Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, SCOM, SCSM, App-V, MDOP, Azure ...)
    • 24/5/2017

    [Windows 10 1703] Provisionner une machine (sans remasteriser) en nettoyant les applications OEM par défaut

    Avec l’arrivée de Windows 10, Microsoft proposait une nouvelle approche visant à provisionner les machines. Le but est de ne pas redéployer une image de référence et ainsi de s’affranchir de son maintien et de la gestion des drivers associés. Ceci a plusieurs bénéfices notamment avec le cycle de vie rapide de Windows 10 qui requiert de l’agilité. En outre, il permet considérablement de réduire les coûts puisqu’on s’affranchit du déploiement avec un système et des drivers à jour proposés par le fabricant OEM. Ainsi, on peut faire livrer la machine directement à l’utilisateur qui s’enregistre dans la solution d’administration afin de venir provisionner l’ensemble des éléments nécessaires à l’accès aux ressources de l’entreprise.

    La principale problématique réside dans le fait que les machines livrées par les fabricants OEM, disposent d’une série d’applications. Si vous prenez des machines du grand public, on retrouve des logiciels sponsorisés (Antivirus, outil de sauvegarde, etc.). Lorsque vous prenez des fabricants avec des séries professionnels, le nombre d’applications est limitées (logiciels éditeurs, etc.) mais toujours bien présentes. Certains fabricants (Dell, Lenovo, HP) proposent un programme Signature qui permet l’achat de machine avec l’image par défaut de Windows 10. Ce programme très intéressant se paye néanmoins.

    L’usage du scénario de provisionnement et des méthodes de gestion moderne avec les packages de provisionneIment ou des produits d’administration modernes (tels que Microsoft Intune) demandait de vivre avec ces surcouches ou de scripter l’ensemble des désinstallations. Ceci n’était pas sans limitation et limité donc la solution à un périmètre de périphérique bien défini.

    A partir de Windows 10 1703 (Creators Update), Microsoft a intégré un Configuration Service Provider (CSP) permettant d’initier un nettoyage des applications préinstallées sur le système. Ceci permet considérablement d’améliorer le scénario de provisionnement décrit précédemment.

    Il existe plusieurs méthodes permettant d’enclancher ce mécanisme :

    • Manuellement en mode de démarrage avancé, l’utilisateur peut alors lancer le nettoyage de la machine.
    • Via l’exécution de la méthode adéquate sur le CSP lorsque l’ordinateur est géré de manière moderne (MDM).
    • Via l’utilisation d’un package de provisionnement créé avec Windows Configuration Designer.

    Cet article s’attache à détailler les deux dernières méthodes et l’expérience utilisateur associée.

    Prenons une machine (HP dans cet exemple) fraichement sortie du carton après réception du fabricant. On retrouve tous les outils du fabricant ainsi que certains logiciels préinstallés (comme la suite Office).

     

    Utilisation de Windows Configuration Designer

    Commencez par vous procurer l’outil Windows Configuration Designer. Ce dernier peut être téléchargé à partir du Windows Store si vous utilisez une version anglaise du système d’exploitation ou pour les autres langues à partir de l’ADK Windows 10 (version 1703 ou plus).

    Lancez l’outil et procéder à la création d’un package de provisionnement avec le scénario Advanced Provisioning. Renseignez le nom d’un projet et sélectionnez le mode de configuration All Windows desktop editions.
    Dans la partie Available customizations, naviguez dans Runtime settings – CleanPC. Vous pouvez aussi directement chercher le mot clé clean. Vous retrouvez alors deux options :

    • CleanPCRetainingUserData permet de lancer le nettoyage des applications tout en gardant les applications.
    • CleanPCWithoutRetainingUserData permet de lancer le nettoyage des applications sans garder les applications.

    Activez un des deux paramétrages et procédez à l’export du package.

    Bien entendu, vous pouvez compléter le package avec d’autres configurations (jointure à AAD ou AD, etc.)

    Note : On retrouve le paramétrage via les assistants prédéfinis Provision desktop devices et plus particulièrement dans la première page Set up devices puis Remove pre-installed software. L’utilisation de ce mode n’offre que le scénario de nettoyage sans garder les données utilisateurs.

     

    Expérience Utilisateur

    Vous pouvez ensuite communiquer le package de provisionnement généré à un technicien ou à l’utilisateur final pour qu’il le charge directement sur la machine fraichement démarrée.

    La machine redémarre ensuite et une procédure de réinitialisation s’exécute pendant une vingtaine de minutes.

    Utilisation de Microsoft Intune

    Pour accéder à la fonctionnalité, la machine doit bien entendu être gérée avec Microsoft Intune. Vous devez ouvrir le portail d'administration Microsoft Intune dans Azure et naviguez dans Devices - All Devices.

    Sélectionnez le périphérique puis dans la partie Overview, faites More et choisissez Fresh Start.

    Expérience utilisateur finale

    A l’issue du démarrage, on retrouve un système nettoyé :

     

    Un fichier est généré sur le bureau pour lister les applications qui ont été retirées par le processus.

    • 24/5/2017

    [Windows 10 1703] Désactiver l’avis de publication de la Creators Update

    Vous l’avez peut-être remarqué, Microsoft a mis un encart dans la partie Paramétrages (Settings) – Updates and Security de Windows 10 pour annoncer l’arrivée de Windows 10 1703 (Creators Update).

    Vous pouvez désactiver cette annonce en créant la valeur de registre suivante :

    • Chemin : HKLM\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings\
    • Nom de la valeur : HideMCTLink
    • Type : Reg_DWORD
    • Valeur : 1 (pour désactiver)
    • 23/5/2017

    [MDT] La TPM est en mode réduit après le déploiement de Windows 10

    Microsoft a publié un article dans la base de connaissances concernant Microsoft Deployment Toolkit (MDT) et le déploiement de Windows 10. Le problème survient dans le scénario suivant :

    • Vous utilisez n’importe quelle version de MDT qui supporte le déploiement de Windows 10.
    • Vous utilisez l’étape "Enable BitLocker (offline)" via le script ZTIBDE.wsf pour préprovisionner BitLocker dans Windows PE lors du groupe Preinstall.
    • Le déploiement s’effectue correctement.

