Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, SCOM, SCSM, App-V, MDOP, Azure ...)
    • 16/8/2017

    [Intune] Précision sur le nœud Discovered Apps

    L’équipe Intune a publié un billet pour préciser le comportement des informations affichées dans le portail Microsoft Intune dans Microsoft Azure et notamment les applications découvertes/inventoriées. La vue Discovered Apps présente sur chaque périphérique enregistré dans Microsoft Intune offre une vision des applications renvoyées lors du dernier inventaire matériel avec :

    • Les applications déployées par Microsoft Intune uniquement si le périphérique est marqué comme Personal
    • Toutes les applications si le périphérique est marqué comme Corporate.

    Sachez que l’inventaire est réalisé tous les 7 jours et la liste des applications peut ne pas refléter la réalité à la date de visualisation.

    Source : https://blogs.technet.microsoft.com/intunesupport/2017/07/17/discovered-apps-node-in-microsoft-intune-on-azure-console/

    • 15/8/2017

    [SCCM CB] Un script pour créer des objets de configuration (Cis) à partir des stratégies de groupe (GPO)

    Sam Roberts (MSFT) a créé un script permettant de transformer des paramétrages configurés dans des stratégies de groupe (GPO) en objets de configuration (Cis) dans System Center Configuration Manager. Son script peut vous faire gagner beaucoup de temps si vous souhaitez convertir les GPOs compatibles en Configuration Items afin de configurer les clés de registre associées.

    Le script utilise les modules Configuration Manager et Active Directory pour se connecter et voir les clés de registre associées aux stratégies de groupes et créer les objets de configuration. Il prend en paramétres :

    • GroupPolicy [Optionnel] : Permet de sélectionner une seule stratégie de groupes
    • GpoTarget [Requis à moins que ResultantSetOfPolicy soit utilisée] : Nom de la stratégie de groupe
    • ResultantSetOfPolicy [Optionnel] – Utilise un résultat de stratégie de groupe
    • ComputerName [Requis avec ResultantSetOfPolicy] : Nom du système utilisé pour exécuter le RSOP.
    • DomainTarget [Requis] – Nom domaine pleinement qualifié (FQDN)
    • SiteCode [Requis] - ConfigMgr site code
    • Remediate [Optionnel] – Active la remédiation sur les objets de configuration.
    • Severity [Optionnel] – Configure la sévérité des objets de configuration.  (None, Informational, Warning or Critical)
    • ExportOnly [Optionnel] – Export les objets de configuration dans un CAB pour les importer manuellement.

    Exemples :

    • .\Convert-GPOtoCI.ps1 -GpoTarget "Windows 10 Settings" -DomainTarget contoso.com -SiteCode T01
    • .\Convert-GPOtoCI.ps1 -GpoTarget "Windows 10 Settings" -DomainTarget contoso.com -SiteCode T01 -Remediate

    Plus d’informations sur : https://blogs.technet.microsoft.com/samroberts/2017/06/19/create-configmgr-configuration-items-from-group-policy-object/

    Télécharger le script Convert-GPOtoCI_1.2.1

    • 14/8/2017

    [Intune] Changement sur l’application Microsoft Intune Software Publisher (MISPA) pour les partenaires

    Pour les entreprises qui utilisent encore l’ancien portail Silverlight de Microsoft Intune, Microsoft va opérer un changement sur l’application Microsoft Intune Software Publisher (MISPA). Cette dernière permet d’ajouter des applications. Le changement concerne les partenaires qui géreraient plusieurs tenants. Auparavant, l’application permettait de choisir le tenant cible. A partir de Septembre 2017, les partenaires ne pourront plus voir la liste des tenants auxquels ils peuvent ajouter des applications.

    Cette application est encore nécessaire :

    • Un tenant n’a pas été migré vers le portail Azure.
    • Un tenant a été migré mais vous devez toujours publier des applications pour des PC gérés avec le client Intune.

    Dans ces deux cas de figure, le partenaire devra se connecter sur le portail Silverlight spécifiquement dans le tenant du client.

