Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, SCOM, SCSM, App-V, MDOP, Azure ...)
    • 18/1/2018

    Microsoft propose un Professionnal Degree centré sur l’IT au Microsoft Professional Program

    Il y a un an, Microsoft annonçait un programme Microsoft Professionnal Degree (MPD) permettant d’obtenir un diplôme calibré sur le curriculum universitaire pour les professionnels de l’informatique. L’initiative est construite sur la plateforme Open edX d’Azure. L’objectif de Microsoft est d’appliquer d’offrir du Learning as-a-Service. Aujourd’hui, Microsoft vient d’ouvrir les inscriptions pour le programme IT Support.

     Microsoft propose déjà plusieurs autres programmes : Data Science, Big Data Engineering, Cloud Administration, DevOps et Front end Web Development.

     

    Plus d’informations :  https://borntolearn.mslearn.net/b/weblog/posts/the-microsoft-professional-program-now-includes-it-support

    • 18/1/2018

    [Intune] Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)

    Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

    Saaswedo et sa solution Datalert! offre les services suivants :

    • Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
      • Analyser les coûts d’itinérance par zone géographique
      • Afficher l’état de la consommation de données à l’échelle de l’entreprise
      • Envoi automatique d’alertes et de notifications personnalisées.
    • Gestion des connexions et de l’itinérance
      • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
      • Blocage de l’itinérance/connexion en fonction des limites définies

    Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

    Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

     

    Cette partie de la série se concentre sur la configuration du service Datalert! de gestion des dépenses Telecom (TEM).

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    La configuration de la solution de gestion des dépenses Telecom (TEM) Datalert! se fait via le portail qui vous est communiqué lors de la souscription au service.

    Configuration du service

    Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles que nous aborderons dans ce billet. On retrouve une première partie Personnalisation qui permet d’uploader un logo et de choisir les couleurs du portail.

     

    La partie Comptes permet d’ajouter des comptes qui accéderont au service pour permettre la gestion et la configuration.  Une option permet de spécifier l’utilisation comme Super admin ; c’est-à-dire disposant des droits étendus dans la partie Réglages.

     

     

    Assistant de configuration initiale

    La mise en service offre un assistant de configuration visant à vous aider à peupler votre tenant avec les informations nécessaires à son fonctionnement. On retrouve notamment :

    • L’import des lignes qui constituent votre parc de téléphonie
    • L’ajout des opérateurs et forfaits de votre flotte
    • La définition des zones d’itinérance (roaming) pour chacun des forfaits
    • Les politiques télécom qui sont appliquées aux alertes 3G/4G et roaming
    • L’association des lignes
    • La communication envoyée à ces lignes pour le lancement du service.

     

    D’un point de vue pratique, il est recommandé d’importer toutes les lignes associées à un seul opérateur à la fois. Répétez l’assistant pour tous les opérateurs que vous utilisez et leurs lignes associées.

    Vous pouvez accéder à cet assistant lors de l’ouverture du service ou via l’espace Réglages où vous pouvez cliquer sur Déploiement.

     

    La première étape permet d’utiliser une matrice d’import au format CSV pour créer et renseigner les lignes téléphoniques associées aux utilisateurs. La page permet de récupérer un fichier type ainsi qu’un fichier d’exemple. La matrice permet de renseigner les informations suivantes sur l’utilisateur :

    • Nom
    • Prénom
    • Email de l’utilisateur
    • Matricule
    • Numéro de téléphone
    • Tag utilisé pour regrouper les lignes et filtrer dans la console du service
    • Si la ligne permet de recevoir des SMS

     

    Une fois rempli, vous pouvez importer le fichier dans l’assistant du service et passez à l’étape de définition de l’opérateur et du forfait. Vous pouvez soit créer un nouveau forfait ou utiliser un opérateur/forfait existant. Cette page permet de choisir le fair use associé au forfait ainsi que le jour de facturation auquel réinitialiser le compteur.

     

    Sur l’écran suivant, vous pouvez définir les différentes zones de roaming du forfait que vous avez créé ainsi que les limites de consommation de données et le coût au-delà du seuil.

    Vous pouvez ajouter autant de zones que vous souhaitez et sélectionnez les pays associés. Le service Datalert! vous facilite le regroupement avec la capacité de filtrer sur la base des 7 zones principales : Asie, Europe, Afrique, Amérique du Nord, Amérique du Sud, Océanie, Antarctique. Vous pouvez ensuite choisir les pays.

     

    La page suivante permet de configurer les politiques télécom associées à l’opérateur et au forfait sélectionné. Vous pouvez ainsi spécifier des alertes sur la consommation 3G/4G ou sur l’itinérance. Vous devez aussi définir les comportements : Envoi d’un message, Envoi d’un message au manager, désactivation de la data.