    Dans ce scénario, la puce TPM est dans mode de fonctionnalité réduit. L’utilisation de la console de gestion TPM (TPM.Msc) renvoie notamment l’erreur suivante :

    The TPM is ready for use, with reduced functionality. Information Flags: 0x900
    The TPM owner authorization is not properly stored in the registry.
    Windows's registry information about the TPM's Storage Root Key does not match the TPM Storage Root Key or is missing.

    Ce problème survient à cause de la function TpmValidate du script ZTIBDE.wsf qui prend l’appartenance sur la puce TPM alors que ceci n’est pas nécessaire dans Windows PE. Dans ce cas, la puce TPM n’a pas les bons paramètres que Windows peut comprendre. De ce fait, les hiérarchies de clé sont désactivées et rendues indisponibles à Windows.

    Pour contourner le problème (tant que Microsoft n’a pas publié une nouvelle version de MDT), vous devez ajouter la commande suivante au script ZTIBDE.wsf au début de la section Function Main :

    reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

    Note : Vous pouvez aussi ne pas préprovisionner BitLocker et attendre que le système soit déployé. Dans ce scénario, le déploiement est plus long.

    Pour les périphériques déjà déployés en mode réduit, la TPM doit être réinitialisée avec la section « Clear all the keys from the TPM » de la documentation : View status, clear, or troubleshoot the TPM.

    Source : https://support.microsoft.com/en-us/help/4018657/tpm-is-in-reduced-functionality-mode-after-successful-deployment-of-wi

    • 23/5/2017

    [OSD/SCCM/MDT] Solution de contournement pour le problème de drivers non signé de l’ADK 1703

    Michael Niehaus (MSFT) a publié une solution pour contourner le problème qui touche Windows Assessment and Deployment Kit (ADK) de Windows 10 1703. En effet, lorsqu’il est installé sur Windows 10 ou Windows Server 2016 et si vous utilisez le Secure Boot, une erreur est remontée car le driver WIMMOUNT utilisé par l’ADK n’est pas correctement signé. Le problème peut être rencontré si vous utilisez l’ADK en ligne de commande, via Microsoft Deployment Toolkit (MDT) ou via System Center Configuration Manager (SCCM).

    Microsoft travaille sur le moyen de publier une version signée du driver. En attendant, Michael a publié une solution de contournement qui revient à changer la configuration pour utiliser le driver par défaut du système. Pour cela, suivez la procédure suivante :

    • Ouvrez Regedit
    • Naviguez dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIMMount
    • Editez la valeur ImagePath en system32\drivers\wimmount.sys.

    Source : https://blogs.technet.microsoft.com/mniehaus/2017/05/16/quick-workaround-for-adk-1703-issue/

    • 22/5/2017

    [SCCM/Intune] Enregistrer dans Azure AD et Microsoft Intune pour installer le client SCCM

    Le titre peut paraître saugrenu étant donné que l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine dans Azure Active Directory est un mode de gestion moderne. Le but est bien d’utiliser un mode d’enregistrement fait par l’utilisateur pour intégrer automatiquement la machine dans une solution de gestion de périphériques mobiles et transformer le mode de gestion en traditionnel via l’installation du client Configuration Manager. Voici le processus :

    1. L’utilisateur joint sa machine à Azure Active Directory et/ou Microsoft Intune.
    2. La machine Windows 10 s’enregistre dans Configuration Manager comme un périphérique mobile.
    3. L’administrateur déploie automatiquement le client Configuration Manager.

    Cette opération peut se faire dans deux modes :

    • Interne au réseau : La machine cliente doit avoir un accès à Internet et se situer sur le réseau de l’entreprise pour récupérer les sources et effectuer l’enregistrement
    • Externe au réseau : La machine cliente doit avoir un accès à Internet et vous devez avoir les infrastructures adéquates Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ. En outre, vous devez déployer le certificat provenant de votre PKI sur la machine cliente.

    A date d’écriture de cet article (Avril 2017), une machine ne peut pas être gérée à la fois via Microsoft Intune et via System Center Configuration Manager. L’installation du client ConfigMgr initie automatiquement le retrait du périphérique de Microsoft Intune.

    L’intérêt ici est de faire réaliser l’intégration au Système d’Information par l’utilisateur (concept issu de la gestion moderne) tout en bénéficiant des fonctionnalités de gestion traditionnelle (déploiement de système d’exploitation, etc.). Ceci peut avoir un intérêt si vous pensez que la gestion moderne reste encore trop légère par rapport à vos besoins d’administration.

    DISCLAIMER : Notez que la méthode décrite ici n’est pas du tout la direction que prend Microsoft. La gestion moderne s’enrichie très rapidement et le but n’est pas de mixer les usages.

    Prérequis :

    Avant de continuer cet article, vous devez valider les prérequis suivants :

    • Disposer d’une infrastructure System Center Configuration Manager Current Branch fonctionnelle.
    • Avoir configuré un abonnement Microsoft Intune
    • Disposer des licences Azure AD Premium si vous souhaitez faire l’enregistrement automatique dans Microsoft Intune lors de la jointure à Azure Active Directory.
    • Autoriser la gestion des périphériques Windows sur l’abonnement Microsoft Intune
    • Valider les prérequis de gestion moderne des périphériques Windows (Création des enregistrements DNS CNAME, etc.)
    • La machine cliente Windows 10 doit avoir un accès à Internet.
    • Si vous faites l’opération depuis l’extérieur de l’entreprise, vous devez avoir :
      • Les infrastructures adéquates : Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ
      • Déployer le certificat provenant de votre PKI sur la machine cliente

     

    Création de la collection

    Commencez par ouvrir la console d’administration et créer une collection de périphériques limitée à la collection All Mobile Devices (ou une collection similaire) avec la requête suivante afin de regrouper toutes les machines Windows 10 enregistrées dans Microsoft Intune :

    Select * from SMS_R_SYSTEM WHERE SMS_R_SYSTEM.OperatingSystemNameandVersion like “Windows 10%”

    Création et déploiement de l’application

    Une fois la collection créée, récupérez les sources MSI du client dans <Repertoire d’installation de ConfigMgr>\bin\i386\ccmsetup.msi.

    Copiez le fichier dans un partage UNC utilisé comme référence des sources d’installation.

     

    Ouvrez ensuite la console d’administration et dirigez-vous dans Software Library > Overview > Application Management > Applications. Sélectionnez Create Application. Dans l’assistant, choisissez la méthode Windows Installer through MDM (*.msi) et renseignez le chemin UNC vers le fichier MSI :

    Passez l’écran d’import des informations.