    • 13/8/2017

    [Windows 10 1703] Les améliorations apportées à la pile réseau dans la Creators update

    L’équipe Networking a publié un billet pour détailler les améliorations apportées à la pile réseau dans Windows 10 1703 (Creators Update).

    Sur la partie TCP, on retrouve :

    • Support et mise à jour de TCP Fast Open (TFO)
    • Support expérimental de l’algorithme de contrôle de la congestion High Speed Cubic
    • Amélioration de TCP autotuning logic.
    • Nouvelle API SIO_TCP_INFO permettant aux développeurs de requêter des informations sur les connexions TCP en utilisant une option socket.

    Sur la partie IPv6, on retrouve :

    • Support de la RFC 6106
    • Configuration des labels Flow
    • ISATAP et 6to4 sont désactivés par défaut
    • Support amélioré de 464XLAT

    Sur les configurations à plusieurs interfaces, on retrouve :

    • Amélioration de l’algorithme Dead Gateway Detection (DGD) utilisé pour passer d’une gateway à l’autre.
    • Intégration de Fast connection teardown permettant de donner l’ordre à la couche de transport de Windows d’opérer une transition rapide.
    • Amélioration des diagnostics avec la commande Test-NetConnection.

    Plus d’informations sur : https://blogs.technet.microsoft.com/networking/2017/07/13/core-network-stack-features-in-the-creators-update-for-windows-10/

    • 12/8/2017

    Une application de diagnostic des Microsoft Surface

    Microsoft a publié une nouvelle version de l’application permettant de réaliser un diagnostic des Microsoft Surface. Cette application est disponible dans le Windows Store et est à destination de tous les périphériques Surface récents (Surface Pro 3, Surface Pro 4, Surface Book, Surface Laptop, etc.).

    L’application réalise notamment les vérifications suivantes :

    • Vérification de la version courante de Windows utilisée
    • Vérification des drivers installés
    • Vérification des mises à jour de système d’exploitation
    • Vérification et détection du tactile multipoints

    Télécharger Surface Diagnostic Toolkit dans le Windows Store

    • 11/8/2017

    De nouvelles solutions Software Defined pour Windows Server

    Microsoft a annoncé que trois nouveaux types de solutions de type software-defined datacenter allaient être proposés par les partenaires concernant Windows Server. On retrouve notamment DataON, Fujitsu, HPE, Lenovo, QCT, et Supermicro. Ces solutions hyper convergées permettant de déployer plus facilement et rapidement du calcul, du stockage et du réseau dans les datacenters.

    On retrouve :

    • Hyper-Converged Infrastructure (HCI) Standard : Les calculs et le stockage hautement virtualisés sont combinés dans le même cluster, ce qui les rend plus faciles à déployer, à gérer et à mettre à l'échelle.
    • Hyper-Converged Infrastructure (HCI) Premium : Un «software-defined datacenter in a box» comprend des fonctionnalités de sécurité et de mise en réseau définies par logiciel pour HCI Standard.
    • Software-Defined Storage (SDS): Construit sur des clusters de noeuds de serveurs, cette solution de stockage partagée remplace le périphérique de stockage externe traditionnel à un coût beaucoup plus faible, tandis que le support pour les lecteurs NVMe offre des performances inégalées.

    Plus d’informations sur : Datacenter efficiency gets easier with new Windows Server Software Defined partner solutions.

    • 10/8/2017

    L’importance de la télémétrie dans la construction d’un service

    Je n’ai pas l’habitude d’encenser un discours mais Brad Anderson (VP Corporate Enterprise Mobility) revient sur le changement de mentalité opéré chez Microsoft pour construire les produits sur l’usage et l’expérience. C’est selon moi un élément essentiel qui démontre aujourd’hui le changement d’avis des entreprises et utilisateurs sur Microsoft. Cette transformation initiée par Satya Nadella est en partie dû à l’arrivée du Cloud.