    On retrouve en outre la possibilité de configurer des alertes (Email + Push) de manière répétée ou non sur le statut de connexion ne permettant pas la remontée des informations dans les situations suivantes :

    • L’application est fermée par l’utilisateur.
    • Le mode économie d’énergie ou exécution en arrière-plan est désactivé.
    • Le périphérique est éteint ou hors réseau.
    • L’application a été supprimée par l’utilisateur.

    Enfin, il est possible de définir les options de blocage MDM en cas de dépassement des limites. Cela permet notamment de laisser la possibilité à l’utilisateur de réactiver manuellement les connexions de données. Dans ce cas de figure, vous pourrez choisir d’envoyer un message, d’envoyer un message au manager et de désactiver la donnée en spécifiant éventuellement un intervalle de récurrence de ces actions.

    L’écran suivant permet de sélectionner les lignes à laquelle vous souhaitez appliquer la configuration que vous êtes en train de créer.

     

    La dernière étape de configuration permet de communiquer le déploiement aux utilisateurs en envoyant soit un SMS de notification, soit un email d’information.

     

    Enfin, vous retrouvez un résumé de la configuration effectuée.

     

    Ajout d’opérateurs et de forfaits

    Si vous souhaitez ajouter des opérateurs et forfaits sans passer par l’assistant, vous pouvez naviguer dans les réglages et dans la partie Forfait/Zones pour accéder aux mêmes capacités permettant d’ajouter des opérateurs, de nouveaux forfaits à un opérateur existant, ou des zones à forfait existant.

     

    Vous pouvez rajouter autant de zones que correspondant aux caractéristiques d’un forfait donné.

     

    Ajout d’une ligne téléphonique

    L’ajout de lignes téléphoniques peut se faire indépendamment de l’assistant sur la page principale en naviguant dans la partie Lignes. Un bouton Ajouter ligne est proposé et ouvre une fenêtre permettant d’ajouter des lignes en spécifiant le matricule, le prénom, le nom, le courriel et le numéro de téléphone de l’utilisateur.

     

    Une fois la ligne crée, vous pouvez définir un forfait depuis la partie Choisir une action… - Définir un forfait.

    Vous aurez la possibilité de choisir parmi les opérateurs et forfait existants tout en choisissant le jour de début de forfait dans le mois.

     

    Configuration des managers et de notifications

    Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles comme l’ajout de Managers et pour notifier sur les alertes d’itinérance ou de dépassement de la consommation.

    La partie Notifications permet de configurer les messages de notifications qui seront envoyés aux différentes personnes. Vous pouvez notamment configurer différentes langues pour les types d’alertes :

     

    Ajout de politiques télécom

    De la même façon, il est possible de rajouter des stratégies ou politiques télécom indépendamment de l’assistant depuis les Réglages. Les options sont accessibles dans Politique télécom et permettent de rajouter des politiques à des forfaits précédemment créés.

    On retrouve un écran similaire à celui de l’assistant permettant de définir les seuils et alertes.

     

    Dans un billet suivant, nous abordons l’usage de la solution au quotidien.

    • 17/1/2018

    [Windows 10] La fonctionnalité d’accès aux fichiers à la demande arrive dans Work Folders

    Microsoft vient d’annoncer que la dernière version Windows Insiders de Windows 10 vient d’intégrer la fonctionnalité permettant d’accéder aux fichiers à la demande (On-Demand File Access) apparaissait pour Work Folders. A l’image de son intégration à OneDrive, ceci permet d’éviter l’impact sur la bande passante ou sur l’espace de stockage local.

    Ceci permet d’afficher les fichiers dans l’explorateur sans pour autant les télécharger en avance de phase. Lorsque l’utilisateur clique sur le fichier, ce dernier est téléchargé de manière à l’ouvrir.

    Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2018/01/08/work-folders-on-demand-file-access-feature-for-windows-10/

    • 17/1/2018

    [SCCM 1706+] Point sur la fonctionnalité de Pre-Caching de contenu

    A plusieurs reprises, j’ai eu des échanges qui ont révélé une incompréhension de la fonctionnalité de Pre-Caching de contenu intégrée dans System Center Configuration Manager 1706. Cette fonctionnalité prometteuse permet de pré-télécharger le contenu nécessaire à une séquence de tâches avant que cette dernière soit exécutée (souvent à la demande). Le pré-téléchargement doit filtrer le contenu qui est véritablement nécessaire. Le scénario principal s’adresse aux entreprises qui veulent utiliser des séquences de tâches pour faire la mise à niveau de Windows 10.

