Les mises à jour d'avril 2024 pour les systèmes d'exploitation Windows peuvent « casser » les connexions VPN ! Microsoft a confirmé l'existence de ce problème ! Voici ce qu'il faut savoir.
Sur le site de Microsoft, un nouveau problème, intitulé "Les connexions VPN peuvent échouer après l'installation de la mise à jour de sécurité April 2024", a fait son apparition. Microsoft a pris connaissance de ce problème après avoir reçu de nombreux signalements de la part des utilisateurs de Windows. L'entreprise américaine ne donne pas plus de précision, ni même un code d'erreur.
Ce problème affecte aussi bien Windows que Windows Server. Il est lié aux mises à jour publiées par Microsoft le 9 avril dernier, à l'occasion du Patch Tuesday d'avril 2024. Voici un récapitulatif des systèmes impactés et des mises à jour à l'origine du problème :
Pour le moment, Microsoft ne propose pas de correctif : "Nous travaillons à une solution et fournirons une mise à jour dans une prochaine version.", peut-on lire. Des investigations sont en cours et la seule solution temporaire disponible pour les utilisateurs, c'est de désinstaller la mise à jour problématique. Disons que c'est un peu la solution par défaut.
Ce n'est pas la première fois que la fonction VPN de Windows est impactée par une mise à jour. En janvier 2022, une mise à jour pour Windows 10 et Windows 11 était déjà l'origine d'un dysfonctionnement sur le VPN. En effet, à la suite de l'installation de la mise à jour, les connexions VPN L2TP étaient inutilisables.
Vous rencontrez ce problème ? N'hésitez pas à nous le dire en commentant cet article !
Le menu Démarrer de Windows 11 va accueillir des publicités pour mettre en avant des applications tierces. Ce changement est imminent, car il vient d'être ajouté par la mise à jour optionnelle d'avril 2024 : KB5036980. Faisons le point.
Après l'installation de la mise à jour KB5036980 sur Windows 11 23H2, le système passe sur la Build 22631.3527. Par ailleurs, si vous installez la même mise à jour sur Windows 11 22H2, le système passera sur la Build 22621.3527.
Le menu Démarrer de Windows 11 ne va pas lister uniquement vos documents et vos applications, il va aussi lister des applications tierces mises en avant par Microsoft. Il s'agit de publicités intégrées directement au menu Démarrer pour promouvoir les applications des entreprises ayant payé Microsoft pour cela. Par exemple, il y aura des publicités pour le navigateur Opera et 1Password Manager.
Source : WindowsLatest
Peut-on éviter ce changement ?
Si vous n'installez pas la mise à jour KB5036980 sur votre PC, vous ne verrez pas de publicités dans le menu Démarrer de Windows 11. Enfin, pour le moment, car cette mise à jour donne un aperçu des changements à venir le mardi 14 mai 2024. Date à laquelle Microsoft va dévoiler son nouveau Patch Tuesday et publier les nouvelles mises à jour cumulatives mensuelles, qui elles sont obligatoires (et recommandées).
Ce changement était attendu, car Microsoft l'a déjà évoqué, mais il semble être déployé plus tôt que prévu. En effet, Microsoft devait activer l'affichage des publicités sur Windows 11 à partir de la fin du mois de mai (avec une mise à jour optionnelle), afin de les activer pour tout le monde avec la mise à jour cumulative de juin 2024. Microsoft a visiblement pris un mois d'avance sur son planning initial.
Néanmoins, bien que cette fonctionnalité soit activée par défaut, elle peut être désactivée dans les paramètres du système. Il conviendra de désactiver l'option nommée "Afficher des recommandations pour les conseils, les raccourcis, les nouvelles applications, etc." présente dans : Paramètres, Personnalisation, Démarrer.
Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.
Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.
Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.
En ce qui me concerne, voici la configuration que je souhaite déployer :
Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.
De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.
Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.
III. Le propriétaire de l'appareil est administrateur local
Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.
Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".
Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.
L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.
Voici un aperçu de ces deux paramètres :
IV. Gérer les administrateurs des appareils : deux solutions
Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :
Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra
Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.
Avec une stratégie de sécurité Intune
Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.
V. Préparer le groupe de sécurité Entra ID
À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.
Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.
Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.
Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".
Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.
L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...
Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.
Ensuite, nous devons configurer d'autres paramètres :
Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
Type de sélection de l'utilisateur :
Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs
Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.
Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.
Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.
Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.
Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.
Nous pouvons continuer... Jusqu'à l'étape n°4.
Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".
Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !
VII. Tester la stratégie Intune
La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.
Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.
Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).
Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).
Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).
Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :
Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :
Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae
Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !
Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.
VIII. Conclusion
Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".
Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :
Microsoft a apporté une modification importante sur la version Web de son magasin d'applications Microsoft Store. Désormais, vous pouvez directement télécharger les exécutables des applications sur votre PC Windows 10 ou Windows 11. Faisons le point sur ce changement.
C'est par l'intermédiaire de Rudy Huyn, Principal Architect chez Microsoft, que cette mise à jour de la version web du Microsoft Store a été mise en lumière. Désormais, lorsque vous visitez le Microsoft Store dans sa version web, via le site "apps.microsoft.com", vous pouvez directement télécharger l'exécutable d'une application, ce qui fluidifie l'installation d'applications à partir de la version web.
Jusqu'à présent, pour installer une application depuis la version web, il fallait cliquer sur le bouton "Installer", puis cliquer sur "Ouvrir Microsoft Store", et confirmer l'installation avec le bouton "Installer". La présence de ce second bouton installer étant là pour s'assurer que l'installation est initiée par l'utilisateur, et non par un script potentiellement malveillant. Néanmoins, "les feedbacks des utilisateurs ont indiqué que le processus d'installation comportait trop de clics.", peut-on lire dans le tweet posté sur X (Twitter) par Rudy Huyn.
Télécharger l'exécutable d'une application du Microsoft Store
Depuis plusieurs mois, Microsoft travaille sur un changement pour rendre plus simple et plus direct l'installation d'une application depuis la version web. Désormais, le fait de cliquer sur "Installer" permet d'obtenir un package au format ".exe" qui contient le code de l'application et permet de l'installer une fois le téléchargement effectué. Ainsi, nous passons de 3 clics à 2 clics, sans pour autant négliger l'aspect sécurité, car Microsoft a pris des précautions.
L'autre avantage de cette évolution, c'est qu'elle facilite le téléchargement des packages exécutables des applications publiées sur le Microsoft Store. Ainsi, il représente une source fiable pour télécharger des paquets d'installations de nombreuses applications depuis un seul endroit.
Augmenter le nombre d'installations effectuées à partir du Microsoft Store
Si la firme de Redmond a effectué cette modification, c'est également pour qu'il y ait un meilleur taux de conversion pour qu'il y ait plus d'installations.
Une enquête a été menée sur les 5 derniers mois et voici les résultats observés par Microsoft : "Cette nouvelle méthode d'installation des applications du magasin a entraîné, en moyenne, une augmentation de 12 % des installations et de 54 % du nombre d'applications lancées après l'installation."
Les résultats étant positifs, Microsoft a pris la décision d'étendre la disponibilité de cette nouveauté à tous les utilisateurs de Windows 10 et Windows 11.
Mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036893 pour les machines sous Windows 11 23H2 ! Elle apporte 29 modifications et permet aussi d'activer les nouveautés "Moment 5" pour l'ensemble des utilisateurs ! Faisons le point.
Depuis le 1er mars 2024, la mise à jour de fonctionnalités Moment 5 de Windows 11 est disponible. Pourtant, elle n'était pas distribuée à tous les utilisateurs, car il s'agissait d'une mise à jour optionnelle. Désormais, la nouvelle mise à jour KB5036893 va activer ces nouvelles fonctionnalités pour tout le monde. Pour en savoir plus sur les nouveautés qu'elle contient, vous pouvez lire notre article sur le sujet.