    La télémétrie est souvent vue comme un élément négatif, d’intrusion dans la vie privée. Cette image véhiculée par l’utilisation parfois malsaine d’autres leaders du secteur, a mis du plomb dans l’aile à la philosophie. Pourtant depuis que Microsoft a introduit de la télémétrie, on retrouve clairement des produits plus adaptés. Microsoft développait auparavant des fonctionnalités sans savoir le taux d’adoption, les problèmes, etc. Les seuls retours pouvaient être faits par la communautés, les entreprises embarqués dans des programmes TAP, etc. On retrouvait aussi des produits largement achetés ou acquis par le biais de bundles mais qui n’ont jamais été déployés en entreprise.

    La transformation globale force les commerciaux de Microsoft à s’attacher à non plus vendre mais faire adopter les services. Ainsi avec une telle stratégie qui part des équipes de développement jusqu’aux équipes de vente, Microsoft a pu voir 2 millions de licences Intune supplémentaires activées et utilisées sur le seul mois de Juin 2017. Brad Anderson explique ainsi que l’usage de la gestion des périphériques (Microsoft Intune) va grossir de 150% dans les prochains mois. La suite EMS a subi une augmentation de 57% sur la dernière année avec 52 000 nouvelles entreprises.

    Pour plus d’informations sur cette transformation, je vous invite à lire : Our Obsession with Usage and Customer Experience

    • 9/8/2017

    Support de Windows Information Protection (WIP) par Office 365 ProPlus (C2R)

    Microsoft vient de sortir la current channel Version 1707 (Build 8326.2059) de la version Click-To-Run (C2R) du client Office 365 ProPlus apportant le support de la fonctionnalité Windows Information Protection (WIP) de Windows 10.

    Avant ce support, il était possible de définir Office comme application gérée via WIP mais tous les mécanismes n’étaient pas totalement gérés. Ceci inclut notamment la notion de multi-identités, etc. Le client Office 365 ProPlus est maintenant une Microsoft enlightened apps.

    Avec l’arrivée de Windows 10 1607, Microsoft introduit une protection de la donnée sur le système entre les applications. Windows Information Protection (WIP) ancienne Enterprise Data Protection (EDP) est intégré dans le système et permet la protection de n’importe qu’elles applications Win32 et universelles. Avec Windows 10 1703, il est même possible de faire de la protection d’applications mobiles sans enregistrement à une solution d’administration telle que Microsoft Intune.

    Cette technologie permet de définir une liste d’applications comme étant de la sphère entreprise afin que les données qui soient générées puissent être chiffrées par EFS. En outre, cela permet à l’administrateur d’appliquer des stratégies pour contrôler les échanges (copier/coller, etc.) ou la sauvegarde des données dans des emplacements définis par l’administrateur. Cette technologie limite par exemple l’extraction de données lorsque l’employé quitte l’entreprise.

    • 8/8/2017

    Une mise à jour à destination des utilisateurs de déduplication dans Windows Server 2016

    Microsoft a publié une mise à jour visant à empêcher une corruption de données critique avec les fichiers SPARSE NTFS dans Windows Server 2016. Ceci survient avec la déduplication de données (Data Déduplication). Le problème survient parce qu’NETFS supprime incorrectement des clusters en cours d’utilisation par le fichier et il n’y a pas de capacité d’identifier quels clusters ont été retirés incorrectement. La KB est en téléchargement séparé pour l’instant mais sera intégré dans le Patch Tuesday d’Août 2017.

    Malheureusement la mise à jour ne corrige pas les problèmes sur des corruptions existantes. La corruption est particulièrement difficile à détecter puisque silencieuse. Elle n’est pas détectée par le job weekly Dedup integrity scrubbing. La mise à jour inclut un changement sur chkdsk pour détecter et identifier les fichiers corrompus.

    Télécharger la KB4025334

    Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2017/07/20/windows-server-2016-ntfs-sparse-filedata-deduplication-users-please-install-kb4025334/

    • 7/8/2017

    [Intune] Un bug touche l’écran Device OS Counts

    L’équipe Intune a publié un billet pour expliquer qu’un bug a été détecté sur le tableau de bord principal de la console Microsoft Intune dans le portail Azure. En effet les informations entre les enregistrements et le diagramme Device OS Distribution présent dans la partie Devices, ne sont pas consistantes. Vous pourrez par exemple observer plus de périphérique sur le diagramme que ce qui est effectivement enregistré dans la solution. Microsoft travaille sur un correctif dans les prochaines semaines.

