utilisateurs.

Le cycle de mise à niveau se déroule ainsi :

  • Intune commence par mettre à niveau l’un des serveurs du site. La mise à niveau peut commencer 10 minutes après la publication de la version.
  • Si un serveur était désactivé, la mise à niveau commence dès qu’il est réactivé.
  • Après une mise à niveau réussie d’un des serveurs d’un site, Intune attend un peu avant de commencer la mise à niveau du suivant.

Contrôles de mise à niveau

Pour mieux contrôler le moment où Intune commence le cycle de mise à niveau, configurez les paramètres suivants sur chaque site, soit lors de la création d’un nouveau site, soit en modifiant les propriétés d’un site existant :

  • Mettre automatiquement à niveau les serveurs sur ce site
  • Limiter les mises à niveau de serveur à une fenêtre de maintenance

Mettre automatiquement à niveau les serveurs sur ce site

Ce paramètre détermine si un cycle de mise à niveau du site peut démarrer automatiquement, ou si un administrateur doit approuver explicitement la mise à niveau pour que le cycle puisse commencer.

  • Oui(valeur par défaut) : lorsque la valeur est Oui, le site met automatiquement à niveau les serveurs dès que possible après la mise à disposition d’une nouvelle version du tunnel. Les mises à niveau commencent sans intervention de l’administrateur.

    Si vous définissez une fenêtre de maintenance pour le site, le cycle de mise à niveau commence entre l’heure de début et l’heure de fin de la fenêtre. Si aucune fenêtre de maintenance n’est définie, il démarre dès que possible.

  • Non : lorsqu’il est défini sur Non, Intune ne met pas à niveau les serveurs tant qu’un administrateur n’a pas choisi explicitement de commencer le cycle de mise à niveau.

    Une fois la mise à niveau approuvée pour un site paramétré avec une fenêtre de maintenance, le cycle de mise à niveau commence entre l’heure de début et l’heure de fin de la fenêtre. Si aucune fenêtre de maintenance n’est définie, il démarre dès que possible.

    Importante

    Quand vous configurez un site pour des mises à niveau manuelles, passez régulièrement en revue l’onglet Contrôle d’intégrité pour savoir quand des versions plus récentes de Microsoft Tunnel sont disponibles et peuvent être installées. Le rapport indique également si la version actuelle du tunnel au niveau du site se trouve hors support.

Limiter les mises à niveau de serveur à une fenêtre de maintenance

Utilisez ce paramètre afin de définir une fenêtre de maintenance pour le site.

Lorsqu’une fenêtre de maintenant est configurée pour le site, le cycle de mise à niveau des serveurs ne peut commencer qu’au cours de cette période. Toutefois, une fois qu’il a démarré, il se poursuit jusqu’à avoir mis à jour un par un tous les serveurs affectés au site.

  • No(default) : aucune fenêtre de maintenance n’est définie. Les sites configurés pour la mise à niveau le font automatiquement dès que possible. Ceux sur lesquels une action explicite est nécessaire pour commencer la mise à niveau le font dès que possible une fois la mise à niveau approuvée.

  • Oui : définissez une fenêtre de maintenance. Elle limite le moment où un cycle de mise à niveau des serveurs peut démarrer sur le site. Elle ne précise pas quand les différents serveurs affectés au site peuvent commencer la mise à niveau.

    Les sites configurés pour la mise à niveau démarrent automatiquement le cycle de mise à niveau uniquement pendant la période configurée. Les sites sur lesquels la mise à niveau doit être approuvée par l’administrateur pour commencer s’exécutent pendant la fenêtre de maintenance suivante une fois la mise à niveau approuvée.

