Partager via

Mise à niveau de Microsoft Tunnel pour Microsoft Intune

  • Article

Microsoft Tunnel, une solution de passerelle VPN pour Microsoft Intune, reçoit périodiquement des mises à niveau de logiciel, qui doivent être installées sur les serveurs de tunnel. Pour continuer à bénéficier du support, ces derniers doivent en effet exécuter la dernière version, ou présenter au maximum une version de retard. Les informations contenues dans cet article expliquent :

  • Processus de mise à niveau
  • Contrôles de mise à niveau
  • Rapports d’état que vous pouvez utiliser pour comprendre la version logicielle des serveurs tunnel
  • Quand les mises à niveau sont disponibles
  • Comment contrôler le moment où les mises à niveau se produisent.

Intune gère automatiquement la mise à niveau des serveurs affectés à chaque site de tunnel. Lorsque les mises à niveau du site commencent, tous les serveurs du site sont mis à niveau un par un, ce qui est appelé cycle de mise à niveau. Pendant la mise à niveau d’un serveur, Microsoft Tunnel n’est pas disponible sur ce serveur. Lorsque le site comprend plusieurs serveurs, le fait de les mettre à niveau un à la fois permet de réduire les perturbations pour les utilisateurs.

Le cycle de mise à niveau se déroule ainsi :

  • Intune commence par mettre à niveau l’un des serveurs du site. La mise à niveau peut commencer 10 minutes après la publication de la version.
  • Si un serveur était désactivé, la mise à niveau commence dès qu’il est réactivé.
  • Après une mise à niveau réussie d’un des serveurs d’un site, Intune attend un peu avant de commencer la mise à niveau du suivant.

Contrôles de mise à niveau

Pour mieux contrôler le moment où Intune commence le cycle de mise à niveau, configurez les paramètres suivants sur chaque site, soit lors de la création d’un nouveau site, soit en modifiant les propriétés d’un site existant :

  • Mettre automatiquement à niveau les serveurs sur ce site
  • Limiter les mises à niveau de serveur à une fenêtre de maintenance

Mettre automatiquement à niveau les serveurs sur ce site

Ce paramètre détermine si un cycle de mise à niveau du site peut démarrer automatiquement, ou si un administrateur doit approuver explicitement la mise à niveau pour que le cycle puisse commencer.

  • Oui(valeur par défaut) : lorsque la valeur est Oui, le site met automatiquement à niveau les serveurs dès que possible après la mise à disposition d’une nouvelle version du tunnel. Les mises à niveau commencent sans intervention de l’administrateur.

    Si vous définissez une fenêtre de maintenance pour le site, le cycle de mise à niveau commence entre l’heure de début et l’heure de fin de la fenêtre. Si aucune fenêtre de maintenance n’est définie, il démarre dès que possible.

  • Non : lorsqu’il est défini sur Non, Intune ne met pas à niveau les serveurs tant qu’un administrateur n’a pas choisi explicitement de commencer le cycle de mise à niveau.

    Une fois la mise à niveau approuvée pour un site paramétré avec une fenêtre de maintenance, le cycle de mise à niveau commence entre l’heure de début et l’heure de fin de la fenêtre. Si aucune fenêtre de maintenance n’est définie, il démarre dès que possible.

    Importante

    Quand vous configurez un site pour des mises à niveau manuelles, passez régulièrement en revue l’onglet Contrôle d’intégrité pour savoir quand des versions plus récentes de Microsoft Tunnel sont disponibles et peuvent être installées. Le rapport indique également si la version actuelle du tunnel au niveau du site se trouve hors support.

Limiter les mises à niveau de serveur à une fenêtre de maintenance

Utilisez ce paramètre afin de définir une fenêtre de maintenance pour le site.

Lorsqu’une fenêtre de maintenant est configurée pour le site, le cycle de mise à niveau des serveurs ne peut commencer qu’au cours de cette période. Toutefois, une fois qu’il a démarré, il se poursuit jusqu’à avoir mis à jour un par un tous les serveurs affectés au site.

  • No(default) : aucune fenêtre de maintenance n’est définie. Les sites configurés pour la mise à niveau le font automatiquement dès que possible. Ceux sur lesquels une action explicite est nécessaire pour commencer la mise à niveau le font dès que possible une fois la mise à niveau approuvée.

  • Oui : définissez une fenêtre de maintenance. Elle limite le moment où un cycle de mise à niveau des serveurs peut démarrer sur le site. Elle ne précise pas quand les différents serveurs affectés au site peuvent commencer la mise à niveau.

    Les sites configurés pour la mise à niveau démarrent automatiquement le cycle de mise à niveau uniquement pendant la période configurée. Les sites sur lesquels la mise à niveau doit être approuvée par l’administrateur pour commencer s’exécutent pendant la fenêtre de maintenance suivante une fois la mise à niveau approuvée.