Mis à part cela, voici certains changements opérés par Microsoft :
Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
Nouveauté : cette mise à jour améliore l'hôte de la session Bureau à distance. Vous pouvez désormais configurer sa politique de "redirection du presse-papiers" pour qu'elle fonctionne dans un seul sens, de l'ordinateur local vers l'ordinateur distant. Vous pouvez également inverser cet ordre.
Correctif : cette mise à jour résout un problème qui empêche certaines applications et fonctionnalités d'être disponibles. Ce problème survient après la mise à niveau vers Windows 11.
Correctif : cette mise à jour résout un problème qui affecte les ressources réseau. Vous ne pouvez pas y accéder à partir d'une session "Bureau à distance". Cela se produit lorsque vous activez la fonction "Remote Credential Guard" et que la machine tourne sous Windows 11, version 22H2 ou supérieure.
Correctif : cette mise à jour résout un problème affectant certains NPU qui ne s'affichent pas dans le Gestionnaire des tâches de Windows.
Correctif : cette mise à jour résout un problème qui affecte le service de stratégie de groupe. Il échoue lorsque vous utilisez LGPO.exe pour appliquer une stratégie d'audit au système.
Pour consulter la liste de tous les changements, vous pouvez consulter cette page du site Microsoft.
À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
"Mon PC est-il équipé d'une puce TPM ?", c'est peut-être une question que certaines d'entre vous se sont posées ! Dans ce tutoriel, nous allons voir plusieurs méthodes qui permettent de vérifier si un ordinateur est équipé d'une puce TPM 1.0, une puce TPM 2.0 ou s'il n'a pas du tout de puce TPM.
Nous allons effectuer les manipulations directement à partir de Windows, via l'application système "Sécurité Windows", la console "tpm.msc", la console PowerShell ainsi que l'outil tpmtool.
Si la vérification indique que votre PC n'est pas équipé d'une puce TPM, nous vous invitons tout de même à vérifier dans la configuration de votre BIOS/UEFI. En effet, une option peut être intégrée pour permettre d'activer ou désactiver la puce TPM ("TPM Support", "Security Device Support", "TPM On", etc.).
Pour rappel, le système d'exploitation Windows 11 exige la présence d'une puce TPM 2.0 comme prérequis pour pouvoir être installé sur un ordinateur. Toutefois, nous pouvons quand même installer Windows 11 sur une machine sans puce TPM si nécessaire.
II. Vérifier si un PC est équipé d'une puce TPM 2.0
Les manipulations suivantes sont effectuées sur un ordinateur Windows 11, mais elles sont applicables sur Windows 10 (au moins pour les méthodes n°2 et n°3).
A. Méthode n°1 : Sécurité Windows
Sur votre ordinateur, recherchez "Sécurité Windows" pour accéder au centre de gestion des fonctions relatives à la sécurité du système. Sur la gauche, cliquez sur "Sécurité des appareils", et à cet endroit, vous devriez pouvoir localiser la section "Processeur de sécurité" faisant référence à la puce TPM.
Ici, il vous suffit de cliquer sur "Détails du processeur de sécurité" pour obtenir des informations supplémentaires.
Nous pouvons obtenir des informations sur le fabricant, mais aussi, et surtout, la version de la puce TPM grâce à l'instruction "Version des spécifications" où c'est bien indiqué "2.0". Dans cet exemple, il s'agit d'une machine virtuelle Windows 11 sur un Hyper-V.
B. Méthode n°2 : tpm.msc
La seconde méthode consiste à utiliser la console "tpm.msc" accessible de différentes façons. Le moyen le plus direct, c'est de saisir "tpm.msc" dans la zone de recherche de Windows et d'appuyer sur Entrée.
tpm.msc
Cette console indique clairement si votre PC est équipé ou non d'une puce TPM, et nous avons aussi des indications sur le statut de la puce TPM. Ici, nous pouvons voir que le module TPM est prêt à être utilisé. Nous pouvons également voir la version : "Version de la spécification : 2.0", ce qui veut dire que cette machine est équipée d'une puce TPM 2.0.
C. Méthode n°3 : PowerShell
Désormais, nous allons évoquer la commande "Get-Tpm" de PowerShell, qu'il convient d'exécuter dans une console avec des droits d'administrateur. Le simple fait d'exécuter cette commande sans paramètre va permettre de retourner un ensemble d'informations sur l'état de la puce TPM : la puce TPM est-elle présente ? La puce TPM est-elle prête ? La puce TPM est-elle activée ?
Get-Tpm
Toutefois, cette commande ne donne pas de précision sur le numéro de version de la puce TPM (1.2, 2.0), mais à la place, le numéro de version du fabricant, ce qui peut être un peu trompeur dans certains cas, comme celui présenté ci-dessous.
Pour obtenir des informations plus précise, vous devez utiliser la commande Get-CimInstance (ou éventuellement Get-WmiOjbect) pour lire le contenu de la classe Win32_Tpm. Voici la commande à exécuter :
Ici, nous pouvons obtenir la version de la spécification, et il s'agit bien d'une puce TPM 2.0 (tenez compte de la première valeur).
D. Méthode n°4 : tpmtool
La commande native "tpmtool" de Windows permet d'obtenir des informations sur l'état du module TPM présent dans la machine. Ainsi, toujours dans une console, nous pouvons exécuter cette commande :
tpmtool getdeviceinformation
Cette commande retourne plusieurs informations, comme la commande Get-Tpm, à la différence qu'elle indique la version de la puce TPM, ce qui permettra de savoir s'il s'agit d'une puce TPM 1.2 ou 2.0.
III. Conclusion
Grâce à ces différentes méthodes, vous êtes en mesure d'en savoir plus sur la présence d'une puce TPM dans votre machine, et vous pouvez aussi obtenir des informations sur l'état de cette puce TPM.
Dans ce tutoriel, nous allons voir comment déployer des applications sur Windows 11 à l'aide de MDT, en prenant des packages au format MSI ou EXE comme source. Ainsi, lors du déploiement d'un ordinateur, le système d'exploitation Windows et les applications seront installés automatiquement.
La solution MDT peut être utilisée pour déployer l'image de Windows 11 sur un ou plusieurs ordinateurs, que ce soit une image vierge officielle ou une image personnalisée capturée à partir d'une image de référence. MDT intègre aussi une gestion des applications, ce qui va nous permettre d'installer automatiquement des applications sur les machines déployées, grâce à l'ajout d'étapes supplémentaires dans notre séquence de tâches.
En effet, dans le cas présent, les applications ne sont pas intégrées à l'image WIM déployée puisque nous allons installer un système vierge, et suite au déploiement de l'image WIM, les applications seront installées.
La première étape consiste à télécharger les sources d'installation de l'application que vous souhaitez installer. Dans cet exemple, nous allons utiliser 7-Zip. En complément, dans la vidéo, un second logiciel sera utilisé pour la démonstration : Adobe Reader DC (qui est très particulier à déployer).
Lorsque vous téléchargez le paquet d'installation, priorisez le format MSI autant que possible, car il prend en charge les installations silencieuses, et donc automatique, des applications. Pour 7-Zip, nous avons la chance de pouvoir télécharger un package MSI :
Une fois que le téléchargement est effectué, vous devez stocker ce fichier dans un répertoire. Par exemple, vous pouvez nommer ce répertoire "7zip". Il est important de bien organiser vos sources, surtout que l'ajout d'application dans MDT fonctionne par dossier, et non par fichier.
Ensuite, vous pouvez continuer...
III. Créer une application dans MDT
A. Installer 7-Zip avec MDT
Désormais, vous devez intégrer l'application dans MDT afin qu'elle soit référencée et que vous puissiez l'associer à une séquence de tâches (ou un rôle). À partir de la console DeploymentWorkbench, effectuez un clic droit sur "Applications" puis cliquez sur "New Application".
Remarque : si vous envisagez d'intégrer de nombreuses applications, il est important de créer des dossiers pour organiser vos applications, par métier, par exemple.
