Partager via

L’utilisation de l’agent MBAM pour séquestre les clés de récupération BitLocker génère des stratégies excessives dans Configuration Manager, version 2103

  • Article

S’applique à : Configuration Manager (Current Branch, version 2103)

Résumé de KB10372804

À l’aide du Invoke-MbamClientDeployment.ps1 script PowerShell ou d’autres méthodes qui utilisent l’API de l’agent MBAM pour séquestre les clés de récupération à un point de gestion dans Configuration Manager Current Branch, la version 2103 génère une grande quantité de stratégie ciblée sur tous les appareils, ce qui peut provoquer des tempêtes de stratégie. Cela entraîne une dégradation grave des performances dans les Configuration Manager, principalement avec SQL et les points de gestion.

Informations de mise à jour pour Microsoft Endpoint Configuration Manager, version 2103

Une mise à jour pour résoudre ce problème est disponible dans le nœud Mises à jour et maintenance de la console Configuration Manager pour les environnements qui ont installé le correctif cumulatif suivant.

  • KB10036164 : Correctif cumulatif pour Microsoft point de terminaison Configuration Manager version 2103

Pour déterminer si vous êtes concerné par ce problème, vous pouvez exécuter la requête SQL suivante sur la base de données de chaque site principal.

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

Importante

Cette mise à jour empêche la création de stratégies excessives, mais elle ne supprime pas ces stratégies qui ont été créées précédemment. Si la requête ci-dessus retourne un grand nombre de lignes, contactez Support Microsoft pour obtenir de l’aide sur la suppression de ces stratégies.

Mettre à jour les informations de remplacement

Cette mise à jour remplace la mise à jour ci-dessous.

  • KB10216365 : Impossible de déplacer la base de données de site vers le groupe de disponibilité SQL Always On dans Configuration Manager, version 2103

Informations de redémarrage

Cette mise à jour ne nécessite pas de redémarrage de l’ordinateur.

Informations supplémentaires sur l’installation

Après avoir installé cette mise à jour sur un site principal, les sites secondaires préexistants doivent être mis à jour manuellement. Pour mettre à jour un site secondaire dans la console Configuration Manager, sélectionnez Sitesde configuration>> de site d’administration>Récupérer le site secondaire, puis sélectionnez le site secondaire. Le site principal réinstalle ensuite ce site secondaire à l’aide des fichiers mis à jour. Les configurations et les paramètres du site secondaire ne sont pas affectés par cette réinstallation. Les sites secondaires nouveaux, mis à niveau et réinstallés sous ce site principal reçoivent automatiquement cette mise à jour.

Exécutez la commande SQL Server suivante sur la base de données du site pour vérifier si la version de mise à jour d’un site secondaire correspond à celle de son site principal parent :

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
  • Si la valeur 1 est retournée, le site est à jour, avec tous les correctifs appliqués sur son site principal parent.
  • Si la valeur 0 est retournée, le site n’a pas installé tous les correctifs appliqués au site principal et vous devez utiliser l’option Récupérer le site secondaire pour mettre à jour le site secondaire.

Informations sur le fichier

Les informations sur le fichier sont disponibles dans le fichier texte KB10372804_FileList.txt téléchargeable.

Historique des versions

  • 26 juillet 2021 : Version initiale du correctif logiciel

References

Comment activer BitLocker à l’aide de MBAM dans le cadre d’un déploiement Windows

Mises à jour et maintenance des Configuration Manager