    Sur l’écran General Information, spécifiez les informations générales (Nom d’application, fabricant, etc.). La partie la plus importante consiste à renseigner les arguments de la ligne de commande d’installation via le modèle suivant :

    CCMSETUPCMD="/MP:<FQDN du Management Point> SMSMP=<FQDN du Management Point> SMSSITECODE=<SITE CODE> DNSSUFFIX=<Suffixe DNS du Management Point>"

    Par exemple :

    • En interne : CCMSETUPCMD="/MP:WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSMP=WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSSITECODE=PR1 DNSSUFFIX=WINDOWSTOUCH.LOCAL"
    • En externe avec la Cloud Management Gateway : CCMSETUPCMD=" /NoCRLCheck /UsePkiCert /MP:https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID> SMSSITECODE=PR1 CCMHOSTNAME=https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID>"

    Passez l’écran de résumé et procédez à la création de l’application.

     

    Vous devez ensuite distribuer le contenu de l’applications sur le point de distribution Manage.microsoft.com :

     

    Enfin, distribuez en mode requis l’application sur la collection créée pour cet effet :

     

    Optionnel : Configuration pour l’enregistrement automatique dans Microsoft Intune lors d’une jointure à Azure Active Directory

    Si vous souhaitez optimiser l’expérience utilisateur, vous pouvez configurer l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine par l’utilisateur à Azure Active Directory.

    Pour ce faire, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory > Mobility (MDM and MAM). Ajoutez l’application Microsoft Intune.

    Activez la fonctionnalité pour tous les utilisateurs ou un groupe cible. Laissez les différentes URLs configurées par défaut.

     

    Expérience utilisateur

    L’expérience utilisateur est la suivante :

    • L’utilisateur ou un intermédiaire peut joindre la machine à Azure Active Directory (si l’enregistrement automatique à Microsoft Intune a été configuré). Dans ce cas, ceci peut se faire dans l’expérience post-installation (OOBE) ou dans l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.
    • L’utilisateur ou un intermédiaire peut directement enregistrer la machine dans Microsoft Intune. Ceci peut se faire via l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.

     

    L’utilisateur se connecte via son compte Azure Active Directory :

     

    Il valide la jointure à l’organisation

     

    Dans la console d’administration, on retrouve l’enregistrement qui apparaît sous la forme d’un périphérique mobile. Après recalcul de la collection de déploiement, il est inclus dans cette dernière :

     

    Sur le poste de travail après récupération des stratégies, le registre HKLM\SOFTWARE\Microsoft\EnterpriseDesktopAppManagment\S-0-0-00…\MSI\<ID du job> fait bien apparaître l’installation du client SCCM avec les différents états :

     

    On peut aussi observer l’apparition du dossier ccmsetup dans C:\Windows

     

    Après installation du client, la console d’administration affiche le nouvel enregistrement au nom du périphérique. Ce dernier doit être approuvé puisque la machine n’est pas jointe à l’Active Directory. En outre, l’opération a procédé à la dissociation du périphérique à la gestion via Microsoft Intune. L’enregistrement n’est plus présent.

     

    Ceci est confirmé sur le client où le compte a simplement été transformé en compte d’entreprise.

     

    Vous avez vu dans cet article comment utilisé la gestion moderne et le mécanisme d’enregistrement pour initier l’installation du client SCCM à des fins de gestion traditionnelle. Ce mix hybride peut prendre du sens si vous souhaitez responsabiliser l’utilisateur tout en bénéficiant d’un mode de gestion traditionnel.

    • 22/5/2017

    Mise à jour d’Avril 2017 pour les clients Remote Desktop

    Microsoft a mis à jour les clients Remote Desktop sur les différentes plateformes : Windows 10, Android, iOS et Mac. Voici les principales nouveautés :

    • Windows 10 : Application Universelle
      • Possibilité de lancer des fichiers RDP avec l’application universelle Windows 10 en changeant l’association du type de fichier.
      • Il devient possible de contrôler l’accès aux ressources locales (presse papiers, audio, microphone).
      • Possibilité de déplacer des connexions d’un groupe à l’autre via le glisser déposer.
      • L’application utilise maintenant le clavier local lors de la connexion à un bureau à distance au lieu du clavier anglais.
    • Mac OS
      • Les utilisateurs Mac peuvent utiliser le presse papier (pasteboard) pour copier des fichiers dans la session de connexion à distance. Une limite à 2 GB existe.
    • Android
      • Meilleure expérience du clavier avec :
        • Le support des raccourcis pour les langues régionales (autre que l’anglais).
        • La synchronisation du clavier est mieux gérée
        • Le support du scancode.
      • Amélioration sur Chrome OS.

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/05/17/remote-desktop-clients-april-2017-update/

    • 21/5/2017

    L’administration unifiée d’Azure RMS/Information Protection

    Il y a quelques semaines, Microsoft annonçait enfin l’arrivée des fonctionnalités apportées par Azure Rights Management dans le nouveau portail Azure. Ces dernières sont fusionnées avec Azure Information Protection. Cette annonce constitue la première étape puisque Microsoft compte finaliser l’intégration pour Juillet. Parmi les bénéfices, on retrouve :

    • Un accès unifié à toute la configuration couplée à des processus retravaillés
    • Suppression de la nécessité d’être Global Admin. Les Security Admins peuvent créer des labels et paramétrer la protection.

    Vous pouvez retrouver l’application d’un modèle Azure RMS lors de la création ou modification d’un label via le paramétrage Protection.

     

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/04/26/azure-information-protection-unified-administration-now-in-preview/

    • 21/5/2017

    [Intune] Démarrer avec Microsoft Intune for Education

    Je vous en ai parlé à plusieurs reprises depuis Janvier, Microsoft a lancé une version spécifique de Microsoft Intune pour l’éducation. Cette version est dédiée à des environnements d’apprentissage partagés. On retrouve la séparation entre étudiants et professeurs. L’assistant Express Setup permet facilement de mettre en œuvre l’environnement en déployant les applications et paramétrages sur des groupes définis. Il permet de configurer des machines pour des tests et évaluations.
    Matt Shadbolt (MSFT) a publié un petit billet présentant comment démarrer avec Microsoft Intune for Education. Pour cela, il faut utiliser l’adresse suivant : https://intuneeducation.portal.azure.com.
    Il présente notamment l’assistant de configuration express qui montre à quel point il est rapide de configurer le service.