Un assistant s'exécute et vous propose de choisir le type d'application. Vous devez choisir "Application with source files" car nous allons importer dans MDT les sources d'installation de l'application. La seconde option est utile pour une application disponible sur un partage réseau distant, tandis que la troisième option permet de créer des bundles d'application, c'est-à-dire des groupes de plusieurs applications.
Indiquez les détails de l'application, en précisant, à minima, le nom de l'application. Vous pouvez aussi ajouter d'autres précisions comme la version, l'éditeur et la langue.
Ensuite, l'étape "Source" s'affiche à l'écran. Ici, vous ne pouvez pas sélectionner un fichier, mais uniquement un dossier. Ceci signifie que tout le contenu du dossier sera intégré dans MDT en tant que "source de l'application". De ce fait, il est important d'isoler le package MSI dans un répertoire où c'est le seul fichier. Ceci peut sembler étonnant, mais c'est pourtant utile dans certains cas lorsque le package MSI a besoin de s'appuyer sur un fichier de configuration INI, ou de charger un fichier de mise à jour MSP.
À l'étape "Destination", indiquez le nom du répertoire dans lequel stocker les sources de cette application. Ce répertoire sera créé dans le dossier "Applications" du DeploymentShare. Passez à la suite.
L'étape "Command Details" est cruciale puisque c'est ici que vous devez indiquer la commande à exécuter pour installer l'application. Lorsqu'il s'agit d'un package MSI, msiexec.exe doit être utilisé et l'option "/qn" permettra d'effectuer une installation silencieuse. Dans certains cas, il sera nécessaire de préciser le nom de l'exécutable(".exe") et de trouver le bon commutateur pour effectuer l'installation silencieuse (/S, par exemple), s'il existe.
msiexec.exe /i 7z2301-x64.msi /qn
MDT installera l'application à partir du fichier "7z2301-x64.msi". Il n'est pas utile de mentionner le chemin du fichier, car il est déjà référencé dans "Working directory".
Remarque : dans le cas d'un exécutable, précisez simplement le nom du fichier ".exe" ainsi que le(s) commutateur(s) à ajouter pour effectuer l'installation silencieuse.
Poursuivez jusqu'à la fin... Voilà, l'application 7-Zip a été intégré à MDT !
Désormais, vous devez ajouter l'application à une séquence de tâches pour qu'elle soit déployée.
B. Installer Adobe Acrobat Reader DC avec MDT
Le déploiement d'Adobe Acrobat Reader DC avec MDT (ou par GPO) est un peu particulier, puisqu'il faut commencer par télécharger l'exécutable sur le site officiel d'Adobe, via cette page.
Puis, vous devez ouvrir l'EXE avec 7-Zip pour extraire son contenu, car vous avez besoin des trois fichiers suivants :
Le fichier d'installation MSI nommé "AcroRead.msi" a besoin des données du fichier "Data1.cab" pour installer l'application. Sauf qu'en l'état, une ancienne version datant de 2015 sera déployée sur la machine. De ce fait, il faut impérativement installer le patch représenté par le fichier MSP "AcroRdrDCUpd2400120615.msp" pour mettre à jour l'application. Vous devez ajouter ces trois fichiers dans le répertoire avec vos sources d'installation à importer dans MDT.
Ce qui donne la ligne d'installation suivante à introduire dans MDT à l'étape "Command Details" :
IV. Ajouter l'application à une séquence de tâches
Pour déployer une application avec MDT, vous avez plusieurs possibilités dont l'utilisation d'une étape dans la séquence de tâches ou l'affectation de l'application à un rôle.
Lorsque l'application est affectée à la séquence de tâches, toutes les machines qui seront déployées par cette séquence de tâche bénéficieront de l'application. À l'inverse, le rôle permettra d'associer une application à un rôle fonctionnel, et ce rôle sera associé à une machine. C'est une logique un peu différente.
Ici, nous allons utiliser la méthode la plus simple : la séquence de tâches. Nous allons modifier la séquence de tâches "Déployer Windows 11 Pro 23H2" déjà existante, mais vous pouvez créer une séquence de tâches de toutes pièces.
Dans les propriétés de la séquence de tâches :
1 - Cliquez sur l'onglet "Task Sequence".
2 - Sélectionnez la tâche "Install Applications" sous "State Restore".
3 - Cliquez sur "Install a single application", car l'autre option est utilisée pour la gestion par rôle (ou sélection manuelle lors du déploiement).
4 - Cliquez sur "Browse" pour sélectionner l'application.
5 - Sélectionnez l'application 7-Zip précédemment ajoutée à MDT et validez. Nous pourrions aussi choisir un bundle.
Vous pouvez aussi renommer la tâche pour indiquer "App - 7-Zip" à la place de "Install Applications" pour que ce soit plus évocateur. Sachez également que vous pouvez ajouter plusieurs tâches pour le déploiement d'applications, via le bouton "Add", ou simplement en faisant un copier-coller de celle-ci.
Validez. La séquence de tâches est prête !
Désormais, il ne reste plus qu'à déployer une nouvelle machine basée sur cette séquence de tâches pour vérifier si 7-Zip est bien installé, ou non.
V. Tester sur un PC
Lorsque la séquence de tâches sera terminée, la machine bénéficiera d'un système d'exploitation ainsi que des applications présentes dans la séquence de tâches. En tant qu'administrateur système, vous gagnez un temps précieux dans la préparation d'une nouvelle machine !
VI. Conclusion
Voilà, nous venons de voir comment installer des applications sur Windows 11 à l'aide d'une séquence de tâches MDT ! De quoi gagner du temps lors du déploiement en masse de postes de travail Windows !
Si vous déployez une application à partir d'un fichier EXE et que ce dernier ne propose pas de commutateur pour l'installation silencieuse, sachez que MDT peut tout de même déclencher l'installation. Mais, dans ce cas, c'est vous qui devez intervenir à l'écran pour déclencher l'installation.
Plutôt que de s'appuyer sur des paquets d'installation MSI ou EXE, vous pouvez utiliser MDT pour déployer des applications en utilisant le gestionnaire de paquets Chocolatey, voire même WinGet qui est intégré à Windows 11 et qui peut accéder au catalogue d'applications du Microsoft Store. Ceci pourrait faire l'objet d'un prochain article et d'une prochaine vidéo !
Le déploiement d'application est également possible avec d'autres solutions telles que Microsoft Intune et WAPT, notamment sur des machines déjà déployées :
Le menu Démarrer de Windows 11 pourrait être amené à évoluer puisque Microsoft a commencé à tester un nouveau type d'affichage pour la liste de toutes les applications. Voici ce qu'il faut savoir sur ce futur changement.
Le menu Démarrer a connu de nombreux changements ces dernières années, et désormais, nous sommes habitués à le voir évoluer assez régulièrement. Microsoft n'en a pas fini puisqu'un nouveau changement devrait impacter cet élément central de l'interface graphique du système d'exploitation Windows.
Actuellement, sur Windows 11, lorsque vous cliquez sur le bouton "Tous" en haut à droite, vous obtenez une liste avec toutes les applications installées, y compris celles intégrées à Windows. Il s'agit d'une liste d'applications classée par ordre alphabétique.
C'est précisément la disposition de cette liste qui devrait changer puisqu'au lieu d'utiliser une liste verticale, Microsoft voudrait basculer sur une grille d'icônes. Ainsi, au lieu d'avoir une application par ligne, il y aurait plusieurs applications par ligne, comme sur Android et iOS, en fait.
Finalement, ce serait un léger changement, mais plutôt appréciable puisque cet affichage permet de mieux utiliser l'espace disponible à l'écran, et beaucoup plus d'icônes sont visibles en même temps. Certains utilisateurs vont apprécier, et d'autres non... car cette vue est beaucoup moins épurée donc c'est certain qu'elle ne plaira pas à tout le monde...!
Voici un exemple, avec à gauche la disposition actuellement, et à droite, la nouvelle disposition.
