Comment utiliser stratégie de groupe pour déployer une restauration de problème connu

Cet article explique comment configurer stratégie de groupe pour utiliser une définition de stratégie kir (Known Issue Rollback) qui active un KIR sur les appareils gérés.

S’applique à :   Windows Server 2019, version 1809 et versions ultérieures ; Windows 10, version 1809 et versions ultérieures

Résumé

Microsoft a développé une nouvelle technologie de maintenance Windows nommée KIR pour Windows Server 2019 et Windows 10, versions 1809 et ultérieures. Pour les versions prises en charge de Windows, un KIR restaure une modification spécifique qui a été appliquée dans le cadre d’une mise en production de Windows Update non-sécurité. Toutes les autres modifications apportées dans le cadre de cette version restent intactes. À l’aide de cette technologie, si une mise à jour Windows provoque une régression ou un autre problème, vous n’avez pas besoin de désinstaller l’intégralité de la mise à jour et de retourner le système à la dernière bonne configuration connue. Vous ne restrimez que la modification à l’origine du problème. Cette restauration est temporaire. Une fois que Microsoft a publié une nouvelle mise à jour qui résout le problème, la restauration n’est plus nécessaire.

Important

Les kirs s’appliquent uniquement aux mises à jour non liées à l’insécurité. Cela est dû au fait que le fait de restaurer un correctif pour une mise à jour non sécurisée ne crée pas de vulnérabilité de sécurité potentielle.

Microsoft gère le processus de déploiement KIR pour les appareils non professionnels. Pour les appareils d’entreprise, Microsoft fournit des fichiers MSI de définition de stratégie KIR. Les entreprises peuvent ensuite utiliser stratégie de groupe pour déployer des KIR dans des domaines Azure Active Directory (Azure AD) ou services de domaine Active Directory (AD DS) hybrides.

Notes

Vous devez redémarrer les ordinateurs affectés pour appliquer cette modification stratégie de groupe.

Processus KIR

Si Microsoft détermine qu’une mise à jour de non-sécurité présente une régression critique ou un problème similaire, Microsoft génère une KIR. Microsoft annonce la KIR dans le tableau de bord d’intégrité Windows et ajoute les informations aux emplacements suivants :

Pour les clients non professionnels, le processus Windows Update applique automatiquement la KIR. Aucune action de l’utilisateur n’est requise.

Pour les clients d’entreprise, Microsoft fournit un fichier MSI de définition de stratégie. Les clients d’entreprise peuvent propager le KIR aux systèmes managés à l’aide de l’infrastructure stratégie de groupe d’entreprise.

Pour voir un exemple de fichier MSI KIR, téléchargez Windows 10 (2004 & 20H2) Known Issue Rollback 031321 01.msi.

Une définition de stratégie KIR a une durée de vie limitée (quelques mois, au maximum). Une fois que Microsoft a publié une mise à jour modifiée pour résoudre le problème d’origine, le KIR n’est plus nécessaire. La définition de stratégie peut ensuite être supprimée de l’infrastructure stratégie de groupe.

Appliquer KIR à un seul appareil à l’aide de stratégie de groupe

Pour utiliser stratégie de groupe pour appliquer un KIR à un seul appareil, procédez comme suit :

  1. Téléchargez le fichier MSI de définition de stratégie KIR sur l’appareil.

    Important

    Assurez-vous que le système d’exploitation répertorié dans le nom de fichier .msi correspond au système d’exploitation de l’appareil que vous souhaitez mettre à jour.

  2. Exécutez le fichier .msi sur l’appareil. Cette action installe la définition de stratégie KIR dans le modèle d’administration.
  3. Ouvrez l’éditeur de stratégie de groupe local. Pour ce faire, sélectionnez Démarrer, puis entrez gpedit.msc.
  4. Sélectionnez Local Computer Policy > Computer Configuration > Administrative Templates > KB ####### Issue XXX Rollback > Windows 10, version YYMM.