    Avec les échanges que j’ai eus, je me suis rendu compte qu’il fallait quelques précisions sur le comportement attendu :

    • Le Pre-Caching télécharge tout ce qui est référencé dans la séquence de tâches excepté pour les tâches Upgrade Operating System qui sont filtrées en fonction de la langue et de l’architecture sur le système d’exploitation.
    • Les conditions spécifiées sur les différentes de la séquence de tâches, ne sont pas évaluées par la fonctionnalité de Pre-Caching. Le client utilise ce qui est spécifié sur le package de mise à niveau (OS Upgrade Package). Par conséquent si vous avez 40 packages de drivers, la fonctionnalité télécharge les 40 packages de drivers.
    • Des messages d’état sont renvoyés pour spécifier quel contenu est téléchargé.
    • 16/1/2018

    [Intune] Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)

    Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

    Saaswedo et sa solution Datalert! offre les services suivants :

    • Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
      • Analyser les coûts d’itinérance par zone géographique
      • Afficher l’état de la consommation de données à l’échelle de l’entreprise
      • Envoi automatique d’alertes et de notifications personnalisées.
    • Gestion des connexions et de l’itinérance
      • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
      • Blocage de l’itinérance/connexion en fonction des limites définies

    Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

    Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    Préparation du tenant

    Lors l’interconnexion du service Datalert! à Microsoft Intune, vous devez récupérer l’identifiant du tenant Azure Active Directory.

    Ce dernier peut être récupéré via le portail Azure en naviguant dans Azure Active Directory – Properties. Vous trouverez l’identifiant dans le champ Directory ID :

     

    Configuration de l’interconnexion Datalert/Microsoft Intune

    Vous recevrez un email avec le lien vers le portail du service Datalert!. Connectez-vous avec le compte utilisateur administrateur de la solution et naviguez dans Settings puis MDM configuration.

    Sélectionnez Microsoft Intune et renseignez l’identifiant du tenant Azure Active Directory puis cliquez sur Connection.

     

    Une fenêtre s’ouvre visant à lancer la procédure qui donne les droits au service Datalert! sur Microsoft Intune. Cliquez sur le logo pour ouvrir la fenêtre d’autorisation à Microsoft Azure.

     

    Connectez-vous avec un compte disposant des droits sur le tenant Microsoft Intune et acceptez la page visant à donner les autorisations nécessaires au service Datalert!.

     

    Une page vous annonce la configuration avec succès de l’interconnexion puis le retour sur le portail Datalert valide les étapes d’autorisation Azure AD, de validation de la connexion et d’enregistrement. L’état doit remonter comme actif.

     

    Avant de continuer, validez que le MDM Server est à On dans le portail Datalert!

     

     

    Déploiement de l’application Datalert sur les périphériques

    Il existe différentes manières d’aborder le déploiement de l’application Datalert sur les périphériques de votre entreprise :

    • Soit vous gérez uniquement des périphériques d’entreprise et vous pouvez déployer globalement l’application sur tous les périphériques enregistrés ou tous les utilisateurs. Dans ce cas, vous devez bloquer l’enregistrement de périphériques personnels (BYOD) via les options adéquates dans le service Microsoft Intune.
    • Soit vous créez une catégorie de périphériques que l’utilisateur pourra choisir lors de l’enregistrement et qui viendra peupler un groupe de périphériques qui se verra déployer l’application.
    • Soit l’action de catégorisation est faite manuellement par l’administration ou par pré-enregistrement du périphérique.

    Procédez donc à la création d’un groupe qui sera utilisé pour cibler l’application en ouvrant le portail Azure puis en naviguant dans Azure Active Directory – Users and groups – All Groups et en sélectionnant New group. Dans les deux derniers cas, vous pouvez utiliser un groupe peuplé avec l’attribut Ownership pour filtrer les périphériques d’entreprises ou personnels.

     

    Une fois la stratégie définie pour votre contexte, vous pouvez déployer l’application via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add.

     

    Choisissez le type d’application Android store app ou iOS store app.

     

    Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

     

    Validez les informations prérenseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

     

    Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

     

    Vous pouvez répéter l’opération pour Android. Deux solutions s’offrent à vous :

    • Soit vous gérez vos périphériques Android via Android for Work et vous pouvez donc déployer l’application Datalert via le Google Play for Work. Dans ce cas, vous devez avoir bien entendu configurer l’interconnexion avec Android for Work.

     

    • Soit vous gérez une partie de vos périphériques sans Android for Work et dans ce cas, vous pouvez utiliser la procédure précédente. Pour Android, il n’existe pas de moyen de chercher l’application, vous devez renseigner l’adresse vers l’application dans le Google Play Store ainsi que l’ensemble des informations demandées (Nom, description, éditeur, système d’exploitation minimum, etc.)