    Quand la valeur est Oui, configurez les options suivantes :

    • Fuseau horaire : le fuseau horaire sélectionné détermine à quel moment la fenêtre de maintenance commence et se termine sur tous les serveurs du site. Le fuseau horaire des différents serveurs n’est pas utilisé.
    • Heure de début : spécifiez l’heure à laquelle le cycle de mise à niveau peut commencer au plus tôt, en fonction du fuseau horaire sélectionné.
    • Heure de fin : spécifiez l’heure à laquelle le cycle de mise à niveau peut se terminer au plus tard, en fonction du fuseau horaire sélectionné. Les cycles de mise à niveau commencés avant continuent à s’exécuter et peuvent se terminer plus tard.

Affichage de l’état du serveur de tunnel

Il est possible d’afficher des informations sur l’état des serveurs Microsoft Tunnel, notamment la version de Microsoft Tunnel sur un serveur.

Pour les sites qui ne prennent pas en charge la mise à niveau automatique, vous pouvez également visualiser le moment où de nouvelles versions sont disponibles.

Connectez-vous au Centre >d’administration Microsoft IntuneAdministration >du locataireÉtat d’intégritéde la passerelle> Microsoft Tunnel. Sélectionnez un serveur, puis ouvrez l’onglet Contrôle d’intégrité pour afficher les informations suivantes :

  • Version du serveur : état du logiciel du serveur de passerelle Tunnel, dans le contexte de la dernière version disponible.

    • Sain : à jour avec la dernière version logicielle
    • Avertissement : une version de retard
    • Non sain : au moins deux versions de retard, hors support

Lorsqu’un serveur n’exécute pas la dernière version logicielle, prévoyez d’installer une mise à niveau disponible pour que Microsoft Tunnel continue de bénéficier du support.

Approbation des mises à niveau

Les sites dont le paramètre Mettre à niveau automatiquement les serveurs sur ce site est défini sur Non ne mettent pas à niveau automatiquement les serveurs. Il faut qu’un administrateur approuve les mises à niveau des serveurs de ce site pour que le cycle de mise à niveau démarre.

Si vous souhaitez savoir quand une mise à niveau est disponible pour les serveurs, utilisez l’onglet Contrôle d’intégrité pour connaître l’état du serveur.

Procédure d’approbation d’une mise à niveau

  1. Connectez-vous au Centre >d’administration Microsoft IntuneAdministration >du locataireSites de passerelle> Microsoft Tunnel.

  2. Sélectionnez le site dont le Type de mise à niveau est Manuel.

  3. Dans les propriétés du site, sélectionnez Mettre à niveau les serveurs.

Une fois que vous avez choisi de mettre à niveau les serveurs, Intune démarre le processus qui ne peut pas être annulé. L’heure de début des mises à niveau sur le site dépend de la configuration des fenêtres de maintenance du site.

Historique des mises à jour de Microsoft Tunnel

Les mises à jour de Microsoft Tunnel sont publiées régulièrement. Quand une nouvelle version est disponible, consultez ici les modifications apportées.

Une mise à jour publiée est déployée sur les locataires au cours des jours suivants. Du fait de ce délai de déploiement, il peut arriver que les nouvelles mises à jour ne soient pas disponibles pour les serveurs de tunnel pendant quelques jours.

La version de Microsoft Tunnel pour un serveur n’est pas disponible dans l’interface utilisateur d’Intune pour l’instant. Exécutez plutôt la commande suivante sur le serveur Linux qui héberge le tunnel pour identifier les valeurs de hachage de agentImageDigest et serverImageDiegest : cat /etc/mstunnel/images_configured

Importante

Les mises en production de conteneurs se produisent par étapes. Si vous remarquez que vos images conteneur ne sont pas les plus récentes, assurez-vous qu’elles seront mises à jour et livrées dans la semaine suivante.