    Notes

    Dans cette étape, ####### il s’agit du numéro d’article de la base de connaissances de la mise à jour à l’origine du problème. XXX est le numéro de problème et YYMM est le numéro de version Windows 10.

  5. Cliquez avec le bouton droit sur la stratégie, puis sélectionnez Modifier > désactivé OK > .
  6. Redémarrez lʼappareil.

Pour plus d’informations sur l’utilisation de l’éditeur de stratégie de groupe local, consultez Utilisation des paramètres de stratégie de modèle d’administration à l’aide de l’éditeur de stratégie de groupe local.

Appliquer une KIR à des appareils dans un domaine Azure AD ou AD DS hybride à l’aide de stratégie de groupe

Pour appliquer une définition de stratégie KIR aux appareils qui appartiennent à un domaine Azure AD ou AD DS hybride, procédez comme suit :

  1. Télécharger et installer les fichiers MSI KIR
  2. Créez un objet stratégie de groupe (GPO).
  3. Créez et configurez un filtre WMI qui applique l’objet de stratégie de groupe.
  4. Liez l’objet de stratégie de groupe et le filtre WMI.
  5. Configurez l’objet de stratégie de groupe.
  6. Surveillez les résultats de l’objet de stratégie de groupe.

1. Télécharger et installer les fichiers MSI KIR

  1. Vérifiez les informations de publication KIR ou les listes de problèmes connus pour identifier les versions de système d’exploitation que vous devez mettre à jour.
  2. Téléchargez la définition de stratégie KIR .msi fichiers que vous devez mettre à jour sur l’ordinateur que vous utilisez pour gérer stratégie de groupe pour votre domaine.
  3. Exécutez les fichiers .msi. Cette action installe la définition de stratégie KIR dans le modèle d’administration.

    Notes

    Les définitions de stratégie sont installées dans le dossier C:\Windows\PolicyDefinitions . Si vous avez implémenté le magasin central stratégie de groupe, vous devez copier les fichiers .admx et .adml dans le Magasin central.

2. Créer un objet de stratégie de groupe

  1. Ouvrez stratégie de groupe console de gestion, puis sélectionnez Forêt : Domaines DomainName > .
  2. Cliquez avec le bouton droit sur votre nom de domaine, puis sélectionnez Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.
  3. Entrez le nom du nouvel objet de stratégie de groupe (par exemple, KIR Problème XXX), puis sélectionnez OK.

Pour plus d’informations sur la création d’objets de stratégie de groupe, consultez Créer un objet stratégie de groupe.

3. Créer et configurer un filtre WMI qui applique l’objet de stratégie de groupe

  1. Cliquez avec le bouton droit sur Filtres WMI, puis sélectionnez Nouveau.

  2. Entrez un nom pour votre nouveau filtre WMI.

  3. Entrez une description de votre filtre WMI, telle que Filtrer pour tous les appareils Windows 10 version 2004.

  4. Sélectionnez Ajouter.

  5. Dans Requête, entrez la chaîne de requête suivante :

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
    

    Important

    Dans cette chaîne, <VersionNumber> représente la version de Windows à laquelle vous souhaitez appliquer l’objet de stratégie de groupe. Le numéro de version doit utiliser le format suivant (exclure les crochets lorsque vous utilisez le nombre dans la chaîne) :

    10.0.xxxxx

    xxxxx est un nombre à cinq chiffres. Actuellement, les KIR prennent en charge les versions suivantes :

    Version Numéro de build
    Windows 10, version 20H2 10.0.19042
    Windows 10, version 2004 10.0.19041
    Windows 10, version 1909 10.0.18363
    Windows 10, version 1903 10.0.18362
    Windows 10, version 1809 10.0.17763

    Pour obtenir une liste à jour des versions de Windows et des numéros de build, consultez Windows 10 - informations de publication.

    Important

    Les numéros de build répertoriés dans la page d’informations de mise en production Windows 10 n’incluent pas le préfixe 10.0. Pour utiliser un numéro de build dans la requête, vous devez ajouter le préfixe 10.0 .

