Windows Autopilot Device Preparation vs Autopilot : quelles différences ?
Autopilot, lancé par Microsoft en 2017 peu de temps après la sortie de Windows 10, avait pour objectif principal de...
Microsoft Connected Cache & Delivery Optimization : optimiser sa bande passante réseau sous Windows
Temps de lecture : 11 mins
Jonathan Fievet
Ingénieur Modern Workplace
Introduction à Microsoft Connected Cache
Certains types de contenu comme les mises à jour de sécurité ou de fonctionnalités Windows, les mises à jour de la suite Microsoft 365, les applications du store Microsoft ou encore les applications Win32 déployées par Intune peuvent parfois contenir des fichiers volumineux.
Le téléchargement de ces contenus peut consommer de la bande passante réseau sur les appareils qui les reçoivent, provoquer des congestions sur les sites/pays où la bande passante Internet peut être faible et ainsi dégrader le service aux utilisateurs finaux.
Pour répondre à ces besoins, Microsoft a sorti avec Windows 10, en 2015 une fonctionnalité appelée Delivery Optimisation. Une fonctionnalité qui vient un peu en remplacement de Branchcache que l’on a pu connaitre à l’époque de Windows 7 / Windows 8.1.
L’objectif principal de cette fonctionnalité est de garantir que les déploiements en cours n’aient pas d’impact sur le réseau de l’entreprise pour garantir un niveau de service optimal à d’autres services comme Microsoft Teams ou autres solutions de visioconférence, par exemple en utilisant un mécanisme de type P2P local.
Nous allons vous donner dans cet article quelques éléments qui vous permettront de définir la meilleure stratégie à adopter.
En parallèle, Microsoft a annoncé ces derniers jours la sortie de « Microsoft Connected Cache » qui vient en complément de Delivery Optimisation.
A lire également : Fin de Windows Server Update Services : quelles sont les alternatives ?
Découverte rapide de Microsoft Connected Cache
Auparavant réservé aux utilisateurs de SCCM (System Center Configuration Manager), Microsoft a annoncé fin octobre une preview publique de Microsoft Connected Cache pour les entreprises utilisant Intune.
La mise en place d’un serveur Microsoft Connected Cache vient en complément de Delivery Optimisation et permet de répondre aux demandes de contenu via Delivery Optimisation via celui-ci, plutôt que de passer par le cloud en sollicitant les serveurs Microsoft.
La fonctionnalité peut être gérée à partir du portail d’administration Azure ou via Azure CLI. Il n’y a aucun surcoût à prévoir pour la partie Azure, le coût viendra juste des ressources matérielles dédiées à vos serveurs.
Elle peut être déployée sur autant de machines virtuelles que nécessaire sur les systèmes d’exploitation suivants : Windows, Windows Server, Linux (Ubuntu ou Red Hat Entreprise) dans votre environnement. C’est vous qui choisissez l’emplacement en fonction du trafic et de la localisation de vos postes de travail. L’idée est qu’il soit proche de la zone à cibler. Le déploiement peut se faire en mono ou multi site.
Microsoft Connected Cache pour entreprise est disponible pour tous les clients Windows Entreprise E3 ou E5.
Vous retrouverez ci-dessous les scénarios et contenus pris en charge par un serveur « Connected Cache ».
| Scénario pris en charge | Contenu pris en charge |
|---|---|
| Préprovisionning Autopilot. | Mises à jour de fonctionnalités et de qualité Windows. Mises à jour de définitions Windows Defender. |
| Clients cogérés par SCCM et Intune pour qui les flux de travail « Windows Update » et « Win32Apps » sont basculés sur Intune. | Installation et mises à jour des applications Microsoft 365 en mode « click to run ». |
| Postes gérés uniquement par Intune only. | Installation et mises à jour d’applications clientes venant d’Intune ou du Microsoft Store. |
On peut remarquer la partie configuration et gestion du serveur « Connected Cache » sur la droite avec une gestion totale via le portail de gestion Azure.
Sur la gauche, la partie « poste de travail » où on peut voir (numéro 5), le poste qui va requêter le serveur Connected Cache pour récupérer son contenu : s’il n’est pas disponible, il ira le chercher sur le CDN Microsoft (numéro 6).
Pour indiquer à vos postes de travail de se référer à un serveur Connected Cache, vous avez juste à indiquer son IP/Nom DNS dans la stratégie Delivery Optimisation.
Pour en savoir plus sur l’installation et la configuration d’un serveur « Microsoft Connected Cache », je vous conseille de suivre ce lien.
Pour finir, les clients Microsoft qui utilisent cette solution ont pu réaliser des économies de plus de 90% de la bande passante sur des scénarios comme une migration vers Windows 11 ou le déploiement des mises à jour de sécurité Windows.
Vous pouvez suivre assez simplement les métriques et les performances de Connected Cache depuis le portail Azure.
La sortie de cette fonctionnalité pourrait permettre à certaines organisations d’entamer la transition vers le modern management et ainsi penser à décommissionner, par exemple, leur infrastructure SCCM.