    Les versions iOS et Android doivent donc être déployées en fonction des plateformes que vous supportez :

     

    Déploiement de l’application Microsoft Authenticator sur les périphériques iOS

    Datalert! offre un service d’authentification spécifique avec Azure Active Directory pour les utilisateurs iOS, vous devez pour cela déployer l’application Microsoft Authenticator via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add. Choisissez le type d’application Android store app ou iOS store app. Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

     

    Validez les informations pré-renseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

     

    Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

    Une fois l’application déployée, vous pouvez passer à la configuration du service Datalert !. 

    • 16/1/2018

    [Intune] L’accès conditionnel et les stratégies MAM requièrent l’authentification moderne pour Skype for Business

    L’équipe Microsoft Intune a publié un billet qui rappelle qu’il est nécessaire d’activer l’authentification moderne pour Skype for Business de manière à bénéficier l’accès conditionnel d’Azure Active Directory. Le support de l’authentification moderne a été apporté en mai 2017 par une mise à jour cumulative sur Skype for Business Server 2015.

    Outre l’accès conditionnel, ce sont les stratégies de protection d’application qui nécessite aussi l’authentification moderne. Ces stratégies présentes dans Intune App Protection, permettent d’empêcher la perte de données.

    Plus d’informations sur : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Hybrid-Modern-Authentication-for-Skype-for-Business/ba-p/134751

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/support-tip-intune-app-protection-requires-modern-authentication-enabled-for-skype-for-business/

    • 15/1/2018

    [Windows 10] Windows 10 1709 passe le statut de Semi-Annual Channel (Broad) ou Current Branch for Business

    Microsoft a annoncé que Windows 10 1709 (Fall Creators Update) est maintenant pleinement disponible pour tout le monde incluant les entreprises. Ceci signifie que la version a passé le statut de Semi-Annual Channel (Broad) ou Current Branch for Business (CBB).

    Les médias seront publiés sur Windows Update, Windows Update for Business, WSUS et Microsoft Volume License Center à partir du 22 Janvier.

    Plus d’informations sur les versions de Windows 10 sur : http://aka.ms/win10releaseinfo


    Source : https://blogs.windows.com/windowsexperience/2018/01/11/windows-10-fall-creators-update-1709-fully-available/

    • 15/1/2018

    Point et bonnes pratiques sur Spectre et Meldown !

    Il y a une semaine, le monde passait 2018 avec l’information que la majorité des périphériques équipés d’un processeur Intel, AMD ou ARM, étaient vulnérables à de nouvelles failles de sécurité. Même IBM est concerné par cette problématique. Ceci est valable quel que soit le système d’exploitation (Windows, Linux, macOS, AIX, IBM i, iOS, Android, etc.). En effet, les deux failles en question : Spectre et Meltdown, touchent l’architecture même du processeur. Ceci demande à l’éditeur de modifier le kernel du système d’exploitation afin d’adapter les appels processeur pour que la faille ne puisse pas être exploitée.
    Encore une fois, Google a pris tout le monde de cours en révélant la faille quelques jours avant que la mise à jour de sécurité ne soit publiée. A noter qu’Intel vient de publier un autre bulletin de sécurité à propos de son contrôleur de gestion AMT.

    Je souhaitais faire un article pour résumer les nombreuses informations que l’on retrouve sur Internet. Je vais me concentrer sur les environnements Microsoft même si vous devez porter une attention particulière pour des machines Linux, macOS ou des périphériques iOS ou Android.

    Que faut-il appliquer pour que mon système ne soit pas vulnérable ?

    Il existe différents niveaux de mises à jour :

    Il existe un risque accru si le serveur physique exécute Hyper-V, Remote Desktop Services Hosts (RDSH) ou du code non connu comme des conteneurs, des extensions pour les bases de données, des sites web non connus, etc. Dans ce cas, il est recommandé d’activer la protection sur le serveur via des clés de registre décrite dans cet article : Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

    Les différentes mises à jour relatives à Microsoft peuvent être déployées via Microsoft Update, Windows Update for Business, WSUS et bien entendu System Center Configuration Manager. Ceci inclus les mises à jour de firmware à destination des périphériques Surface.

    A noter que pour ces dernières et System Center Configuration Manager, les firmwares devraient apparaître dans la console d’administration dans les jours qui viennent.

    Voici tous les articles de recommandation de Microsoft :

     

    Comment appliquer la mise à jour Windows ?

    Le changement sur le kernel peut engendrer des incompatibilités avec les applications qui effectuent des appels non standards ou qui ne passent pas par les APIs standards. C’est le cas des Antvirus !