Pour plus d’informations sur la création de filtres WMI, consultez Créer des filtres WMI pour l’objet de stratégie de groupe.

  1. Sélectionnez l’objet de stratégie de groupe que vous avez créé précédemment, ouvrez le menu Filtrage WMI , puis sélectionnez le filtre WMI que vous venez de créer.
  2. Sélectionnez Oui pour accepter le filtre.

5. Configurer l’objet de stratégie de groupe

Modifiez votre objet de stratégie de groupe pour utiliser la stratégie d’activation KIR :

  1. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous avez créé précédemment, puis sélectionnez Modifier.
  2. Dans l’éditeur stratégie de groupe, sélectionnez GPOName _ > _ Computer Configuration > Administrative Templates > KB ######## Problème XXX Rollback > Windows 10, version YYMM*.
  3. Cliquez avec le bouton droit sur la stratégie, puis sélectionnez Modifier > désactivé OK > .

Pour plus d’informations sur la modification d’objets de stratégie de groupe, consultez Modifier un objet stratégie de groupe à partir de GPMC.

6. Surveiller les résultats de l’objet de stratégie de groupe

Dans la configuration par défaut de stratégie de groupe, les appareils gérés doivent appliquer la nouvelle stratégie dans les 90 à 120 minutes. Pour accélérer ce processus, vous pouvez exécuter gpupdate les appareils affectés pour rechercher manuellement les stratégies mises à jour.

Assurez-vous que chaque appareil affecté redémarre après l’application de la stratégie.

Important

Le correctif qui a introduit le problème est désactivé une fois que l’appareil a appliqué la stratégie, puis redémarré.

Déployer une activation KIR à l’aide Microsoft Intune’ingestion de stratégie ADMX sur les appareils gérés

Notes

Pour utiliser les solutions de cette section, vous devez installer la mise à jour cumulative publiée le 26 juillet 2022 ou une version ultérieure sur l’ordinateur.

Les stratégies de groupe et les objets de stratégie de groupe ne sont pas compatibles avec les solutions basées sur la gestion des appareils mobiles (GPM), telles que Microsoft Intune. Ces instructions vous guident tout au long de l’utilisation Intune paramètres personnalisés pour l’ingestion ADMX et configurent les stratégies MDM ADMX pour effectuer une activation KIR sans nécessiter d’objet de stratégie de groupe.

Pour effectuer une activation KIR sur Intune appareils gérés, procédez comme suit :

  1. Téléchargez et installez le fichier MSI KIR pour obtenir des fichiers ADMX.
  2. Créez un profil de configuration personnalisé dans Microsoft Endpoint Manager.
  3. Surveillez l’activation kir.

1. Télécharger et installer le fichier MSI KIR pour obtenir des fichiers ADMX

  1. Vérifiez les informations de publication KIR ou les listes de problèmes connus pour identifier les versions de système d’exploitation que vous devez mettre à jour.

  2. Téléchargez la définition de stratégie KIR requise .msi fichiers sur l’ordinateur que vous utilisez pour vous connecter à Microsoft Endpoint Manager.

    Notes

    Vous devez accéder au contenu d’un fichier ADMX d’activation KIR.

  3. Exécutez les .msi fichiers. Cette action installe la définition de stratégie KIR dans le modèle d’administration.

    Notes

    Les définitions de stratégie sont installées dans le dossier C:\Windows\PolicyDefinitions .

    Si vous souhaitez extraire les fichiers ADMX vers un autre emplacement, utilisez la msiexec commande avec la propriété TARGETDIR . Par exemple :

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx
    

2. Créer un profil de configuration personnalisé dans Microsoft Endpoint Manager

Pour configurer des appareils afin d’effectuer une activation KIR, vous devez créer un profil de configuration personnalisé pour chaque système d’exploitation de vos appareils gérés. Pour créer un profil personnalisé, procédez comme suit :

  1. Sélectionnez des propriétés et ajoutez des informations de base du profil.
  2. Ajoutez un paramètre de configuration personnalisé pour ingérer des fichiers ADMX pour l’activation KIR.
  3. Ajoutez un paramètre de configuration personnalisé pour définir une nouvelle stratégie d’activation KIR.
  4. Affectez des appareils au profil de configuration personnalisé d’activation KIR.
  5. Utilisez des règles d’applicabilité pour cibler les appareils afin de recevoir les paramètres de configuration personnalisés KIR par système d’exploitation.
  6. Examinez et créez le profil de configuration personnalisé d’activation KIR.