    Quand la valeur est Oui, configurez les options suivantes :

    • Fuseau horaire : le fuseau horaire sélectionné détermine à quel moment la fenêtre de maintenance commence et se termine sur tous les serveurs du site. Le fuseau horaire des différents serveurs n’est pas utilisé.
    • Heure de début : spécifiez l’heure à laquelle le cycle de mise à niveau peut commencer au plus tôt, en fonction du fuseau horaire sélectionné.
    • Heure de fin : spécifiez l’heure à laquelle le cycle de mise à niveau peut se terminer au plus tard, en fonction du fuseau horaire sélectionné. Les cycles de mise à niveau commencés avant continuent à s’exécuter et peuvent se terminer plus tard.

Affichage de l’état du serveur de tunnel

Il est possible d’afficher des informations sur l’état des serveurs Microsoft Tunnel, notamment la version de Microsoft Tunnel sur un serveur.

Pour les sites qui ne prennent pas en charge la mise à niveau automatique, vous pouvez également visualiser le moment où de nouvelles versions sont disponibles.

Connectez-vous à Microsoft Intune centre> d’administration Administration >du locataireMicrosoft Tunnel Gateway>Health status. Sélectionnez un serveur, puis ouvrez l’onglet Contrôle d’intégrité pour afficher les informations suivantes :

  • Version du serveur : état du logiciel du serveur de passerelle Tunnel, dans le contexte de la dernière version disponible.

    • Sain : à jour avec la dernière version logicielle
    • Avertissement : une version de retard
    • Non sain : au moins deux versions de retard, hors support

Lorsqu’un serveur n’exécute pas la dernière version logicielle, prévoyez d’installer une mise à niveau disponible pour que Microsoft Tunnel continue de bénéficier du support.

Approbation des mises à niveau

Les sites dont le paramètre Mettre à niveau automatiquement les serveurs sur ce site est défini sur Non ne mettent pas à niveau automatiquement les serveurs. Il faut qu’un administrateur approuve les mises à niveau des serveurs de ce site pour que le cycle de mise à niveau démarre.

Si vous souhaitez savoir quand une mise à niveau est disponible pour les serveurs, utilisez l’onglet Contrôle d’intégrité pour connaître l’état du serveur.

Procédure d’approbation d’une mise à niveau

  1. Connectez-vous à Microsoft Intune centre> d’administrationAdministration> deslocataires Sitesde passerelle> Microsoft Tunnel.

  2. Sélectionnez le site dont le Type de mise à niveau est Manuel.

  3. Dans les propriétés du site, sélectionnez Mettre à niveau les serveurs.

Une fois que vous avez choisi de mettre à niveau les serveurs, Intune démarre le processus qui ne peut pas être annulé. L’heure de début des mises à niveau sur le site dépend de la configuration des fenêtres de maintenance du site.

Historique des mises à jour de Microsoft Tunnel

Les mises à jour de Microsoft Tunnel sont publiées régulièrement. Quand une nouvelle version est disponible, consultez ici les modifications apportées.

Une mise à jour publiée est déployée sur les locataires au cours des jours suivants. Du fait de ce délai de déploiement, il peut arriver que les nouvelles mises à jour ne soient pas disponibles pour les serveurs de tunnel pendant quelques jours.

La version de Microsoft Tunnel pour un serveur n’est pas disponible dans l’interface utilisateur d’Intune pour l’instant. Exécutez plutôt la commande suivante sur le serveur Linux qui héberge le tunnel pour identifier les valeurs de hachage de agentImageDigest et serverImageDiegest : cat /etc/mstunnel/images_configured

Importante

Les mises en production de conteneurs se produisent par étapes. Si vous remarquez que vos images conteneur ne sont pas les plus récentes, assurez-vous qu’elles seront mises à jour et livrées dans la semaine suivante.

2 octobre 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:7921c2e97217fa17de4ab69396d943e4975d323417b8b813211e2f8b639f64e1

  • serverImageDigest : sha256:0efab5013351bcd81f186973e75ed5d9f91bbe6271e3be481721500f946fc9ec

Modifications apportées à cette version : -Mise à niveau de .NET 6 vers .NET 8

  • Mettre à niveau ocserv vers la version 1.3.0
  • Corriger le bogue de conteneur sans racine dans le programme d’installation

12 septembre 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:17158c73750ff2c7157e979c2f4ff4e175318730c16aa8d0ee6526a969c37c59

  • serverImageDigest : sha256:6484d311d1bd6cbe55d71306595715bafa6a20a000be6fd6f9e530716cef6c16c16

Modifications de cette version :

  • Ajouter des outils de diagnostic pour la résolution des problèmes liés à l’hôte
  • Mettre à niveau l’image Linux Azure vers 2.0.20240829

12 août 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:4d16b1f458c69c3423626906b0b0b577cb42c8d22f4240205299355c6217e08a6b