Source : WindowsLatest
Cette nouveauté est déjà visible pour les membres du programme Windows Insider, grâce à la Build 22635.3420 de Windows 11 disponible dans le canal Bêta.
Il reste actuellement une question en suspens : Microsoft permettra-t-il de basculer d'un affichage à un autre à l'aide d'une option dans les paramètres d'affichage ? Pour le moment, cette option n'existe pas.
Qu'en pensez-vous ? N'hésitez pas à réagir en postant un commentaire.
Dans ce tutoriel, nous allons apprendre à désinstaller une mise à jour sur Windows 11 ! Alors, vous allez me dire, mais pourquoi chercher à désinstaller une mise à jour ? En général, nous cherchons plutôt à installer les dernières mises à jour, non ?
Effectivement, mais il y a souvent (un peu trop souvent, même) des problèmes liés à l'installation d'une mise à jour Microsoft, que ce soit sur Windows 11 ou une autre version. Malheureusement, dans certains cas, ceci nous conduit à désinstaller une mise à jour de la machine en attendant une meilleure solution... Même si cette mise à jour sera probablement réinstallée par la suite.
II. Désinstaller une mise à jour avec l'interface graphique
Sur votre PC, ouvrez le menu Démarrer afin d'accéder aux Paramètres.
1 - Une fois que la fenêtre des paramètres est affichée, cliquez sur "Windows Update" dans le menu latéral positionné sur la gauche.
2 - Cliquez sur "Historique de mise à jour" dans la section "Windows Update".
Vous voici sur une page où vous avez la liste de toutes les mises à jour installées sur votre machine. C'est l'occasion de vérifier si la mise à jour que vous incriminez est bien présente. Ensuite, descendez tout en bas de la page jusqu'à trouver le lien "Désinstaller des mises à jour". Cliquez dessus.
Si vous êtes sur une version de Windows 11 antérieure à la version 23H2, une autre fenêtre s'ouvre, comme ceci :
1 - Sélectionnez la mise à jour à désinstaller dans la liste.
2 - Cliquez sur "Désinstaller".
3 - Cliquez sur "Oui" pour valider la désinstallation de la mise à jour.
Sinon, si vous utilisez Windows 11 23H2 (ou une version plus récente), vous allez arriver sur une fenêtre semblable à celle ci-dessous.
Sur le même principe, recherchez la mise à jour à désinstaller dans la liste, puis cliquez sur "Désinstaller" une première fois, puis, une seconde fois.
Patientez le temps de la désinstallation de la mise à jour et redémarrez votre machine lorsque Windows vous le propose. Suite au redémarrage, votre machine doit être plus "stable" qu'avant la désinstallation de la mise à jour problématique.
III. Désinstaller une mise à jour en ligne de commande
Désormais, nous allons voir comment désinstaller une mise à jour Windows 11 à partir de la ligne de commande, grâce à plusieurs outils. Ouvrez une console PowerShell en tant qu'administrateur sur votre machine et suivez la suite de cet article.
Avant de commencer, sachez qu'en ligne de commande, vous pouvez obtenir la liste des dernières mises à jour installées avec ces différentes commandes :
# Avec wmic
wmic qfe list brief /format:table
# Avec PowerShell
Get-WmiObject -Class win32_quickfixengineering
Get-CimInstance -Class win32_quickfixengineering
Voici un exemple de sortie :
A. Méthode n°1 : wusa.exe
Tout d'abord, sachez que pour supprimer une mise à jour en ligne de commande, vous pouvez utiliser l'outil natif et officiel pour interagir avec Windows Update : "wusa.exe". Pour désinstaller une mise à jour, la syntaxe de la commande est la suivante :
La commande ci-dessus va permettre de désinstaller la mise à jour KB5035853, sans redémarrer l'ordinateur à la fin de l'opération. L'option "log" est facultative, mais elle permet de générer un événement (log) sur la machine locale et visible via l'Observateur d'événements.
Désinstallation d'une mise à jour avec wusa.exe
B. Méthode n°2 : DISM
DISM est un autre outil intégré à Windows et dans le cas présent, c'est une alternative à wusa.exe. L'outil DISM est capable d'agir sur une image Windows en ligne ou hors ligne, notamment pour réparer les fichiers système. Il sert aussi à gérer les fonctionnalités et les mises à jour, donc nous allons pouvoir le solliciter pour désinstaller une mise à jour.
Pour lister les paquets installés (fonctionnalités à la demande, mise à jour, etc.) on va utiliser l'option "/Get-Packages" de DISM. En effectuant un filtre sur la chaîne "Package_for", nous allons pouvoir récupérer seulement les mises à jour. Cela tombe bien, c'est ce qui nous intéresse dans le cas présent.
Ici, la principale difficulté, c'est de trouver le nom de la mise à jour à désinstaller, car il n'y a pas le nom "KBXXXXXX" pour toutes les mises à jour. Il faut essayer de faire le lien entre le nom "Package_for_" et le numéro de KB que l'on recherche. Pour cela, on peut s'aider du numéro de version à la fin du nom du paquet, plus il est haut, plus la mise à jour est récente, et de la date d'installation. On retrouve aussi la date d'installation dans l'historique d'installation des mises à jour.
Dès que nous avons pu identifier notre cible, nous pouvons passer à la désinstallation de la mise à jour.
Au final, la commande DISM ressemble à la commande WUSA, sauf que les noms des paramètres sont un peu différents. Voici un exemple pour supprimer le paquet "Package_for_RollupFix~31bf3856ad364e35~amd64~~22621.3296.1.6" (sélectionné au hasard dans la liste).
Au bout de quelques minutes, la mise à jour est supprimée de votre machine ! Pour que l'opération soit effectuée silencieusement, vous pouvez inclure le paramètre "/quiet". Vous l'aurez compris, DISM est moins évident à utiliser que wusa.exe lorsqu'il s'agit de désinstaller une mise à jour, mais il représente une corde supplémentaire à notre arc...
C. Méthode n°3 : PowerShell
Pour finir, nous allons utiliser une troisième méthode basée sur l'utilisation du module PowerShell nommé PSWindowsUpdate. Ce module permet de gérer Windows Update via des commandes PowerShell. Il est disponible sur la PowerShell Gallery donc nous pouvons l'installer facilement :
Install-Module -Name PSWindowsUpdate
Une fois que l'installation du module est effectuée, vous pouvez obtenir l'historique des mises à jour installées avec cette commande :
Get-WUHistory
Ensuite, vous pouvez utiliser le cmdlet "Remove-WindowsUpdate" pour supprimer la mise à jour KB5035853 (adaptez en fonction de la mise à jour ciblée) :
En suivant l'une des méthodes évoquées dans ce tutoriel, vous devriez pouvoir désinstaller la mise à jour de votre choix sur votre PC Windows 11, ou Windows 10. En effet, nous venons de voir 4 méthodes différentes pour désinstaller une mise à jour ! Sachez que vous avez aussi l'opportunité d'effectuer la désinstallation à partir du démarrage avancé de Windows (Paramètres > Système > Récupération > Démarrage avancé > Redémarrer maintenant).
Dans ce tutoriel, nous allons apprendre à capturer une image de référence Windows 11 23H2 avec MDT. Cette image, préparée par nos soins, pourra ensuite réutilisée en tant que master afin d'être déployée sur un ensemble de machines de votre parc informatique.
La méthode que nous allons employer aujourd'hui consiste à :
1 - Prendre une machine Windows 11 qui servira de référence. Sur cette machine, nous pouvons modifier la configuration du système, installer des applications, déposer des fichiers de configuration, etc... Selon les besoins
2 - Capturer cette machine avec MDT afin que l'image Windows dans son intégralité (système + applications) donne lieu à une image WIM
3 - Ajouter cette image WIM à la liste des systèmes d'exploitation de MDT
4 - Déployer cette image de référence, qui est notre master, sur X ordinateurs
Ceci permet d'avoir une image prête à l'emploi, avec tous nos prérequis, ce qui en fait un master sur-mesure. Néanmoins, préférez autant que possible le déploiement d'applications par l'intermédiaire de MDT : ceci est la recommandation, et c'est aussi plus simple pour gérer les versions que vous souhaitez déployer, car l'image WIM capturée est figée (même si nous pouvons toujours agir dessus via les étapes de post-installation).