20 juin 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:2c700282bbb525ca42c4da0827a62bee6e8079b36572cf777db72810dac3a788

  • serverImageDigest : sha256:5ba3c960be6b9da4569a019fcd57509c25a89106fc689fbf4fe38f0bdb98fbdd

Modifications de cette version :

  • Image de base AL - Utiliser Azure Linux comme image de base pour les conteneurs Tunnel
  • Amélioration de la vérification de la révocation des certificats

16 mai 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:50b62c1d7f81e2941fc73a09856583ea752fe821e9fef448114fe7e00f90f25a

  • serverImageDigest : sha256 :f6249bc16f90abc9e6fb278c74e07b1c3e295cc0614d38ae20036cee50ff5c56

Modifications de cette version :

  • Conteneurs renforcés en réduisant les fonctionnalités de conteneur au minimum
  • Mises à jour de sécurité sur l’image de base

22 avril 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:987028e043434cabf9a85a8be232a35cb10d6499ab9fa2b0ac33bd214455cdf6

  • serverImageDigest : sha256:95106796faa4648ffe877c1ae4635037fd8bd630498bb3caea366e3c832f84cc

Modifications de cette version :

  • Ajout de la prise en charge des conteneurs Podman sans racine
  • Correction de la commande « mst-cli server capture »
  • Correction de certains échecs de vérification de la révocation de certificats TLS

14 mars 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256 :a0fa473b477c051445548f9e024cd58b3f87b0a87da7bafdf0d71ad6bb49a7c5

  • serverImageDigest : sha256:5f3f34f3f11a4d45efdd369e86d183cae0fafdd78c9c1d0a9275f26ce64e5510

Modifications de cette version :

  • Correctif de bogue : recréez le dossier /tmp/mstunnel lors de la mise à niveau s’il est manquant.
  • Mettez à jour le serveur VPN OpenConnect vers la version 1.2.3.
  • Améliorations apportées à l’outil de diagnostic.
  • Mises à jour de sécurité sur l’image de base.

1er février 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:845aee9cbe3e4c9bd70b1b8108cd5108e454aff38237b236f75092164c885023

  • serverImageDigest : sha256:6f444d251b56e467b8791201f554b22d1431a135a5f66bc45638cec453e22b47

Modifications de cette version :

  • Correctif de bogue : n’émettez pas la commande « docker network reload » pour réinitialiser le réseau. La commande n’est pas prise en charge sur Docker.
  • Mises à jour de sécurité sur l’image de base.

4 janvier 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:9cd55c3f4ea4b4ff8212db46a81a0ceda29c3e9c534226ee4d0ce896bcc32596

  • serverImageDigest : sha256:0389d8c16794cf2f982a955a528b0bbba79b7c7180fd5706f44bb691ca61734d

Modifications de cette version :

  • Correctif de bogue : correctif de conteneur sans racine
  • Gestion mtg pour la demande de chargement de diagnostic et de journal dans la réponse HB

14 novembre 2023

Valeurs de hachage d’image :

  • agentImageDigest : sha256 :fd64c2f2ae3c2f411188a35da65e23385c9124c8f98b3614e0fb6500f59cf485

  • serverImageDigest : sha256:7385c838ed95f3f5fea48a3e277223e4faa502d64205f182cf43740ad4dd9573

Modifications de cette version :

  • Correctif de bogue : Résolution du problème entraînant le blocage du conteneur de serveur MSTunnel dans un état incorrect
  • Appliquer l’utilisation de TLS 1.2 dans les applications agent et mstunnel

4 octobre 2023

Valeurs de hachage d’image :

  • agentImageDigest : sha256:6c19b0aa077692b0d70ede9928f02b135122951708f83655041d0a40e8448039

  • serverImageDigest : sha256:9b477e6bc029d2ebadcafd4db3f516e87f0209b50d44fa2a5933aa7f17e9203b

Modifications de cette version :

  • Correctif de bogue : ajouter des tables NAT héritées pour le conteneur mstunnel-server sur les hôtes Cent OS 7 et Red Hat 7
  • Correctif de bogue : ajout d’une stratégie SELinux pour autoriser le trafic DNS TCP pour les conteneurs sur les hôtes Red Hat
  • Augmenter la limite de conteneur mstunnel-server pid à 10 000

Prochaines étapes

Référence pour Microsoft Tunnel