    Lire Getting Started with Microsoft Intune for Education

    • 20/5/2017

    [Windows 10] Où sont les Remote Server Admin Tools (RSAT) pour la Creators Update (1703) ?

    Microsoft publie les outils d’administration de serveur à distance (RSAT) pour chaque version de Windows afin d’administrer les serveurs à distance. Avec Windows 10 1703 (Creators Update), il n’y a pas de version dédiée pour cette version de Windows 10. Afin de gérer Windows 10 1703, vous devez utiliser les Remote Server Admin Tools (RSAT) pour Windows 10 1607.

    Télécharger Remote Server Administration Tools for Windows 10

    • 20/5/2017

    WannaCry : Etat des lieux, Actions à réaliser et opportunités ?

    Il y a quelques jours, une cyberattaque importante était lancée. WannaCry (un ransomware) utilisait alors une faille ZeroDay révélée quelques semaines plus tôt par un groupe de Hackers. Les entreprises touchées se sont vues chiffrées le contenu de certaines machines et serveurs de fichiers. Outre la perte de document, certaines ont été touchées sur leurs outils de production. Wannacry demandait alors de devoir payer une somme afin de pouvoir récupérer les fichiers. Dans l’état Wannacry exploite une faille du protocole SMBv1.

    Etat des lieux

    Microsoft avait publié des correctifs de sécurité depuis Mars 2017 pour les systèmes en cours de support. La proposition (Alarmante ?!) de machines utilisant des systèmes hérités tels que Windows XP ou Windows Server 2003 a forcé Microsoft à publier une mise à jour spécialement pour cette faille…

    Deux constats à avoir :

    • La faille avait été corrigée depuis deux mois, ce qui amène à penser qu’en 2017 de nombreuses entreprises ne suivent toujours le cycle de mises à jour… Les entreprises qui avaient fait le travail, ne couraient donc aucun risque bien avant la sortie de WannaCry.
    • De nombreuses entreprises utilisent encore des systèmes hérités pensant qu’une utilisation sur un réseau interne (voir dédié) limite fortement les risques. Là encore, elles ont tort.

    Actions à réaliser

    Outre le fait que le passage de la mise à jour permet de s’abstraire du risque encouru par la faille, la désactivation de SMBv1 permet aussi purement et simplement de limiter la propagation du mal. Windows 10 a fait un premier pas en avant dans ce sens mais c’est une mesure qui aurait pu être prise depuis longtemps sur les systèmes antérieurs.

    Microsoft a publié des requêtes SQL permettant d’identifier via System Center Configuration Manager, les machines vulnérables et n’ayant pas appliqué les correctifs adéquats : ConfigMgr SQL queries for helping the IT Pro report on KBs related to MS17-010

    Si vous n'avez pas Configuration Manager, Microsoft a publié un script pour ceux qui utiliseraient WSUS : Status of Update per Update ID from WSUS server

    Pour connaître la liste des mises à jour qui peuvent adresser la faille, je vous invite à lire le billet : Patches That Fix the Vulnerability For MS17-010

    On retrouve aussi un article à destination des utilisateurs des services Azure donnant des bonnes pratiques. Le cloud nous fait souvent oublier qu’il peut aussi être concerné par ce problème. Outre la mise à jour des systèmes, il propose les actions suivantes :

    • Vérifier qu’aucun point de terminaison SMB est exposé sur Internet via les ports TCP 139, TCP 445, UDP 137, UDP 138. C’est bien entendu du bon sens mais il est préférable de vérifier.
    • Désactiver SMBv1 via https://aka.ms/disablesmb1
    • Suivre l’état de conformité de mise à jour des machines avec Azure Security Center.
    • Utiliser des groupes de sécurité réseau (NSG) pour limiter l’accès réseau à vos ressources.
    • Confirmer qu’un antivirus est déployé et mis à jour.

    Notez que ces recommandations s’appliquent bien entendu à vos environnements Interne.

    La désactivation de SMBv1 peut se faire via System Center Configuration Manager et la fonctionnalité de gestion de conformité. Le blog des PFEs System Center détaille comment procéder.

    Quelles sont les opportunités ?

    Outre les actions d’urgence que vous initiez, il faut prendre cette alerte comme une opportunité. Vous êtes passé au travers du filet mais ceci peut constituer une bonne occasion de :

    • Revoir vos processus de :
      • Gestion des mises à jour logicielles
      • Gestion de crise
      • Gestion d’attaques
    • Revoir les mécanismes de sécurité par un durcissement du poste pour ceux qui sont gérés de manière traditionnelle.
    • Implémenter de nouveaux mécanismes de sécurité comme ceux proposés par Windows 10. On peut notamment à Windows Defender Advanced Threat Protection (ATP) qui permet de faire du forensic. Vous pourrez donc facilement voir d’où est venu la brèche et comment la propagation a eu lieu. On peut aussi penser à Credential Guard et Device Guard.
    • Passer à un mode de gestion moderne qui permet d’assurer un cycle de mise à jour agile. Ceci peut être notamment le cas pour des populations à fort risque (nomades, mobiles, etc.)
    • 19/5/2017

    Annonce d’un serveur On-Premises pour Power BI

    Microsoft vient d’annoncer l’arrivée pour le second trimestre 2017 de Power BI Report Server. Ce dernier sera disponible au travers de la licence Power BI Premium. Il permettra d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL)

     

    Plus d’informations sur : https://powerbi.microsoft.com/fr-fr/report-server/

    Source : https://blogs.technet.microsoft.com/dataplatforminsider/2017/05/03/announcing-power-bi-report-server/

    • 19/5/2017

    La CTP 2.1 de SQL Server 2017 pour Windows et Linux est disponible

    Microsoft vient de publier la Community Technology Preview 2.1 de SQL Server 2017 pour Windows et Linux. Cette CTP représente une version ayant la qualité pour la production. Cette version est directement dédiée au Cloud pour permettre de développer des applications qui seront portées sur tous les systèmes via Docker. On retrouvera les principales fonctionnalités de SQL Server dont les innovations en matière de cloud hybride comme Stretch Database.