    C’est pourquoi, Microsoft a créé un mécanisme spécial pour l’application de la mise à jour de sécurité.  Cette dernière ne s’applique que si la clé suivante a été créée :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

    Valeur : cadca5fe-87d3-4b96-b7fb-a231484277cc
    Type : REG_DWORD

    Donnée  : 0x00000000

    En fonction de l’antivirus et de sa version, la clé a pu être créée automatiquement par ce dernier. C’est le cas pour les antivirus suivants :

    • Windows Defender
    • System Center EndPoint Protection
    • Microsoft Security Essentials
    • Sophos
    • Kaspersky
    • McAfee VirusScan Enterprise 8.8 ou plus et Endpoint Security (ENS) 10.0.2 ou plus
    • ESET

    Note : La création de la clé de registre requiert que les mises à jour de définition soient faites et à jour.

    Voici la liste des antivirus compatibles :

    Vous pouvez cliquer sur les liens pour obtenir la liste des versions. Voici une liste non officielle des antivirus et leur compatibilité.

    C’est donc à vérifier que votre antivirus et la version que vous utilisez, a créé la clé nécessaire ou que la version est compatible. Dans ce dernier cas de figure, vous devez créer la clé vous-même.

    Plus d’informations sur : Important: Windows security updates released January 3, 2018, and antivirus software

     

    Quid du Cloud ?

    Les différents fournisseurs Cloud effectuent ou ont effectué des mises à jour des différentes briques. C’est le cas de Microsoft avec les machines virtuelles et les hôtes sur ses Datacenter Microsoft Azure.

     

    Comment vérifier si le système est vulnérable ?

    Microsoft a publié un module PowerShell SpeculationControl permettant de vérifier si les machines sont vulnérables à cette faille de sécurité.

    Il existe de nombreux moyens d’exécuter le script :

    • Via la gestion de conformité de System Center Configuration Manager. Microsoft a publié une baseline pour ce besoin.
    • Via la fonction d’exécution des scripts qui est apparue dans System Center Configuration Manager 1706.

    L’article de l’equipe produit ConfigMgr détaille comment mettre en œuvre cette vérification.

    Vous pouvez en apprendre plus sur le script et notamment la signification des éléments renvoyés via l’article de la base de connaissances : Understanding the output of the Get-SpeculationControlSettings PowerShell script

    En outre, il existe des solutions communautaires qui offre un rapport en interrogeant les différentes machines.

     

    Quels sont les problèmes connus ?

    Il est à noter que pour l’heure, la mise à jour de sécurité provoque des problèmes avec les périphériques AMD engendrant des écrans bleus sans capacité de restauration des systèmes :

     

    Existe-t-il un impact sur les performances ?

    Malheureusement, il y a belle et bien un impact qui dépend de nombreux paramètres : Le système d’exploitation, l’application, et la configuration de l’environnement (nombre d’utilisateurs, action effectuée, etc.). Difficile de donner des statistiques exactes, certaines applications sont touchées (Ex : Remote Desktop Services, etc.) alors que d’autres ne le sont pas ou peu.

    Chaque fabricant ou éditeur de solution publie (ou ne le fait pas) des informations sur le sujet. Microsoft s’attache en ce moment à évaluer l’impact au cas par cas.

     

    Focus sur System Center Configuration Manager

    Vous le savez, j’ai une attache particulière à Configuration Manager et par conséquent, il me parait important de donner des recommandations sur l’impact sur ce produit. La mise à jour n’a pas d’impact en termes de compatibilité sur le produit. L’impact sur les performances est négligeable.

    Veillez à ne pas suivre les recommandations pour l’application des KB SQL Server en ne désactivant pas la CLR et les linked servers.

    Des recommandations spécifiques sont disponibles sur : Additional guidance to mitigate speculative execution side-channel vulnerabilities

    • 14/1/2018

    [Windows 10] Microsoft répond à vos questions sur Windows Analytics

    Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 16 janvier de 18h à 19h ou 1h à 2h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur les services Windows Analytics Upgrade Readiness, Update Compliance et Device Health.

    Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-Analytics-AMA/bd-p/WindowsAnalyticsAMA

    • 14/1/2018

    [Windows] Mise à jour de l’outil de téléchargement USB/ISO de Windows

    Microsoft a mis à jour son outil permettant de télécharger et créer une clé USB ou une ISO de Windows.

    Télécharger Windows USB/DVD Download Tool

    • 13/1/2018

    [Intune] Testez la nouvelle interface du portail d’entreprise sur iOS

    Microsoft a publié un billet à propos de la nouvelle version du portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS. Cette version comprend un retravaille complet du design.

    Vous pouvez tester cette version en avant-première via le lien suivant : https://aka.ms/intune_ios_cp_testflight

    Vous devez pour cela avoir les prérequis suivants :

    • Un tenant Intune avec un le certificat Apple Push Notification Service (APNs) configuré
    • Un périphérique iOS de test.
    • Fournir des retours sur l’expérience.