Dans certaines situations, cette méthode s'avère très utile, voire indispensable, et permettra d'éviter bien des galères aux équipes IT... Surtout, elle permettra de gagner un temps fou. Lors d'une précédente expérience, j'ai eu de nombreuses applications spécifiques à installer sur des machines, du style AutoCAD, Revit, Cadwork, etc... Elles sont à la fois lourdes et difficiles à déployer de façon silencieuse. De ce fait, les applications étaient installées sur une machine Windows 11, puis l'image capturée, ce qui permettait d'avoir une image prête à l'emploi avec ces applications préinstallées.
Pour cette démonstration, une machine sous Windows 11 Pro 23H2, déployée par l'intermédiaire de MDT (via la procédure décrite dans le précédent tutoriel) sert de point de départ.
Pour simuler quelques changements sur le système, je procède à l'installation de deux applications : la suite LibreOffice et VLC Media Player. Vous pourriez également décider de durcir la configuration du système à l'aide d'un outil comme HardeningKitty.
En complément, les VMware Tools sont installées dans la VM. Ainsi, lorsque cette image sera capturée puis de nouvelles VM déployées, elles bénéficieront directement des VMware Tools.
Ceci n'est qu'un exemple afin d'avoir un "master" à capturer. De votre côté, faites ce dont vous avez besoin.
Remarque : vous ne devez pas chiffrer la machine de référence avec BitLocker, sinon la capture échouera.
III. Les permissions sur le DeploymentShare
Si vous avez suivi notre tutoriel sur l'installation de MDT pour déployer Windows 11, vous avez créé le compte "Service_MDT" et vous lui avez attribué des permissions en "Lecture seule" sur le partage DeploymentShare. En fait, il s'agit de l'utilisateur déclaré dans les paramètres de MDT et utilisé par le LiteTouch (WinPE) pour se connecter au DeploymentShare.
Nous devons modifier les permissions car l'utilisateur doit pouvoir écrire dans le répertoire "Captures" afin de venir écrire l'image WIM.
Modifiez les permissions de partage :
1 - Effectuez un clic droit sur le dossier du DeploymentShare puis cliquez sur "Propriétés". Cliquez sur l'onglet "Partage" puis sur "Partage avancé".
2 - Cliquez sur le bouton "Autorisations".
3 - Sélectionnez l'utilisateur dans la liste, ici "Service_MDT".
4 - Attribuez la permission "Modifier" à cet utilisateur.
5 - Validez avec "OK".
Modifiez les permissions sur le système de fichiers NTFS :
1 - Cliquez sur l'onglet "Sécurité".
2 - Cliquez sur "Modifier".
3 - Sélectionnez l'utilisateur "Service_MDT" dans la liste.
4 - Attribuez la permission "Modification" à cet utilisateur.
5 - Cliquez sur "OK".
Voilà, cette étape est terminée.
IV. Créer une tâche Sysprep and Capture pour Windows 11
À partir de la console Deployment Workbench, créez une nouvelle séquence de tâches (via un clic droit sur "Task Sequences"), dans votre DeploymentShare.
Commencez par nommer cette séquence de tâches, par exemple "Capturer Windows 11" et poursuivez.
Lors de la sélection du template, choisissez "Sysprep and Capture".
À l'étape suivante, prenez une image système correspondante à la version que vous allez capturer. Mais, je crois que cela n'a pas de réelle importance puisque nous allons capturer notre image complète par la suite.
Poursuivez jusqu'à la fin... Tout en sachant que ces informations seront écrasées par la future tâche de déploiement de l'image.
Finalisez la création de la séquence de tâche.
Avant d'aller plus loin, accédez aux propriétés de votre DeploymentShare, puis dans l'onglet "Rules", assurez-vous d'avoir la ligne suivante :
SkipCature=NO
Sinon, l'assistant ne vous permettra pas de lancer la capture car l'étape de capture sera masquée.
En complément, si vous avez configuré le CustomSettings pour l'intégration au domaine Active Directory, vous devez commenter les lignes correspondantes, sinon l'étape "Capture Image" de l'assistant LiteTouch ne s'affichera pas (il s'agit probablement d'un bug). Une fois la capture effectuée, vous pouvez "réactiver" ces lignes.
V. Capturer image Windows 11 23H2 avec MDT
A. Démarrer la capture de l'image de référence
Désormais, nous allons initier la capture de l'image Windows 11. Vous ne devez pas démarrer en boot PXE sur le LiteTouch pour cette étape. À partir d'une session, sur la machine Windows 11 à capturer, accédez au DeploymentShare de votre serveur MDT.
À partir du nom ou de l'adresse IP. Puis, dans le répertoire "Scripts", exécutez le fichier "LiteTouch.vbs".
Actuellement, vous êtes toujours sur Windows 11, connecté à la session, et le LiteTouch démarre !
Sélectionnez la séquence de tâche "Capturer Windows 11" créée précédemment puis continuez.
Choisissez "Capture an image of this reference computer". Vous pouvez éventuellement donner un nom personnalisé à l'image WIM. Ici, la capture va générer l'image "CAPTW11-01.wim".
Continuez jusqu'à la dernière étape puis cliquez sur "Begin".
B. Le Sysprep
Le LiteTouch va commencer par initier un Sysprep sur la machine Windows. Cette étape est cruciale car Sysprep efface toutes les informations spécifiques à la machine : le SID, le nom de l'ordinateur, etc... Afin de préparer la machine au clonage ou à la création d'une image de référence (notre cas).
Patientez...
Le Sysprep est l'étape la plus délicate, disons.
Il y a régulièrement des plantages à cette étape, notamment à cause des applications Appx provisionnées dans une session et pas dans une autre. Si vous rencontrez une erreur, consultez ce fichier journal :
C:\Windows\System32\sysprep\Panther\setupact.log
Vous pouvez constater des lignes comme celle-ci :
SYSPRP Package <Nom du package> was installed for a user, but not provisioned for all users.
Dans ce cas, vous devez utiliser PowerShell pour essayer de faire le nettoyage nécessaire. Ceci peut bloquer sur une première application, puis sur une deuxième, donc consultez bien les logs si l'erreur revient après avoir fait le nécessaire.
Remove-AppxPackage -Package <Nom du package>
Pour lister les paquets de Microsoft, vous pouvez utiliser cette commande :
Quand le Sysprep sera terminé et effectué avec succès, la machine va redémarrer.
C. Création de l'image WIM
Au redémarrage, la machine va automatiquement poursuivre la capture et procéder à la création de l'image WIM. Ceci signifie que l'image WIM est envoyée dans le répertoire "Captures" de votre DeploymentShare.
Patientez jusqu'à la fin... Ici, la capture s'est déroulée sans problème !
Sur le serveur MDT, il y a bien une nouvelle image WIM. Son poids est d'environ 9,4 Go.
VI. Ajouter l'image de référence à une séquence de tâches
Nous avons fait la capture de notre image de référence, c'est bien, mais comment l'utiliser ? Comment déployer cette image sur des ordinateurs ?
A. Importer l'image WIM dans MDT
Tout d'abord, nous devons importer l'image WIM dans MDT, en tant qu'image de système d'exploitation.
Sur "Operating Systems", effectuez un clic droit et cliquez sur "Import Operating System".
Un assistant s'exécute. Choisissez "Custom image file" comme type d'OS.