    La CTP 2.1 ajoute les éléments suivants :

    • Configuration de SQL Server via des variables d’environnements passées en paramètre à docker run. Ceci permet de gérer plusieurs cas de configuration avec des conteneurs Docker.
    • L’outil mssql-scripter permettant aux développeurs et aux dbas de générer des scripts CREATE et INSERT pour les objets de base de données dans SQL Server, Azure SQL DB et Azure SQL DW.
    • SQL Server Reporting Services est disponible sous la forme d’un installateur autonome. Le but est de le décorréler de l’installateur SQL afin de faciliter le déploiement.
    • Une nouvelle DMF sys.dm_db_log_stats(database_id) est introduit pour faciliter la supervision de l’état de santé des fichiers de transaction.
    • Amélioration des performances et correction de bugs pour le moteur de base de données.
    • Il devient possible de commenter les rapports dans SQL Server Reporting Services.

    Concernant Linux, on retrouve :

    • La preview de SQL Server Integration Services.
    • Amélioration de SQL Server Management Studio pour permettre la gestion des environnements des environnements Linux.
    • L’outil DBFS permet aux DBAs de superviser SQL Server plus facilement en exposant les données en direct depuis les vues dynamiques d’administration (DMVs) comme des fichiers virtuels dans un répertoire Linux

    Plus d’informations sur : https://blogs.technet.microsoft.com/dataplatforminsider/2017/05/17/sql-server-2017-ctp-2-1-now-available/

    De la documentation :

    Télécharger :

    • 18/5/2017

    [Azure] Comment se connecter avec un compte Azure AD à une machine virtuelle dans Azure ?

    Si vous avez joint une machine virtuelle Windows 10 hébergée dans Microsoft Azure à Azure Active Directory et que vous avez essayé de vous y connectez, vous avez obtenu l’erreur suivante :

     

    En effet, il faut prévoir une configuration un peu spécifique afin de pouvoir se connecter en Remote Desktop. Commencez par vous connecter sur la machine virtuelle avec un compte local.
    Ouvrez le panneau de configuration puis l’applet système. Cliquez sur les paramétrages à distance (Remote Settings).

    Activez les connexions à distance et décochez la case demandant des connexions avec Network Level Authentication (NLA) :

    Déconnectez-vous de la machine virtuelle.

    Téléchargez le fichier RDP de connexion à partir du portail Microsoft Azure.

    Editez ensuite le fichier avec votre éditeur de texte préféré (par exemple notepad). Remplacez les lignes barrées et ajoutez les deux dernières lignes :

    full address:s:<AdresseIP>:3389
    prompt for credentials:i:1
    administrative session:i:1
    enablecredsspsupport:i:0
    authentication level:i:2

     

    Exécutez le fichier RDP afin que la connexion s’ouvre sur la mire de connexion. Spécifiez l’identifiant de la façon suivante :

    • Si vous êtes avec une version inférieure à Windows 10 1607 : AzureAD\<UPN AzureAD>
    • Si vous utilisez Windows 10 1607 ou plus : <UPN AzureAD>

    • 18/5/2017

    [Intune] Dépanner les blocages de la migration vers Azure

    Microsoft est en train de finaliser la migration des tenants Microsoft Intune vers Microsoft Azure. Ceci propose un nouveau backend plus performant ainsi qu’une nouvelle interface. Il existe de nombreuses nouveautés et bénéfices : Rapports, Délégation plus aisée (via RBAC), etc. La majorité des tenants ont été migrés mais il reste toujours des clients bloqués par des éléments connus de Microsoft qui doivent être adressés manuellement. Les problèmes sont notifiés par Microsoft via le centre de messages (Message Center) du portail Office 365.

    Matt Shadbolt (MSFT) a publié une série d’articles qui permet d’adresser les points bloquants afin de lancer le processus de migration.

    1. Les déploiements à des utilisateurs ou périphériques non groupés
    2. Les clauses d’exclusion dans les groupes
    3. Les groupes imbriqués
    4. La clause Is Manager
    5. Les règles de déploiement d’application en conflit
    6. La mise à niveau du connecteur Exchange pour Intune
    7. L’activation de la gestion des groupes en libre-service

    Source : https://blogs.technet.microsoft.com/configmgrdogs/2017/05/18/intune-on-azure-migration-blocker-guidance/

    • 17/5/2017

    [Windows 10] Comment identifier/trouver les packs de langues ?

     

    Michael Niehaus a publié un billet pour expliquer comment sont publiés et identifiés les packs de langues à destination de Windows 10. Vous devez pour cela utiliser Volume Licensing Service Center (VLSC) en identifiant les packs de langue par la mention : Windows 10 Language Packs

    Chaque version est ensuite représentée par la mention Released Mois ‘Année :

    • Windows 10 1511 : « Released Nov ‘15»
    • Windows 10 1607 : « Released Jul ‘16»
    • Windows 10 1703 : « Released Mar’17»

     

    Source : https://blogs.technet.microsoft.com/mniehaus/2017/04/26/finding-windows-10-language-packs/

    • 17/5/2017

    [Windows 10] Télécharger Windows Configuration Designer (WCD)

     

    Microsoft a mis à disposition son outil utilisé pour créer des packages de provisionnement (ppkg) à destination de Windows 10. Avant Windows 1703, ce dernier était intégré dans le kit d’évaluation et de déploiement de Windows 10 (ADK). Avec cette nouvelle version, Microsoft l’a rendu indépendant sous la forme d’une application disponible dans le Windows Store. Ceci peut permettre à Microsoft de mettre à jour plus fréquemment l’application.

    Pour l’instant, l’application n’est disponible qu’aux utilisateurs de Windows 10 en anglais. Si vous utilisez Windows 10 dans une version précédente ou dans une autre langue, vous devez toujours télécharger l’ADK de Windows 10. Dans les prochaines versions, Microsoft devrait aussi mettre à disposition cette application dans le Windows Store localisé des autres langues.