Découverte rapide de Delivery Optimisation
Delivery Optimisation est une fonctionnalité de base de Windows 10 et Windows 11 conçue notamment pour améliorer l’efficacité du téléchargement de contenu comme les mises à jour Windows qui peuvent être parfois volumineuses, même si Microsoft a travaillé ces dernières années pour en réduire le poids.
Comme annoncé un peu plus haut, l’objectif principal de cette fonctionnalité est de réduire la consommation de bande passante en permettant aux postes de travail présents au sein de votre réseau d’entreprise de télécharger le contenu Microsoft à partir d’autres sources qu’Internet : les postes de travail du même réseau local ou via un serveur « Microsoft Connected Cache » dédié comme annoncé plus haut.
Il permet également d’accroitre la vitesse de téléchargement en téléchargeant le contenu depuis plusieurs sources en simultané (exemple : plusieurs postes de travail). Le tout dans un environnement sécurisé (vérification de l’authenticité / utilisation de hash), l’authenticité est vérifiée lors du téléchargement et juste avant l’installation.
Delivery Optimisation ne peut pas être utilisée pour télécharger ou envoyer du contenu personnel. Aussi, aucun accès aux fichiers ou dossiers personnels des utilisateurs n’est possible.
Pour finir, la configuration de cette fonctionnalité se fait de manière simple et reste flexible pour répondre aux besoins de votre environnement. Il existe également de nombreux moyens pour monitorer l’économie de bande passante réalisée suite à la mise en place de Delivery Optimisation.
Eléments à prendre en compte lors de l’élaboration d’une stratégie Delivery Optimisation
1. Réseau
Selon votre environnement réseau (proxy / firewall), des ajustements seront nécessaires afin d’autoriser le service à fonctionner de manière optimale.
- Côté Firewall : Des ouvertures de flux vers les URL du service sont nécessaires, notamment vers ces URL
- Delivery Optimisation utilise le port 7680 pour la communication, il faudra s’assurer que ce port ne soit pas bloqué sur le firewall de vos postes de travail.
- Coté proxy : Si votre organisation utilise un proxy Cloud (Type Zscaler), il est recommandé de mettre un bypass au moins sur l’URL * .prod.do.dsp.mp.microsoft.com (Par exemple dans un proxy pac Zscaler, ajouter ceci pour le bypass : shExpMatch(host, « *.prod.do.dsp.mp.microsoft.com »)).
2. Topologie
Selon votre environnement, il vous faudra définir la meilleure configuration à appliquer. Notamment au niveau du « Download Mode » (cela sert à déterminer la méthode de téléchargement que les clients sont autorisés à utiliser).
Les deux modes les plus couramment utilisés sont le 1 et 2, si vous utilisez le mode 2 (Peering http across private group), il vous faudra définir un « Group ID Source », c’est ce qui permettra de grouper vos périphériques par un critère qui peut être un site AD ou une option DHCP. Les postes téléchargeront leurs sources dans ce groupe spécifique.
Par exemple, pour utiliser les options DHCP, sur un site spécifique, il vous faudra créer un GUID et distribuer ce GUID via l’option 234 de votre serveur DHCP. On pourrait donc imaginer la création d’un GUID pour chaque site et donc répartir les groupes ainsi.
La configuration de votre profil ressemblerait donc à ceci :
À savoir que, par défaut et recommandé par Microsoft, Delivery Optimisation est désactivée lorsqu’un utilisateur se connecte à travers un réseau VPN. Il est possible au travers de la configuration de forcer la désactivation ou de l’activer malgré tout si nécessaire.
3. Performances du système
D’autres critères sont également à prendre en compte comme :
- Le minimum d’espace disque disponible pour utiliser Delivery Optimisation
- Le minimum de mémoire RAM disponible
- La taille du cache réservé à Delivery Optimisation
- Définir une stratégie d’optimisation de la bande passante (en % ou en vitesse)
Vous retrouverez dans ce lien Microsoft, un guide de référence sur tout le paramétrage disponible sur cette fonctionnalité.
Surveillance et monitoring
La mise en place des rapports Windows Update for Business vous permet d’avoir une vision complète sur l’efficacité de Delivery Optimisation.
Il existe aussi quelques cmdlet Powershell comme Get-DeliveryOptimizationStatus qui vous permettent sur un poste de monitorer en temps réel le nombre de données envoyées et reçues.
Pourquoi combiner Microsoft Connected Cache et Delivery Optimisation ?
La mise en place conjointe de Microsoft Connected Cache et de Delivery Optimisation peut permettre à une organisation d’économiser une énorme partie de bande passante (les premiers retours vont de l’ordre de 90 à 95%). Imaginez cela à une plus large échelle, cela peut changer la donne.
Selon les besoins, la mise en place uniquement de Delivery Optimisation peut couvrir une bonne partie des besoins et ainsi permettre d’optimiser les performances de votre réseau.
La gestion et la mise en place de l’une et/ou l’autre des fonctionnalités se fait assez rapidement pour des résultats immédiats. On ne peut pas imaginer le volume de données qui transitent par nos postes de travail entre les déploiements applicatifs, les mises à jour des applications Windows ou autres.