    Pour plus d’informations et obtenir un aperçu du rendu graphique : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/coming-soon-user-experience-update-to-the-intune-ios-company-portal-app/

    • 13/1/2018

    Un tableau comparatif de Skype for Business et Teams

    Luca Vitali (MVP) a créé un tableau comparatif très intéressant sur les fonctionnalités présentes dans Skype for Business On-Prem, Online et Teams. Vous obtenez une vue synthétique de ce qui est déjà présent, sur la roadmap ou non encore planifié.

     

    Source : https://lucavitali.wordpress.com/2017/10/01/sfb-teams-features-comparison-table/  

    • 12/1/2018

    [Intune] La gestion des périphériques mobiles (MDM) ne sera disponible qu’à partir du portail Azure

    A partir du 2 avril 2018, Microsoft ne permettra plus la gestion des périphériques mobiles (MDM) dans l’ancien portail Microsoft Intune en Silverlight. En lieu et place, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

    Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

    Vous devez vérifier que la migration de votre tenant s’est bien passé en validant les stratégies, les messages dans le centre Office Message Center.

    A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.

     

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/03/plan-for-change-use-intune-on-azure-now-for-your-mdm-management/

    • 12/1/2018

    Publication de PowerShell Core 6 version finale

    Microsoft a publié la version finale de PowerShell Core 6. Cette version est proposée comme une solution OpenSource cross-plateforme. Le but est d’adresser des besoins et changements demandés par les clients dans des délais plus courts que ce qui a été le cas avec Windows PowerShell.  Il n’y a plus de dépendance sur le Framework .NET.

    Pour rappel, Microsoft a renommé l’exécutable PowerShell en pwsh.exe pour PowerShell Core 6. Les versions précédentes et les extensions de fichiers ne sont pas impactées.

    Les plateformes supportées sont les suivantes :

    • Windows 7, 8.1, et 10
    • Windows Server 2008 R2, 2012 R2, 2016
    • Windows Server Semi-Annual Channel
    • Ubuntu 14.04, 16.04, et 17.04
    • Debian 8.7+, et 9
    • CentOS 7
    • Red Hat Enterprise Linux 7
    • OpenSUSE 42.2
    • Fedora 25, 26
    • macOS 10.12+

     

    On retrouve aussi des packages et versions non supportées pour :

    • Arch Linux
    • Kali Linux
    • AppImage
    • Windows sur ARM32/ARM64
    • Raspbian (Stretch)

    Plus d’informations sur : https://blogs.msdn.microsoft.com/powershell/2018/01/10/powershell-core-6-0-generally-available-ga-and-supported/

    Télécharger

    • 11/1/2018

    Desktop App Converter/Desktop Bridge : Déployez vos applications converties (APPX) via Microsoft Intune

    Avec l’arrivée de Windows 10, Microsoft a travaillé son système d’exploitation pour offrir un nouvel écosystème aux développeurs. La promesse est grande, la plateforme universelle Windows doit offrir une expérience commune quelque soit le périphérique (fonction, taille, écran, etc.). En outre, ce modèle doit révolutionner dont les applications sont proposées, déployées, maintenues etc. L’objet de cet article est d’aborder les applications converties en applications universelles (APPX) via Desktop Bridge ou Desktop App Converter

    Avant d’aller plus loin, je vous invite à lire la première partie de cette série qui traite de la conversion d’une application.

    Une fois convertie, il existe différents moyens de déployer l’application :

    • Microsoft Store : Ceci revient à publier l’application dans le Microsoft Store. Seuls les développeurs peuvent être concernés par cette méthode.
    • Microsoft Store for Business : Ceci permet aux entreprises qui ont développé des applications métiers de les publier et déployer via le Microsoft Store for Business.
    • Package de provisionnement via Windows Imaging and Configuration Designer (WICD). Cette méthode reste artisanale mais peut être intéressante pour des périphériques en mode Kiosk.
    • Des solutions d’administration comme System Center Configuration Manager ou Microsoft Intune.
    • Manuellement via AppInstaller ou les outils PowerShell

     

    Déploiement de l’application manuellement

    Une fois convertie, vous pouvez déployer manuellement l’application via AppInstaller inclus dans Windows 10 mais vous devez pour cela autoriser le chargement d’applications dans l’application Settings (Paramètres) – Update & Security – For Developers. Sélectionnez Sideload apps :

     

    Vous n’avez plus qu’à double cliquer sur l’AppX pour lancer l’installation :

    Note : Le certificat qui a signé l’application doit être délivré par une autorité de confiance et/ou déployé dans le store Trusted People ou Trusted Root Certification Authorities.