    Dans la version 1703, Microsoft a intégré :

    • De nouveaux scénarios de création de package de provisionnement pour la configuration des périphériques.
    • La capacité de faire de l’enregistrement en masse pour Azure Active Directory (AAD).
    • De nouveaux paramètres de configuration.
    • La capacité de supprimer les applications additionnelles installées par le fabricant OEM.
    • Des cmdlets PowerShell permettant gérer les packages de provisionnement :
      • Add-ProvisioningPackage
      • Remove-ProvisioningPackage
      • Get-ProvisioningPackage
      • Export-ProvisioningPackage
      • Install-TrustedProvisioningCertificate
      • Get-TrustedProvisioningCertificate
      • Uninstall-TrustedProvisioningCertificate

     

     

    Télécharger Windows Configuration Designer

    • 16/5/2017

    [SCCM/Intune] Problème connu avec la détection de Windows Early Launch Anti-Malware par Windows Device Health Attestation Service

    L’équipe Intune a publié un billet à propos d’un problème connu concernant la détection de Windows Early Launch Anti-Malware par le service Windows Device Health Attestation (DHA). Le service permet notamment de calculer l’état de conformité en fonction de :

    • L’état du service Code Integrity
    • Le chiffrement BitLocker
    • L’état du démarrage sécurisé (Secure Boot)
    • L’état du driver Early launch anti-malware (ELAM)

    Si un de ces éléments est renvoyé comme désactivé, l’état renvoyé par Intune devient non conforme et Azure Active Directory peut éventuellement bloquer l’accès aux ressources de l’entreprise. Un bug a été détecté dans Windows où le service DHA renvoi de manière incorrect un état de désactivation pour le driver Early launch anti-malware (ELAM) lorsque le périphérique sort d’hibernation. Un correctif est en cours d’évaluation par l’équipe Windows. Vous pouvez donc rencontrer le problème que vous utilisiez Microsoft Intune en mode autonome ou en mode hybride couplé à System Center Configuration Manager.

    En attendant, l’équipe Intune va publier un changement dans la mise à jour de mai pour exclure l’état ELAM de la conformité lors de l’utilisation du paramétrage “Require devices to be considered healthy by the Windows Health Attestation Service”. Ce changement sera effectif tant que l’équipe Windows n’aura pas déployé un correctif acceptable.

    En attendant mai, vous pouvez soit :

    • Désactiver “Require devices to be considered healthy by the Windows Health Attestation Service” de la stratégie de conformité. Cette opération désactivera l’évaluation des trois autres critères. Microsoft prévoit à l’avenir de pouvoir choisir quel paramétrage évaluer.
    • Informer les utilisateurs que si le périphérique est bloqué, ils doivent redémarrer et cliquer sur Check Compliance dans le portail d’entreprise.

    Source : https://blogs.technet.microsoft.com/intunesupport/2017/05/04/windows-early-launch-anti-malware-detection-issue-and-intune-compliance/

    • 16/5/2017

    [SCCM 1702] Résumé des changements de Configuration Manager 1702

    Microsoft a publié la liste des changements importants apportés par System Center Configuration Manager 1702. La liste est non exhaustive. On retrouve :

    Site Administration

    • Quand vous utilisez une liste du mode entreprise qui est utilisée par une GPO utilisateur, le client ConfigMgr créé une stratégie ordinateur locale avec sa propre liste du mode entreprise. La stratégie ordinateur prend le dessus sur la liste provenant de la GPO utilisateur.
    • Les informations des identifiants matériel dupliqués ne sont pas répliqués globalement. Ceci demande aux administrateurs de recréer la liste sur chaque site primaire enfant de la hiérarchie.

    Updates and Servicing

    • L’outil Service Connection Tool (ServiceConnectionTool.exe) échoue et génère un message d’erreur suivant si SQL Server est installé à distance et configuré pour utiliser un port nonstandard.

    Unhandled Exception: System.Data.SqlClient.SqlException: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server) --
    -> System.ComponentModel.Win32Exception: The target account name is incorrect

    Client

    • Les clients ConfigMgr installés dans un autre emplacement que celui par défaut peuvent rester bloqués dans un mode provisionnement après la mise à niveau vers Windows 10.

    Distribution logiciels et gestion du contenu

    • Un avertissement est affiché si vous essayez de retirer une application qui est référencée dans une séquence de tâches.
    • Le client App-V est maintenant automatiquement activé sur les clients Windows 10 1607 ou plus quand un type de déploiement App-V est publié.
    • Les versions mises à jour des applications universelles précédemment déployées ne sont pas installées comme attendu.

    Gestion des périphériques mobiles et Microsoft Intune

    • Le connecteur Exchange Server peut générer des messages d’erreur lors du traitement des données de découverte dans le fichier easdisc.log :

    ERROR: [MANAGED] An unhandled system exception occurred when creating an EAS device from the statistics. [System.NullReferenceException: Object reference not set to an instance of an object.

    Ce problème affecte uniquement les environnements Exchange hébergés et n’affectent pas les découvertes planifiées. Si les données associées ne sont pas traitées lorsque les erreurs surviennent, elles sont traitées lors de la prochaine planification de la découverte.

    • Le connecteur Exchange Server ne découvre pas les périphériques si le CAS Exchange est dans une versions inférieure au Mailbox Server.

    Systèmes de site

    • L’installation des rôles de site qui nécessite IIS enregistre maintenant quel composant IIS est manquant. Par exemple : IIS 6 Management Compatability
    • Des erreurs sont enregistrées par SMS Policy Provider et le service SMS Executive peuvent consommer trop de mémoire sur le serveur de site dans les conditions suivantes :
      • Une application est créée en utilisant un type de déploiement.
      • L’option “Allow this application to be installed from the Install Application task sequence action without being deployed” est active.

    Les erreurs suivants sont enregistrées dans policypv.Log:

    tsapphandler[ScopeId_...]: Creating policy for tsapp (Deployment:SMS20000, App:ScopeId_...
    tsapphandler[ScopeId_...]: Failed to generate CI Assignment, Status = 1 (0x00000001).
    tsapphandler[ScopeId_...]: rolling back SQL transaction. Will retry later
    Could not check TS app policy changes for application with CIID {CIID}, will retry..