    En attend, l’équipe recommande l’utilisation du graphique Enrollment OS Distribution de la partie Device enrollment.

    Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/07/27/known-issue-device-os-counts-in-the-intune-on-azure-console/

    • 7/8/2017

    [Windows Server 2016] Microsoft répond à vos questions sur Windows Server 2016

    L’équipe Windows Server va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 8 août de 19h à 20h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows Server 2016 avec une réponse directe. Les sujets suivants seront abordés :

    • Bloquer le Pass-the-Hash et d'autres tentatives pour compromettre les informations d'identification de l'administrateur.
    • Empêcher le malware et le ransomware d'être injectés sur des serveurs.
    • Identifier rapidement les comportements qui indiquent une violation du serveur.
    • Extension de la protection qui existe pour les serveurs physiques aux machines virtuelles

    Pour s’inscrire : https://aka.ms/windows-server-security-ama/invite.

    Source : https://blogs.technet.microsoft.com/windowsserver/2017/08/03/join-our-ama-ask-microsoft-anything-about-windows-server-security/

    • 6/8/2017

    [Intune] L’équipe OneNote publie la version bêta de l’application pour Android avec les capacités MAM

    L’équipe OneNote a publié la version bêta de l’application Android avec les capacités permettant de supporter :

    1. La gestion de l’application mobile (MAM)
    2. Le Multi-identité pour appliquer les stratégies
    3. L’accès conditionnel avec MAM (MAM CA)

    Microsoft a déjà fourni ces capacités pour la version iOS avec la publication de la version 16.3.

    Pour tester cette version :

    1. Cliquez sur le lien et acceptez de devenir testeur.
    2. Téléchargez et mettez à jour la version Beta depuis le Google Play Store (Il peut se passer plusieurs heures avant que vous ayez accès à la version).
    3. Fournissez des retours en postant sur le forum.
    • 6/8/2017

    [Windows 10 1709] Les fonctionnalités dépréciées ou supprimées de Windows 10 Fall Creators Update

    Microsoft a publié un article dans la base de connaissances à propos des fonctionnalités qui seront dépréciées ou supprimées de Windows 10 1709 (Fall Creators Update). Les éléments les plus importants concernent EMET, PowerShell 2.0 et Windows Hello for Business avec SCCM.

    Parmi les éléments supprimés, on retrouve :

    • L’application 3D Builder qui sera toujours proposées au travers le Windows Store mais pas inclues nativement. Microsoft recommande l’usage de Paint 3D.
    • La base de données Apndatabase.xml
    • L’outil Enhanced Mitigation Experience Toolkit (EMET) dont l’usage sera bloqué et remplacé par Windows Defender Exploit Guard.
    • Outlook Express: Le code n’était déjà plus fonctionnel mais Microsoft le retire définitivement.
    • L’application Reader qui permettait de lire des PDFs. Cette fonctionnalité est directement intégrée dans Microsoft Edge.
    • L’application Reading List qui permettait de gérer des listes de lecture. Cette fonctionnalité est directement intégrée dans Microsoft Edge.
    • La fonctionnalité Ecran de veille dans les thèmes.
    • Suppression du composant Syskey.exe qui une fonctionnalité de sécurité non sécurisée. Microsoft recommande l’usage de BitLocker.
    • Suppression du code TCP Offload Engine qui a été transformé vers Stack TCP Engine.
    • Tile Data Layer est remplacée par Tile Store.
    • La console de gestion Trusted Platform Module (TPM) Owner Password Management sera supprimée.