Puis, à l'étape "Image", cliquez sur "Browse" pour sélectionner l'image WIM générée par la tâche de capture. Cochez également l'option "Move the files..." pour que l'image WIM soit déplacée dans le répertoire "Operating Systems" de votre DeploymentShare. Sinon, elle sera copiée et elle occupera deux fois plus de place sur votre serveur...
Poursuivez jusqu'à la fin en suivant l'assistant... Il n'est pas nécessaire de changer les autres paramètres, si ce n'est nommer le répertoire de destination.
Voilà, l'image WIM est importée !
B. Associer l'image WIM à une séquence de tâches
Désormais, nous allons associer l'image WIM capturée à une séquence de tâches dans le but de la déployer sur des appareils. Vous pouvez créer une nouvelle séquence de tâches, ou éditer une séquence de tâches existante. Ici, nous allons éditer la tâche "Déployer Windows 11 Pro 23H2".
1 - Rendez-vous dans "Task Sequences".
2 - Double-cliquez sur la séquence de tâches à modifier.
3 - Cliquez sur l'onglet "Task Sequence" pour accéder à la liste des tâches.
4 - Sous "Install", cliquez sur la tâche "Install Operating System".
5 - Sur la droite, cliquez sur "Browse", ceci vous permet de choisir l'image WIM à déployer !
Sélectionnée l'image correspondante à votre capture :
Validez. Vous pouvez cliquer sur "OK"car c'est la seule modification que nous devons apporter à la séquence de tâches.
VII. Déployer l'image de référence avec MDT
Tout est prêt, nous n'avons plus qu'à tester cette nouvelle configuration !
Prenez une machine sur laquelle tester le déploiement... Pour ma part, ce sera une nouvelle machine virtuelle. Puis, démarrez en boot PXE pour charger l'image LiteTouch de votre MDT.
Vous voilà sur l'écran "Task Sequence" où vous pouvez sélectionner la tâche "Déployer Windows 11 Pro 23H2" à laquelle est rattachée l'image WIM de référence.
Suivez les prochaines étapes pour associer un nom à la machine, etc... Puis lancez le déploiement !
Voilà, le déploiement est terminé ! Nous avons une nouvelle machine déployée à l'aide de notre image de référence ! Les applications LibreOffice et VLC Media Player sont bien présentes, tout comme les VMware Tools !
VIII. Conclusion
En suivant ce tutoriel, vous devriez être en mesure de capturer une image de référence personnalisée avec MDT, pour créer votre propre master sur-mesure à déployer sur les machines de votre parc informatique !
Vous utilisez Linux sur Windows à l'aide de la fonctionnalité Windows Subsystem for Linux ? Sachez que Microsoft devrait vous permettre de gérer vos distributions Linux à partir de l'interface graphique. Faisons le point sur cette nouveauté à venir.
Les utilisateurs de Windows 10 et Windows 11 peuvent utiliser Linux depuis leur système d'exploitation principal à l'aide de la fonctionnalité Windows Subsystem for Linux, dont la version 2 s'appuie sur Hyper-V pour permettre l'utilisation d'un véritable noyau Linux. Ceci permet aux utilisateurs de pouvoir utiliser Ubuntu, Debian, etc... Directement depuis Windows.
Voici d'ailleurs quelques tutoriels sur le sujet :
Actuellement, la configuration et la gestion de Windows Subsystem for Linux s'effectue à partir de la ligne de commande, via l'exécutable "wsl.exe". Par exemple, la commande ci-dessous sert à obtenir la liste des distributions Linux actuellement installées.
wsl --list
À en croire une suggestion pour WSL apparue sur le GitHub de Microsoft, les développeurs souhaiteraient ajouter à Windows une interface graphique permettant de gérer les distributions Linux installées dans le cadre de la fonction WSL. Sur GitHub, l'entreprise américaine a demandé des idées sur l'utilisation de Dev Home pour gérer toutes les distributions Linux installées.
Une copie d'écran a même été ajoutée. Sur cette image, nous pouvons voir plusieurs options, dont la possibilité de lancer, démarrer, d'ajouter ou de désinstaller une distribution Linux, mais aussi de déplacer la distribution Linux vers un autre emplacement. Autres informations intéressantes : la quantité de RAM et de CPU consommée par Windows Subsystem for Linux. Par ailleurs, ceci devrait permettre de lancer une distribution Linux en tant que l'utilisateur de son choix ("as a specific user").
Cette nouveauté permettrait aux utilisateurs d'avoir plus facilement une vue d'ensemble sur les distributions Linux installées, et ceci pourrait aussi faciliter leur gestion. De quoi rendre WSL plus accessible ? Probablement. En tout cas, cette nouvelle interface pourrait être intégrée directement à l'application Dev Home destinée aux développeurs... Quoi qu'il en soit, cette interface graphique manque actuellement à WSL...
Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.
Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.
Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).
Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :
1 - Cliquez sur "Sécurité du point de terminaison" à gauche
2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité
3 - Cliquez sur le bouton "Créer une stratégie"
4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune
5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".
Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".
Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :
Pare-feu
Gestionnaire de listes réseau
Audit
Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.
Par exemple, pour le profil de domaine, ce sont les paramètres suivants :
A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.
Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :
Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".
Suivez l'assistant jusqu'à la création de la stratégie.
A la fin, celle-ci apparaît bien dans Intune :
Désormais, nous allons tester cette stratégie sur un appareil Windows 11.
III. Tester sur un appareil Windows
Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.
Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.
Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.
Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.
Notre stratégie de pare-feu Windows Defender est opérationnelle !
IV. Conclusion
Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.
Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :
Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.
En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.
Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.
1 - Cliquez sur "Sécurité du point de terminaison" à gauche
2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité
3 - Cliquez sur le bouton "Créer une stratégie"
4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune
5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".
Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.
Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.
Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).
Nous allons commencer par configurer ces trois paramètres :
Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)
Un peu plus bas, configurez également ces paramètres :
Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).
Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.
Configurez l'étape "Balises d'étendue" si besoin, sinon passez.
A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".
Poursuivez jusqu'à la fin et créez la stratégie...
En résumé, voici le contenu de la règle définie dans la stratégie :
Passons aux tests sur un appareil Windows 11 !
III. Tester la stratégie
Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).
Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.
À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil
Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.
IV. Conclusion
En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !
Dans ce tutoriel, nous allons voir comment personnaliser le menu Démarrer de Windows 11 à l'aide d'une stratégie Intune, afin de définir une liste des applications à épingler dans le menu Démarrer. L'objectif étant d'avoir une configuration uniforme sur son parc informatique.
Au sein du système d'exploitation Windows, le menu Démarrer joue un rôle clé, car il offre un accès direct aux applications installées sur l'ordinateur. Le menu Démarrer de Windows 11 permet d'épingler certaines applications afin de pouvoir les trouver facilement, juste en ouvrant le menu Démarrer. C'est précisément sur la liste des applications épinglées que nous allons agir aujourd'hui, en définissant une liste personnalisée d'applications à l'aide d'un fichier de configuration au format JSON.
En entreprise, cette configuration est utile pour avoir une disposition du menu Démarrer identique sur l'ensemble des sessions de vos utilisateurs. Ceci peut éviter qu'un utilisateur vous appelle pour vous dire qu'il ne trouve pas telle ou telle application dans le menu Démarrer. Néanmoins, sachez que cette configuration va venir écraser la liste des applications épinglées de l'utilisateur, et il ne pourra pas modifier cette liste (ses éventuels changements seront écrasés).
La première étape consiste à préparer un modèle de menu Démarrer. Pour cela, vous devez utiliser une machine Windows 11 et ajouter au menu Démarrer les applications que vous souhaitez épingler. Ne créez pas de dossiers d'applications, car ce ne sera pas conservé.
Voici un exemple :
Une fois que c'est fait, vous devez exporter cette configuration dans un fichier au format JSON. Cette action doit être effectuée avec PowerShell.