     

    Les applications sont installées dans le dossier C:\Program Files\WindowsApps\<Nom du Package>. On y retrouve l’exécutable et le fichier manifest (AppxManifest.xml)

    Une fois installée, l’application peut ensuite être désinstaller par l’utilisateur via le menu démarrer :

     

    Déploiement de l’application via Microsoft Intune

    L’installation manuelle n’est clairement pas envisageable dans le monde de l’entreprise. En lieu et place, nous allons détailler comment déployer l’application via Microsoft Intune. Notez que le processus similaire peut être adopté avec System Center Configuration Manager.

    Si vous avez utilisez un certificat autosigné, vous devez le déployer sur les périphériques. Il en est de même si vous avez utilisé un certificat provenant de votre autorité de certification interne. Vous devez alors déployer le certificat de l’autorité racine.

    Note : Cette opération n’est pas nécessaire si vous avez utilisé un certificat de signature de code provenant d’une autorité publique.

    Commencez par ouvrir le portail Microsoft Intune puis naviguez dans Device configuration puis Profiles. Faites Create profile.
    Renseignez le nom du profil et la description. Sélectionnez la plateforme Windows 10 and later. Choisissez le type de profil : Trusted Certificate.
    Enfin sur la page de configuration, renseignez le fichier du certificat (.cer) et le magasin de destination : Computer certificate store – Root.

    Cliquez sur OK puis Create.


    Une fois le profil créé, assignez-le à un groupe contenant les périphériques Windows 10.

    Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.

     

    Maintenant que le profil du certificat est déployé, vous pouvez déployer l’application. Pour ce faire sur le portail Microsoft Intune, naviguez dans Mobile Apps – Apps. Cliquez sur Add. Sélectionnez le type d’application Line-of-business app et renseignez le fichier d’application APPX.

    Sur l’écran App Information, renseignez les informations de l’application :

    • Nom
    • Description
    • Editeur,
    • Catégorie
    • URL d’information
    • URL de vie privée

    Cliquez sur Ok puis Add.

    Vous pouvez suivre l’upload de l’application via la partie notifications du portail :


    L’application créée, vous pouvez compléter la partie Assignments pour choisir à qui et comment déployer l’application. Sélectionnez le groupe cible puis la façon dont elle doit être mise à disposition : De manière obligatoire ou en libre-service.

     

     

    Expérience utilisateur via la gestion moderne

    Maintenant que vous avez déployé le certificat et l’application, jetons un coup d’œil à une machine Windows 10 enregistrée dans Microsoft Intune. Après synchronisation des stratégies, on peut voir apparaître le certificat dans le magasin Trusted Root Certification Authorities :

    Rappel : Ceci n’est pas nécessaire avec un certificat provenant d’une des autorités listées dans ce magasin (Ex : GeoTrust, GlobalSign, Entrust, Digicert, etc.)

     

    Dès lors que la machine est gérée par Microsoft Intune et qu’une application universelle a été chargée sur le poste, Microsoft Intune se charge de passer le paramètre de chargement des applications à la valeur adéquate :

     

    L’application déployée apparaît dans le Menu Démarrer :

     

    Elle peut être démarrée de manière transparente :

     

     

     

    Dépannage du déploiement par Microsoft Intune

    De manière à déployer le déploiement d’une application universelle (APPX), vous pouvez ouvrir l’observateur d’événements (EventViewer) et naviguez dans Applications and Services Logs -  Microsoft – Windows. Vous retrouvez les trois catégories :

    • AppXDeployment
    • AppXDeployment-Server
    • AppxPackagingOM

    Vous retrouverez dans ces journaux des informations sur le déploiement, l’enregistrement, la maintenance des applications universelles (APPX).

    En outre à partir de Windows 10 1709, vous pouvez générer un rapport de diagnostic à partir de l’application Settings (Paramètres) – Accounts – Access work or school en cliquant sur le compte puis Info. Dans la section Connection Info, vous pouvez choisir Create Report puis Export. Un fichier MDMDiagReport.html est exporté dans C:\Users\Public\Documents\MDMDiagnostics.

    • 11/1/2018

    [Intune] Intune ne supportera plus que mac OS X 10.11 minimum

    Par le biais d’un message (MC#125098), Microsoft a communiqué qu’à partir de février 2018, Microsoft Intune ne supportera plus que l’enregistrement des périphériques macOS X 10.11 et plus. Les versions de mac OS X 10.10 (Yosemite) et 10.9 (Mavericks) ne pourront plus être enregistrées mais continueront d’être gérées si elles ont déjà été enregistrées avant. L’utilisateur accédera encore au site web du portail d’entreprise.

    Cependant si vous avez activé l’accès conditionnel (CA), l’accès aux ressources de l’entreprise pour les périphériques mac OS X 10.9 et 10.10 sera bloqué.