     

    Microsoft déprécie les suivantes ; c’est-à-dire qui pourront ne plus être proposés dans les versions prochaines :

    • IIS 6 Management Compatibility: Microsoft recommande l’usage d’outils de scripting alternatifs ou la nouvelle console de gestion.
    • IIS Digest Authentication
    • Le chiffrement RSA/AES pour IIS : Microsoft recommande l’utilisation du CNG encryption provider.
    • Microsoft Paint : Il y a eu une levée de bouclier de la part de la communauté mais comme souvent ceci est issu d’une erreur de communication. Microsoft Paint ne sera plus natif dans le système mais proposé dans le Windows Store. Microsoft intègre à la place Paint 3D
    • Sync your Settings : Le processus de synchronisation actuel est déprécié. Dans une version future, le même système de stockage cloud pour la synchronisation sera utilisé pour les utilisateurs de l’Enterprise State Roaming et tous les autres utilisateurs.
    • La fonctionnalité Ecran de veille dans les stratégies de groupes, le panneau de configuration et sysprep est dépréciée mais toujours fonctionnelle. Microsoft recommande l’usage de la fontionnalité Locksreen.
    • La solution System Image Backup est dépréciée et Microsoft recommande l’usage des solutions de sauvegarde complète de disque d’autres vendeurs.
    • TLS RC4 Ciphers sera désactivé par défaut.
    • Les consoles TPM.msc et TPM Remote Management seront remplacées par une nouvelle interface dans le future.
    • Dépréciation de Windows PowerShell 2.0: Les applications et composants doivent être migrés vers PowerShell 5.0 ou plus.
    • Le déploiement de Windows Hello for Business avec System Center Configuration Manager. Ceci permettait la configuration et la distribution des certificats nécessaires à Windows Hello for Business pour fonctionner. Ce mode comportait beaucoup de dépendances complexes comme NDES, SCCM, etc. La rapidité et la fiabilité du processus était relative pour qu’une nouvelle machine obtienne la configuration adéquate. Il fallait installer le client, attendre le téléchargement et l’évaluation des stratégies avant que le PIN soit configuré et les certificats enregistrés. Microsoft déprécie ce mode de déploiement au profit de Windows Server 2016 Active Directory Federation Services – Registration Authority (ADFS RA). Ce mode de déploiement restera privilégié pour les machines jointes à Azure Active Directory et gérées avec Microsoft Intune.

    Plus d’informations sur : https://support.microsoft.com/en-us/help/4034825/features-that-are-removed-or-deprecated-in-windows-10-fall-creators-up

    • 5/8/2017

    [Windows 10] Confirmation de la nouvelle nomenclature de Windows as-a-Service

    Il y a deux mois, Microsoft annonçait une adaptation du modèle as-a-service comprenant les annonces suivantes :

    • Microsoft a introduit un cycle de vie prédéfini, fixe et commun à Windows 10 et au client Office 365 ProPlus. Ainsi, on retrouvera des versions de Windows 10 et du client Office 365 ProPlus, deux fois par an en Mars et Septembre.
    • Chaque version de Windows 10, du client Office 365 Pro Plus sera supportée pour une durée de 18 mois à la date de publication. Ceci inclut 4 mois en version Semi-annual Channel (Pilot) (Ex : Current Branch) et 12 mois en version Semi-annual Channel (Broad) (Ex : Current Branch for Business/Deferred Channel).
    • Microsoft a annoncé des optimisations sur la taille des mises à jour de fonctionnalités (Build) avec notamment Express Updates (inclus dans Configuration Manager).
    • Enfin concernant le service Office 365 en lui-même, Microsoft requiert l'utilisation d'Office 365 ProPlus ou d'une version perpétuelle d'Office en cours de support principal pour se connecter aux services Office 365.

    Michael Niehaus annonce dans son billet que la prochaine version de Windows 10 LTSC arrivera en 2019.

    Microsoft confirme cette fois les éléments suivants :

    Ancien nom Windows 10

    Ancien nom Office 365

    Nouveau nom Windows 10/Office 365

     

    Current Channel

    Monthly Channel

    Current Branch

    First Release for Deferred Channel

    Semi-annual Channel (Pilot)

    Current Branch for Business

    Deferred Channel

    Semi-annual Channel (Broad)

    Long-Term Servicing Branch

    Long-Term Servicing Channel (LTSC)

     

    Voici un résumé en vidéo :