Ouvrez une console PowerShell et exécutez la commande suivante :
Export-StartLayout -Path "<Chemin/vers/fichier/JSON>"
# Par exemple :
Export-StartLayout -Path "StartMenuLayout.json"
Ceci va créer un fichier JSON qui contiendra la liste de toutes les applications épinglées dans votre menu Démarrer type.
Si vous ouvrez le fichier JSON, vous verrez les applications sous "pinnedList". Si vous ouvrez le fichier avec Visual Studio Code, utilisez le raccourci clavier "Shift+Alt+F" pour que le fichier soit formaté, ce sera plus lisible.
Par la suite, vous devrez copier-coller le contenu de ce fichier dans la stratégie Intune.
III. Créer la stratégie Intune
La suite de la configuration se passe sur le Centre d'administration Microsoft Intune.
Valeur : collez ici le contenu de votre fichier JSON
Cliquez sur "Enregistrer" quand c'est fait.
Il n'y a que ce paramètre à configurer pour gérer les applications épinglées.
Passez à l'étape suivante dans le but d'assigner cette stratégie à des appareils : sélectionnez un ou plusieurs groupes, selon vos besoins. Dans cet exemple, je me permets de sélectionner "Tous les appareils" car c'est un lab.
Poursuivez jusqu'à la fin et créez la stratégie. Voilà, elle est prête à l'emploi !
Désormais, il ne reste plus qu'à tester sur un appareil Windows !
IV. Tester la configuration
Après avoir effectué une synchronisation Intune sur la machine, vous verrez que le menu Démarrer va être modifié : la section "Epinglé" sera identique à votre modèle initial. La section "Nos recommandations" quant à elle, n'est pas impactée.
V. Conclusion
En suivant ce tutoriel, vous êtes en mesure de personnaliser le menu Démarrer de Windows 11 grâce à la création d'une liste d'applications épinglées ! Pour aller plus loin dans la personnalisation du menu Démarrer avec Intune, vous pouvez consulter cette page de la documentation Microsoft :
Le 13 mars 2024, Microsoft a publié la mise à jour KB5035853 pour tous les utilisateurs de Windows 11 semble poser un problème à certains utilisateurs : un écran bleu de la mort est généré sur le PC, juste après la connexion à une session. Voici ce que l'on sait.
Pour en savoir plus sur le contenu de cette mise à jour à destination de Windows 11 23H2 et Windows 11 22H2, vous pouvez consulter ces articles :
De façon générale, la mise à jour cumulative KB5035853 s'installe correctement sur l'ensemble des machines Windows 11. Par contre, c'est suite au premier redémarrage effectué après l'installation de la mise à jour que les ennuis ont commencé pour certains utilisateurs.
Bien que l'ordinateur démarre correctement, il plante suite à l'ouverture de la session utilisateur et génère un écran bleu de la mort ("Blue screen of death") avec le message suivant : "THREAD_STUCK_IN_DEVICE_DRIVER", comme le rapporte le site WindowsLatest. Néanmoins, ce message d'erreur n'est pas le seul puisque d'autres utilisateurs évoquent un écran bleu de la mort avec l'erreur "MEMORY_MANAGEMENT" ou encore "DPC_WATCHDOG_VIOLATION".
Les effets de bords semblent aussi variés, car il est question de ralentissements de la machine, de l'augmentation du temps nécessaire pour démarrer le PC, ou encore de bugs audio. Dans le pire des scénarios, la machine peut également redémarrer en boucle suite à l'installation de la mise à jour KB5035853.
Par exemple, voici un témoignage que nous pouvons lire sur ce fil de discussion Reddit : "Nous avons des problèmes avec les Lenovo L13 avec Ryzen Pro 7 après cette mise à jour, les machines entrent dans une boucle demandant le code Bitlocker. Nous avons au moins 6 de ces machines sur le site d'un client qui font cela."
Pour le moment, difficile de comprendre pourquoi des machines rencontrent des problèmes, tandis que d'autres non. De plus, Microsoft ne s'est pas encore exprimé sur ce problème. Pour l'heure, la seule solution consiste à désinstaller la mise à jour à l'origine du dysfonctionnement.
Microsoft continue de travailler sur l'intégration de son IA Copilot au sein de ses services, ses applications et son système d'exploitation Windows 11. La dernière nouveauté en date : l'intégration de Copilot dans le menu contextuel de l'Explorateur de fichiers. Faisons le point sur cette nouveauté.
Au sein du système d'exploitation Windows 11, l'intelligence artificielle Microsoft Copilot va occuper une place de plus en plus importante, car l'entreprise américaine souhaite l'intégrer à différents emplacements stratégiques. Tout d'abord, Copilot est intégré directement à la barre des tâches, et l'IA est aussi présente dans certaines applications comme Photos ou Paint, ainsi que dans le Bloc-notes.
Au sein de Windows 11 Insider Preview Build 26080, dans laquelle Microsoft commence à tester une application unique pour Teams, un nouveau changement est également testé par l'entreprise américaine. En effet, Microsoft semble travailler sur l'intégration de Copilot directement dans l'Explorateur de fichiers de Windows 11, lorsque l'on effectue un clic droit pour faire apparaître le menu contextuel.
Ce qui signifie que vous pouvez effectuer un clic droit sur n'importe quel fichier dans l'Explorateur de fichiers (et même sans être directement dans l'Explorateur de fichiers), et accéder à un ensemble d'actions permettant de solliciter l'intelligence artificielle. Par exemple, vous pouvez utiliser le bouton "Envoyer à Copilot" ou le bouton "Résumer" pour que Copilot analyse le document et le résume pour vous.
Voici un aperçu :
Source : WindowsLatest.com
Au-delà d'utiliser le clic droit pour accéder au menu contextuel, vous pouvez également charger le fichier dans Copilot via la barre latérale pour solliciter l'IA, que ce soit pour obtenir un résumé ou autre chose. Si vous demandez un résumé du contenu du document, l'IA vous retourne une liste de quelques points clés après avoir effectué l'analyse du document.
Cette intégration n'en est qu'à ses débuts et Microsoft ajoutera surement d'autres actions par la suite.
Dans ce tutoriel, nous allons apprendre à installer les outils d'administration à distance, que l'on appelle également RSAT, sur une machine Windows 11.
Ces outils d'administration sont très utiles pour les administrateurs systèmes puisqu'ils permettent de gérer le système Windows Server, mais également les différents rôles : Active Directory, DNS, DHCP, etc... Certains rôles ont une console dédiée, tandis que d'autres sont administrables directement par l'intermédiaire du Gestionnaire de serveur. Ces consoles permettent de gérer le serveur local, mais également un serveur distant, ce qui permet d'avoir un poste dédié à l'administration des machines sur lequel nous pourrons installer les consoles RSAT.
Les outils d'administration sont toujours très utilisés, même si Microsoft travaille sur des solutions d'administration plus moderne, notamment Windows Admin Center accessible directement à partir d'un navigateur.
Sur votre machine Windows 11, commencez par ouvrir les "Paramètres" afin de pouvoir accéder à la section "Applications" puis cliquez sur "Fonctionnalités facultatives".
Dans la section "Fonctionnalités facultatives", vous devez cliquer sur le bouton "Afficher les fonctionnalités".
Une fenêtre va s'ouvrir. Elle va vous permettre de sélectionner les fonctionnalités que vous souhaitez installer. Recherchez "rsat" afin d'avoir la liste de tous les outils RSAT que vous pouvez installer. Cochez ceux que vous souhaitez installer. Pour ma part, je vais uniquement sélectionner "RSAT : gestionnaire de serveur". Quand votre sélection est terminée, cliquez sur le bouton "Suivant".
Puis, cliquez sur "Installer".
Vous n'avez plus qu'à patienter quelques secondes ou minutes, le temps de l'installation.
Pour accéder aux outils d'administration fraichement installés sur votre PC Windows 11, vous pouvez effectuer une recherche via la barre de recherche du système. Sinon, sachez que ces consoles seront accessibles par l'intermédiaire du dossier "Outils Windows" que vous pouvez retrouver dans la liste de toutes les applications (via le menu Démarrer).