R : Sélectionner des propriétés et ajouter des informations de base sur le profil

  1. Connectez-vous au  Centre d’administration Microsoft Endpoint Manager.

  2. Sélectionnez Profils > de configuration des appareils > Créer un profil.

  3. Sélectionnez les propriétés suivantes :

    • Plateforme : Windows 10 et versions ultérieures
    • Profil : Modèles personnalisés >
  4. Sélectionnez Créer.

  5. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de stratégie est « Activation 04/30 KIR – Windows 10 21H2 ».
    • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

    Notes

    Les valeurs de plateforme et de profil doivent déjà être sélectionnées.

  6. Sélectionnez Suivant.

Notes

Pour plus d’informations sur la création de profils de configuration et de paramètres de configuration personnalisés, consultez Utiliser les paramètres d’appareil personnalisés dans Microsoft Intune.

Avant de passer aux deux étapes suivantes, ouvrez le fichier ADMX dans un éditeur de texte (par exemple, bloc-notes) où le fichier a été extrait. Le fichier ADMX doit se trouver dans le chemin D:\Windows\PolicyDefinitions si vous l’avez installé en tant que fichier MSI.

Voici un exemple de fichier ADMX :

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

Enregistrez les valeurs pour policy name et parentCategory. Ces informations se trouve dans le nœud « stratégies » à la fin du fichier.

B. Ajouter un paramètre de configuration personnalisé pour ingérer des fichiers ADMX pour l’activation KIR

Ce paramètre de configuration est utilisé pour installer la stratégie d’activation KIR sur les appareils cibles. Procédez comme suit pour ajouter les paramètres d’ingestion ADMX :

  1. Dans Paramètres de configuration, sélectionnez Ajouter.

  2. Entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le paramètre de configuration. Nommez vos paramètres pour pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de paramètre est « Ingestion ADMX : activation 04/30 KIR – Windows 10 21H2 ».

    • Description : entrez une description pour le paramètre. Ce paramètre est facultatif, mais recommandé.

    • OMA-URI : entrez la chaîne ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX Policy Name>.

      Notes

      Remplacez <ADMX Policy Name> par la valeur du nom de stratégie enregistré à partir du fichier ADMX. Par exemple, « KB5011563_220428_2000_1_KnownIssueRollback ».

    • Type de données : Sélectionnez Chaîne.

    • Valeur : ouvrez le fichier ADMX avec un éditeur de texte (par exemple, bloc-notes). Copiez et collez l’intégralité du contenu du fichier ADMX que vous envisagez d’ingérer dans ce champ.

  3. Sélectionnez Enregistrer.

C. Ajouter un paramètre de configuration personnalisé pour définir une nouvelle stratégie d’activation KIR

Ce paramètre de configuration est utilisé pour configurer la stratégie d’activation KIR, qui est définie à l’étape précédente.

Procédez comme suit pour ajouter les paramètres de configuration de l’activation KIR :

  1. Dans Paramètres de configuration, sélectionnez Ajouter.

  2. Entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le paramètre de configuration. Nommez vos paramètres pour pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de paramètre est « Activation KIR : activation 04/30 KIR – Windows 10 21H2 ».

    • Description : entrez une description pour le paramètre. Ce paramètre est facultatif, mais recommandé.

    • OMA-URI : entrez la chaîne ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX Policy Name>.

      Notes

      Remplacez <Parent Category> par la chaîne de catégorie parente enregistrée à l’étape précédente. Par exemple, « KnownIssueRollback_Win_11 ». Remplacez par <ADMX Policy Name> le même nom de stratégie que celui utilisé à l’étape précédente.