    Le déploiement de système d’exploitation

    • Si les dossiers de stockage de l’état utilisateur sur un State Migration Point (SMP) sont supprimés manuellement, le service SMS Executive peut se terminer de manière inattendue quand la tâche Delete Aged Computer Association Data s’exécute. De plus, les autres dossiers de stockage de l’état utilisateur sur le même SMP peuvent être supprimés de manière inattendue.
    • L’étape Prepare ConfigMgr Client for Capture désinstalle maintenant le client avant de continuer à l’étape Prepare Windows for Capture. Ceci empêche de possibles problèmes qui affectent l’initialisation du client ConfigMgr après que l’image soit capturée.
    • Les séquences de tâches ne démarrent pas sur un client dans un environnement qui utilisent plusieurs séquences de tâches complexes. Par exemple, 35-40 séquences de tâches avec chacune des centaines de tâches. Les erreurs suivantes sont enregistrées dans le fichier TSAgent.log sur le client. Quand le problème survient, il y aura un délai approximatif de 5 minutes entre les deux premières entrées et le reste :

    Initializing policy env variables

                    No policy found in local WMI

                    reply has no message header marker

                    Failed to request policy assignments (Code 0x80004005)

                    Error initializing TSPolicyManager. Code 0x80004005

                    Error initializing policy environment variables. Code 0x80004005

                    Error initializing TS environment. Code 0x80004005

                    Task sequence launcher advertisement failed!. Code 0x80004005

                    CTSAgent::Execute - Failed to launch Task Sequence manager.

    • Une séquence de taches définit en utilisant une valeur 0 de time-out ne s’exécutera pas s’il y a une fenêtre de maintenance correspondante avec une durée inférieure à 12 heures. Un message suivant est enregistré dans le fichier ServiceWindowManager.log :

    WillProgramRun called with: Runtime:43200, Type:5
        No Service Windows of this type exist.
        There does not exist an All Programs window for this duration or the all programs window is not used as fallback. The Program will not run.

    • Les composants optionnels peuvent maintenant seulement être ajoutés quand la version de l’ADK Windows et la version des images de démarrage Windows PE correspondent.
    • Changer les options de la tâche Format and Partition Disk engendre la désélection de l’option Make this the boot disk.
    • Le composant SMS Offline Servicing Manager est démarrée automatiquement de façon inattendue par le service SMS Executive. Ceci peut engendrer la mise à jour incorrecte des images de système d’exploitation.
    • Sélectionner l’option Clear Required PXE deployments pour une collection sur la console d’administration d’un Central Administration Site (CAS) engender la suppression du flag sur l’ensemble des périphériques.
    • L’assistant Add Boot Image Wizard n’importe pas les images créées en utilisant les anciennes versions de l’ADK Windows que celle installée actuellement. Une erreur suivante est enregistrée dans le fichier smsprov.log sur le serveur de site :

    ERROR> Error -2146498530 returned to execute the command line: "{dism.exe}" /Image:{imagepath}" /Add-Package /PackagePath:"{package_path}" Failed to insert OSD binaries into the WIM file

    • Les sequences de taches ne s’affichent pas comme attendues dans le Software Center. Ceci survient si toutes les stratégies clientes ne sont pas traitées après la mise à niveau du client vers une nouvelle version.
    • La tâche Install Application peut échouer quand elle est ajoutée tout de suite après une tâche qui redémarre l’ordinateur. Le problème survient plus fréquemment quand l’ordinateur utilise un stockage rapide comme un SSD. Cette erreur est enregistrée dans le fichier smsts.log : Install application action failed: '{deployment_name}'. Error Code 0x80004005
    • Les variables machine utilisées pour le déploiement de système d’exploitation ne sont pas répliquée correctement dans la hiérarchie Configuration Manager. Ceci engendre des échecs de séquences de tâches pour les déploiements qui utilisent des variables.

    Console d’administration

    • La console d’administration peut s’arrêter de manière inopinée quand vous recherchez des groupes de limite dans la fenêtre Fallback Boundary Groups. De plus, vous recevez le message d’erreur suivant :

    Unhandled exception has occurred in your application.
    InvalidArgument=Value of ‘1’ is not valid for ‘index’.
    Parameter name: index.

     

    Windows Store for Business

    • La synchronisation du Windows Store for Business peut échouer après le redémarrage du service SMS Executive. Le fichier WsfbSyncWorker.log contient les erreurs suivantes : System.ObjectDisposedException: Cannot access a disposed object.

    Gestion des mises à jour logicielles

    • Un serveur qui appartient à plusieurs collections peut ne pas recevoir les mises à jour ou les déploiements s’il est clusterisé. Ceci survient quand seulement une des collections de périphérique a l’option All devices are part of the same server group activé.

     

    En outre, les correctifs suivants sont inclus :

    • 4010155 Update rollup for System Center Configuration Manager current branch, version 1610
    • 4016483 New deployments are unavailable in Software Center on Configuration Manager clients
    • 4015436 Certificate Registration Point errors in System Center Configuration Manager version 1610
    • 4015074 Configuration Manager Console crashes when boundary groups are added in Distribution Point properties

     

    Plus d’informations sur la KB4022075 Summary of changes in System Center Configuration Manager current branch, version 1702

    • 15/5/2017

    [EMS] Une session d’échanges sur Twitter pour gérer la mobilité d’Office 365

    Microsoft effectue de plus en plus d’initiatives d’échanges. On retrouve une session d’échanges avec l’équipe Enterprise Mobility + Security sur Twitter via @MSFTMobility. Cette session aura lieu le 17 mai de 20h-21h (Paris). Vous devez utiliser le Hashtag #EnterpriseMobilityTweetChat. Microsoft adressera les questions suivantes :

    • Quelles sont les options offertes par Microsoft pour gérer les applications Office Mobile
    • Quelles sont les différences entre MDM et MAM ?
    • Comment protéger et gérer les applications sur des périphériques non enregistrés dans Intune ?

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/04/24/managing-mobility-for-office365-tweet-chat/

    • 15/5/2017

    [Azure] Les annonces au 15 Mai 2017

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    • Nouveau pack de contenu Power BI pour les utilisateurs Azure. Ce dernier permet d’obtenir des informations sur les données de consommation. Il constitue un bon complément pour comprendre comment vous consommez sur Azure.
    • J’en avais déjà parlé mais Microsoft vient de mettre en ligne la Preview des APIs de consommation et de facturation avec Balance and Summary, Usage Details, Marketplace Store Charge, Price Sheet, Billing Periods.
    • Disponibilité Générale d’Azure On-Premises Data Gateway permettant de connecter vos applications métiers dans le cloud de manière sécurisée à des sources de données On-Prem.
    • Disponibilité Générale d’Azure Network Watcher dans toutes les régions.
    • De nouvelles cmdlets Azure CLI 2.0 disponibles dans Azure CLI Interactive Shell avec les modules : appservices, cdn, cognitive services, cosmosdb, data lake analytics and store, dev/test labs, functions, monitor, mysql, postgres, service fabric client, vsts. Outre les ajouts, Microsoft a notamment changé certaines commandes. Vous pouvez toujours utiliser les anciennes commandes.
    • Preview d’AzCopy sur Linux. AzCopy permet d’uploader, télécharger et copier des blobs, et des fichiers. Cette nouvelle version intègre la librairie Data Movement Library. L'upload de fichiers et de blob est fait en utilisant l'écriture seulement SAS. Il est possible de créer un conteneur, un partage ou une table de destination avec un compte SAS. Durant la copie, l'outil montre maintenant le total des données transférées et la vitesse moyenne.
    • Améliorer le dimensionnement automatique (Autoscale) afin d’inclure un dimensionnement automatique plus rapide (moins d'une minute après le passage du seuil), une expérience de gestion simplifiée, le dimensionnement en utilisant des métriques personnalisées, l’amélioration du dépannage de la fonction.