III. Installer les outils RSAT avec PowerShell
Si vous le souhaitez, vous pouvez installer les outils RSAT sur Windows 11 à l'aide de PowerShell !
Pour cela, vous devez ouvrir une console PowerShell en tant qu'administrateur. Commencez par exécuter la commande suivante pour obtenir la liste complète des consoles RSAT disponibles, avec leur statut.
Get-WindowsCapability -Name "RSAT*" -Online | Select-Object -Property DisplayName, State
Voici le résultat obtenu :
Avec une seule commande, vous pouvez installer l'ensemble des consoles :
Mais, ce n'est peut-être pas ce que vous souhaitez.
Dans ce cas, exécutez la commande suivante pour obtenir la liste des outils RSAT avec le nom d'affiche et le nom "technique" correspondant au nom de la fonctionnalité facultative d'un point de vue de Windows.
Ainsi, pour installer le rôle "Gestionnaire de serveur", nous devons exécuter la commande suivante :
# Syntaxe :
Add-WindowsCapability -Online -Name "<nom de l'outil RSAT>"
# Exemple :
Add-WindowsCapability -Online -Name "Rsat.ServerManager.Tools~~~~0.0.1.0"
Il ne reste plus qu'à patienter pendant l'installation !
Néanmoins, il est possible que vous obteniez l'erreur "Add-WindowsCapability : Échec de Add-WindowsCapability. Code d’erreur = 0x800f0950", notamment sur Windows 11 23H2.
Voici comment résoudre ce problème :
Vous devez télécharger "Windows 11, version 22H2 and 23H2 Language and Optional Features ISO", à partir de cette page du site Microsoft. Une fois que c'est fait, montez l'image sur votre PC. Pour ma part, il est monté dans le lecteur virtuel "D:\". Avec une image ISO d'installation de Windows 11, cela ne fonctionne pas, donc il faut utiliser cette image ISO spécifique qui contient tous les paquets pour les fonctionnalités facultatives.
Relancez la commande précédente, mais ajoutez le paramètre "-Source" suivi de "D:\LanguagesAndOptionalFeatures" (en adaptant le nom de la lettre). Cette fois-ci, l'installation devrait être un succès !
Voilà, vous n'avez plus qu'à profiter des outils d'administration depuis ce poste de travail Windows 11 ! Sur Windows 10, la procédure est similaire, si ce n'est que les menus sont organisés d'une façon différente. Par l'interface graphique ou en PowerShell, à vous de choisir la méthode que vous préférez !
Il conviendra de connecter la console à un serveur distant, puisqu'ici le rôle ne sera pas hébergé en local. De plus, le "Gestionnaire de serveur" peut regrouper un ensemble de serveurs et vous permettre de les administrer à distance.
Microsoft travaille sur une nouvelle expérience pour son application Microsoft Teams afin qu'elle puisse être utilisée aussi pour les comptes professionnels et personnels. Des tests sont en cours dans la dernière build de Windows 11 en cours de développement.
Actuellement, sur Windows 11, les utilisateurs ont accès à deux applications Microsoft Teams : une application installée par défaut et que l'on peut utiliser avec les comptes Microsoft personnels, puis, une seconde application beaucoup plus complète que l'on peut utiliser avec les comptes Microsoft professionnels et scolaires.
Microsoft a pris la décision de supprimer l'application intégrée par défaut dans Windows 11 dans le but d'avoir une seule application Teams pour l'ensemble de vos comptes, que ce soit des comptes personnels, professionnels ou scolaires. C'est une bonne nouvelle, car l'expérience d'utilisation sera unifiée, et ce changement sera l'une des nouveautés de Windows 11 24H2.
Dans cet aperçu, Microsoft Teams sera disponible en tant qu'application unique, permettant aux utilisateurs de basculer de manière transparente entre plusieurs environnements cloud, tenants et types de comptes, qu'ils soient personnels ou professionnels.", peut-on lire.
Microsoft précise aussi, que par la suite, lorsque vous rejoindrez une réunion, vous serez invité à sélectionner le compte avec lequel vous souhaitez rejoindre la réunion. Par ailleurs, lorsqu'une notification s'affichera, celle-ci contiendra des détails supplémentaires pour vous permettre d'identifier quel compte est concerné (si quelqu'un vous appelle, par exemple)
En complément, dans la feuille de route de Microsoft 365, nous pouvons lire ceci : "Microsoft Teams sur Windows et Mac prendra en charge tous les types de comptes Teams (professionnels, scolaires ou personnels) dans une seule application de bureau."
Par la suite, l'application "Microsoft Teams (work or school)" sera renommée en "Microsoft Teams". Si vous souhaitez tester dès maintenant, au-delà d'avoir la bonne version de Windows 11, vous devez utiliser la version 24057.2000.2723.3544 de l'application Teams.
Depuis mardi 12 mars 2024, une nouvelle mise à jour est disponible pour les utilisateurs de Windows 11. La KB5035853 s'adresse aux versions 23H2 et 22H2. Faisons le point sur les changements apportés !
Sur cette page, Microsoft donne des précisions sur les changements apportés par cette mise à jour. Il y a quelques changements au niveau du système et des corrections de bugs.
Tout d'abord, Microsoft a apporté des changements à son application Mobile Connecté et ajouté la prise en charge de l'USB4 :
Nouveauté : la page de configuration de Mobile Connecté porte un nouveau nom : Appareils mobiles. Allez dans Réglages > Bluetooth et appareils > Appareils mobiles.
Nouveauté : vous pouvez désormais utiliser l'Outil Capture de Windows pour modifier les photos et les captures d'écran les plus récentes de votre appareil Android. Vous recevrez une notification instantanée sur votre PC lorsque votre appareil Android capturera une nouvelle photo ou une nouvelle capture d'écran. Pour activer cette fonctionnalité, accédez à Paramètres > Bluetooth et appareils > Appareils mobiles. Choisissez Gérer les appareils et autorisez votre PC à accéder à votre appareil Android.
Nouveauté : cette mise à jour ajoute la prise en charge de la norme USB 80Gbps. Il s'agit de la prochaine génération d'USB4 qui offre une bande passante deux fois supérieure à celle de l'USB 40Gbps. "Pour utiliser la norme USB 80Gbps, vous devez disposer d'un PC compatible et d'un périphérique USB4 ou Thunderbolt", précise Microsoft.
Par ailleurs, l'entreprise américaine met en avant les éléments suivants :
Cette mise à jour affecte les jeux que vous installez sur un disque secondaire. Désormais, ils restent installés sur le lecteur.
Cette mise à jour résout un problème qui affecte certaines imprimantes à alimentation par le bord long. L'alignement des emplacements d'agrafage ou de perforation était erroné.
Cette mise à jour résout un problème affectant la page d'accueil des paramètres Windows. Elle cesse de répondre de manière aléatoire lorsque vous accédez à la page.
Cette mise à jour résout un problème qui affecte la mise en réseau. Un appareil ne parvient pas à passer automatiquement de la connectivité mobile à la téléphonie Wi-Fi lorsqu'il peut utiliser cette dernière.
Cette mise à jour résout un problème qui empêche le système de se mettre en veille. Ce problème survient lorsque vous connectez un périphérique externe au système.
Cette mise à jour affecte l'application Sauvegarde Windows. Elle ne s'affichera plus sur l'interface utilisateur dans les régions où l'application n'est pas prise en charge.
Microsoft a également corrigé un bug qui empêchait l'ouverture de certaines archives ZIP, ce qui engendrait un plantage de l'Explorateur de fichiers.
Windows 11 : les KB de mars 2024
En résumé, voici la liste des mises à jour Windows 11 publiées par Microsoft :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Pour rappel, Microsoft a corrigé 60 failles de sécurité dans plusieurs produits et services, dans le cadre de son Patch Tuesday de Mars 2024.
Connexion