  • serverImageDigest : sha256:66559e142d489491ca8f090b50f4a444a3394f850a5ec09fb9f3e6f986d93c46

Modifications de cette version :

  • Prise en charge de la personnalisation du registre de conteneurs pendant l’installation
  • Prise en charge de la personnalisation des options de création de conteneur lors de l’installation
  • Mises à jour de sécurité sur l’image de base

20 juin 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:2c700282bbb525ca42c4da0827a62bee6e8079b36572cf777db72810dac3a788

  • serverImageDigest : sha256:5ba3c960be6b9da4569a019fcd57509c25a89106fc689fbf4fe38f0bdb98fbdd

Modifications de cette version :

  • Image de base AL - Utiliser Azure Linux comme image de base pour les conteneurs Tunnel
  • Amélioration des case activée de révocation de certificats

16 mai 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:50b62c1d7f81e2941fc73a09856583ea752fe821e9fef448114fe7e00f90f25a

  • serverImageDigest : sha256 :f6249bc16f90abc9e6fb278c74e07b1c3e295cc0614d38ae20036cee50ff5c56

Modifications de cette version :

  • Conteneurs renforcés en réduisant les fonctionnalités de conteneur au minimum
  • Mises à jour de sécurité sur l’image de base

22 avril 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:987028e043434cabf9a85a8be232a35cb10d6499ab9fa2b0ac33bd214455cdf6

  • serverImageDigest : sha256:95106796faa4648ffe877c1ae4635037fd8bd630498bb3caea366e3c832f84cc

Modifications de cette version :

  • Ajout de la prise en charge des conteneurs Podman sans racine
  • Correction de la commande « mst-cli server capture »
  • Correction de certains échecs de révocation de certificats TLS case activée

14 mars 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256 :a0fa473b477c051445548f9e024cd58b3f87b0a87da7bafdf0d71ad6bb49a7c5

  • serverImageDigest : sha256:5f3f34f3f11a4d45efdd369e86d183cae0fafdd78c9c1d0a9275f26ce64e5510

Modifications de cette version :

  • Correctif de bogue : recréez le dossier /tmp/mstunnel lors de la mise à niveau s’il est manquant.
  • Mettez à jour le serveur VPN OpenConnect vers la version 1.2.3.
  • Améliorations apportées à l’outil de diagnostic.
  • Mises à jour de sécurité sur l’image de base.

1er février 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:845aee9cbe3e4c9bd70b1b8108cd5108e454aff38237b236f75092164c885023

  • serverImageDigest : sha256:6f444d251b56e467b8791201f554b22d1431a135a5f66bc45638cec453e22b47

Modifications de cette version :

  • Correctif de bogue : n’émettez pas la commande « docker network reload » pour réinitialiser le réseau. La commande n’est pas prise en charge sur Docker.
  • Mises à jour de sécurité sur l’image de base.

4 janvier 2024

Valeurs de hachage d’image :

  • agentImageDigest : sha256:9cd55c3f4ea4b4ff8212db46a81a0ceda29c3e9c534226ee4d0ce896bcc32596

  • serverImageDigest : sha256:0389d8c16794cf2f982a955a528b0bbba79b7c7180fd5706f44bb691ca61734d

Modifications de cette version :

  • Correctif de bogue : correctif de conteneur sans racine
  • Gestion mtg pour la demande de chargement de diagnostic et de journal dans la réponse HB

14 novembre 2023

Valeurs de hachage d’image :

  • agentImageDigest : sha256 :fd64c2f2ae3c2f411188a35da65e23385c9124c8f98b3614e0fb6500f59cf485

  • serverImageDigest : sha256:7385c838ed95f3f5fea48a3e277223e4faa502d64205f182cf43740ad4dd9573

Modifications de cette version :

  • Correctif de bogue : Résolution du problème entraînant le blocage du conteneur de serveur MSTunnel dans un état incorrect
  • Appliquer l’utilisation de TLS 1.2 dans les applications agent et mstunnel

4 octobre 2023

Valeurs de hachage d’image :

  • agentImageDigest : sha256:6c19b0aa077692b0d70ede9928f02b135122951708f83655041d0a40e8448039

  • serverImageDigest : sha256:9b477e6bc029d2ebadcafd4db3f516e87f0209b50d44fa2a5933aa7f17e9203b

Modifications de cette version :

  • Correctif de bogue : ajouter des tables NAT héritées pour le conteneur mstunnel-server sur les hôtes Cent OS 7 et Red Hat 7
  • Correctif de bogue : ajout d’une stratégie SELinux pour autoriser le trafic DNS TCP pour les conteneurs sur les hôtes Red Hat
  • Augmenter la limite de conteneur mstunnel-server pid à 10 000

Prochaines étapes

Référence pour Microsoft Tunnel