    • Type de données : Sélectionnez Chaîne.

    • Valeur : Entrez <disabled/>.

  3. Sélectionnez Enregistrer.

  4. Sélectionnez Suivant.

D. Affecter des appareils au profil de configuration personnalisé d’activation KIR

Une fois que vous avez défini ce que fait le profil de configuration personnalisé, procédez comme suit pour identifier les appareils que vous allez configurer :

  1. Dans Affectations, sélectionnez Ajouter tous les appareils.
  2. Sélectionnez Suivant.

E. Utiliser des règles d’applicabilité pour cibler les appareils afin de recevoir des paramètres de configuration personnalisés KIR par système d’exploitation

Pour cibler les appareils par système d’exploitation applicables à la stratégie de groupe, ajoutez une règle d’applicabilité pour vérifier la version du système d’exploitation de l’appareil (build) avant d’appliquer cette configuration. Vous pouvez rechercher les numéros de build du système d’exploitation pris en charge sur les pages suivantes :

Les numéros de build affichés dans les pages sont mis en forme en MMMMM.mmmm (M= version majeure et m= version mineure). Les propriétés de version du système d’exploitation utilisent les chiffres de version principaux. Les valeurs de version du système d’exploitation entrées dans les règles d’applicabilité doivent être mises en forme comme « 10.0.MMMMM ». Par exemple, « 10.0.22000 ».

Suivez ces instructions pour définir les règles d’applicabilité appropriées pour votre activation KIR :

  1. Dans Règles d’applicabilité, créez une règle d’applicabilité en entrant les propriétés suivantes sur la règle vide déjà sur la page :

    • Règle : sélectionnez Affecter un profil dans la liste déroulante.
    • Propriété : Sélectionnez la version du système d’exploitation dans la liste déroulante.
    • Valeur : entrez les numéros de version Min et Max OS au format « 10.0.MMMMM ».
  2. Sélectionnez Suivant.

Notes

La version du système d’exploitation d’un appareil est disponible en exécutant la winver commande à partir du menu Démarrer. Il affiche un numéro de version en deux parties séparé par un « . ». Par exemple, « 22000.613 ». Vous pouvez ajouter le numéro de gauche à « 10.0 ». pour la version minimale du système d’exploitation. Obtenez le numéro de version maximale du système d’exploitation en ajoutant 1 au dernier chiffre du numéro de version du système d’exploitation minimal. Pour cet exemple, vous pouvez utiliser les valeurs suivantes :
Version minimale du système d’exploitation : « 10.0.22000 »
Version maximale du système d’exploitation : « 10.0.22001 »

F. Examiner et créer un profil de configuration personnalisé d’activation KIR

Passez en revue vos paramètres du profil de configuration personnalisé, puis sélectionnez Créer.

3. Surveiller l’activation kir

Votre activation KIR doit être en cours. Suivez ces étapes pour surveiller la progression du profil de configuration :

  1. Accédez aux  profils de configuration des appareils >, puis sélectionnez un profil existant. Par exemple, sélectionnez un profil macOS.

  2. Sélectionnez l’onglet Vue d’ensemble . Dans cette vue, l’état   de l’affectation de profil inclut les états suivants :

    • Réussite : la stratégie est correctement appliquée.
    • Erreur : impossible d’appliquer la stratégie. Le message affiche généralement un code d’erreur lié à une explication.
    • Conflit : deux paramètres sont appliqués au même appareil et Intune ne peut pas résoudre le conflit. Un administrateur doit examiner le conflit.
    • En attente : l’appareil n’a pas vérifié auprès d’Intune pour recevoir la stratégie.
    • Non applicable : l’appareil ne peut pas recevoir la stratégie. Par exemple, la stratégie met à jour un paramètre spécifique à iOS 11.1, mais l’appareil utilise iOS 10.

Pour plus d’informations, consultez Surveiller les profils de configuration d’appareil dans Microsoft Intune.

Plus d’informations