    IaaS

    • Preview des machines virtuelles à faible priorité. Azure Batch – low-priority VMs permet d’obtenir et consommer de la puissance de calcul à un prix bien plus faible. Le but est d’allouer à partir du surplus de capacité de calcul. Microsoft annonce jusqu’à 80% de réduction pour certains types de charge de travail. Pour en apprendre plus sur les prix : https://azure.microsoft.com/pricing/details/batch/
    • Preview d’Azure Scheduled Events permettant de savoir quels sont les impacts sur la disponibilité de vos machines virtuelles à venir. Ce dernier est un sous-service sous Azure Metadata Service qui renvoi des informations sur les événéments à venir. Il permet de mettre en place des tâches préventives pour minimiser les effets. Ceci inclut les maintenances de redémarrage de preserving et les opérations utilisateurs.
    • Nouvelles tailles pour la série de machines virtuelles ND propulsées par des GPUs NVIDIA Tesla P40. En outre, on retrouve une nouvelle génération de séries NCv2 avec des GPUs NVIDIA Tesla P100.

    Azure Cosmos DB

    Azure Active Directory

    Azure SQL

    Azure Storage

    Azure Key Vault

    • De nouvelles options de restauration des clés pour Azure Key Vault. Microsoft permet maintenant la restauration de clés (vault, key, secret) supprimées jusqu’à 90 jours via la fonctionnalité soft-delete. La fonctionnalité doit être activée sur chaque coffre-fort de clés. La récupération de certificats arrive très prochainement.

    Operations Management Suite

    Azure Functions and Azure Logic Apps

    • Les outils Azure Functions et Azure Logic Apps pour Visual Studio 2017.
    • Intégration d’Azure Application Insights avec Azure Functions
    • Export express vers PowerApps et Flow.
    • Des modèles Azure Functions pour Common Data Services.
    • Preview du nouveau Runtime Azure Functions avec les rôles d’administration et Azure Functions Runtime Worker Role.

    Microsoft Cognitive Services

    Azure Application Insights

    Azure Government

    Autres services

    • 14/5/2017

    [Intune] Sondage : Partagez votre expérience sur le nouveau portail Intune dans Azure

    Microsoft a lancé un sondage qui vise à récupérer des informations sur l’expérience proposée via le nouveau portail dans Azure pour Microsoft Intune.

    Prenez quelques minutes pour y répondre : https://aka.ms/intuneonazuresurvey

    • 14/5/2017

    [SCCM] Le SDK Configuration Manager Client Messaging est disponible sur NuGet.org

    L’équipe ConfigMgr a mis à disposition le SDK Configuration Manager Client Messaging en version 5.1706.1034.1000 directement sous la forme d’un package sur NuGet.org. Cette extension de gestion de package s’intègre directement dans Visual Studio afin de faciliter la navigation et l’ajout de librairies pour la création de vos projets.

    Parmi les changements importants, on retrouve :

    • Amélioration de la détection et d’usage de l’algorithme de hachage de certificat
    • Correction de l’algorithme de hachage qui n’est pas correctement défini lors de l’envoi des demandes d’enregistrement client (CCR).
    • Mise à jour de la valeur ClientVersion par défaut pour correspondre à celle du client ConfigMgr 1511 (5.0.8325.0000).
    • Changement de l’état de support de ConfigMgrBgbMessageRequest, ConfigMgrBgbMessageReply, et HeartbeatDiscovery  DataRecordFile de partiellement supporté à supporter.
    • Autres correctifs et améliorations

    Accéder à la documentation : https://msdn.microsoft.com/en-us/library/mt744369.aspx

    Accéder au package Client Messaging SDK

    • 14/5/2017

    Publication de l’installeur hors ligne du .NET Framework 4.7

    Microsoft a mis à disposition l'installeur hors ligne du .NET Framework 4.7 pour Windows 7 SP1, Windows 8.1, Windows 10 1607 (Anniversary Update), Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016.

    Parmi les grandes améliorations, on retrouve :

    • Support des hautes résolutions (High DPI) pour les applications Windows Forms sur Windows 10
    • Support du tactile pour les applications WPF sur Windows 10
    • Support de la cryptographie améliorée
    • Amélioration de la performance et de la fiabilité.

    Quelques informations importantes :

    • Le .NET Framework 4.7 sera proposé pour les autres versions de Windows 10 (1511, etc.) prochaineemnt
    • Le .NET Framework 4.7 est inclus dans Windows 10 1703 (Creators Update)

    Plus d’informations sur : https://blogs.msdn.microsoft.com/dotnet/2017/04/05/announcing-the-net-framework-4-7/

    Télécharger :

    • 13/5/2017

    Un module PowerShell pour le centre de réponse de sécurité de Microsoft

    Microsoft a publié un module PowerShell permettant de travailler avec Microsoft Security Response Center. Le centre de réponse de sécurité de Microsoft permet la récupération du détail des mises à jour et des documents CVRF (Common Vulnerability Reporting Format) au format JSON ou XML.

    Télécharger MsrcSecurityUpdates 1.6.1

    • 13/5/2017

    Un guide sur les accès privilégiés sécurisés

    L’équipe Cyber Security Services de Microsoft a publié un guide proposant une approche de conception de forêt administrative. Enhanced Security Administrative Environment (ESAE) Architecture revient sur les éléments suivants :

    • Pourquoi sécuriser les accès privilégiés est important ?
    • La feuille de route de l’accès privilégié sécurisé

    Lire Enhanced Security Administrative Environment (ESAE) Architecture