    Pour identifier ces versions, vous pouvez :

    • 10/1/2018

    [Windows 10] Configurer Windows 10 Enterprise pour être conforme HIPAA

    Microsoft a publié un livre blanc permettant de configurer Windows 10 Enterprise de manière à être conforme et supporter HIPAA. Cette version du livre blanc ajoute les éléments relatifs à Windows 10 1709. Pour rappel, Health Insurance Portability and Accountability Act (HIPAA) garantit que les particuliers ont certaines protections pour leurs renseignements personnels et le droit de conserver une copie de leur propre dossier de santé et exige que les "entités couvertes" et leurs "associés" se conforment aux règles de sécurité, de confidentialité et de notification des atteintes à la vie privée. Cette loi est un standard américain mais qui peut s’appliquer à votre entreprise si elle est internationale.

    Télécharger : HIPAA Compliance with Microsoft Windows 10

    • 10/1/2018

    [PowerShell] Microsoft répond à vos questions sur PowerShell

    L’équipe PowerShell et Jeffrey Snover vont proposer un événement de questions/réponses. Cet évènement aura lieu le jeudi 11 janvier de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur PowerShell avec une réponse directe.

    Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

    Pour s’inscrire : https://aka.ms/PowerShellAMA.

    • 9/1/2018

    Desktop App Converter/Desktop Bridge : Transformez/Convertissez vos applications en applications universelles (APPX)

    Avec l’arrivée de Windows 10, Microsoft a travaillé son système d’exploitation pour offrir un nouvel écosystème aux développeurs. La promesse est grande, la plateforme universelle Windows doit offrir une expérience commune quelque soit le périphérique (fonction, taille, écran, etc.). En outre, ce modèle doit révolutionner dont les applications sont proposées, déployées, maintenues etc. L’objet de cet article est de traiter de la transformation ou modernisation des applications existantes en applications universelles (APPX) via Desktop Bridge ou Desktop App Converter

    Dans les faits, les applications universelles de Windows 10 offrent les bénéfices suivants :

    • Elles sont toujours à jour via le système intégré au Microsoft Store et via Windows Update. Si le développeur met à disposition une nouvelle version alors l’application de l’utilisateur est mise à jour sans nécessiter d’actions particulières.
    • Réutilisation de l’existant : Les applications universelles offrent des ponts qui permettent de ne pas retravailler l’application en intégralité.
    • Protection des données : Les données sont stockées dans un conteneur dédié. Le conteneur contrôle aussi l’accès au matériel et aux données (Microphone, Camera, Emplacement, Contacts, Notifications, etc.)
    • Simplification du développement : Microsoft propose un seul développement permettant de cibler tous les périphériques qui exécutent une version de Windows 10. Ceci inclut la partie Desktop, Mobile, Team (Surface Hub), Holographic (Hololens), ou IoT.
    • L’expérience utilisateur: Evolution de l’expérience utilisateur de manière à s’intégrer pleinement dans le système d’exploitation et ses fonctions (Cortana, Partage, etc.).

    Le principal bénéfice dont nous allons parler ici est la fiabilité liée au mode de packaging et au déploiement des applications universelles. Si on reprend les applications Win32, on retrouve différentes solutions de packaging (MSI, InstallShield, etc.) demandant plus de complexité dans le déploiement de ces applications.

    Les applications universelles offrent une solution bien plus robuste de packaging :

    • Le système d’exploitation gère l’installation, la mise à jour et la désinstallation
    • Les applications sont installées pour les utilisateurs – Adieu les problématiques pour des machines multi utilisateurs multi profils.
    • L’état de l’application est géré et sécurisé par le système d’exploitation.
    • Toutes les applications sont signées par une autorité de confiance.
    • Un versioning formel.
    • Tout est présent dans un fichier unique (appx ou appxbundle)

    D’un point de vue déploiement, c’est le graal pour tous les administrateurs :

    • Une installation et désinstallation totalement propre.
    • Des applications toujours à jour (lorsque déployées via le store)
    • Aucune élévation de privilèges n’est nécessaire pour installer l’application.
    • Un impact réduit sur le système.
      • Optimisation de l’espace disque avec une seule instance de fichiers stockées à travers les applications et utilisateurs.
      • Des mises à jour différentielles au niveau du block.
      • Une protection contre la falsification.
      • Le système gère l’application (lancement, mise en pause, reprise, arrêt)
    • Chaque application est identifiable avec une identité UWP permettant de la détecter facilement.

    En théorie, il faut développer l’application avec le Framework Universal Windows Platform pour bénéficier de tous les avantages cités plus haut. Néanmoins, Microsoft a créé Desktop App Converter (nom de code Centennial) pour convertir des applications Desktop (Win32) existantes.

    Pour plus d’informations sur le processus de conversion, vous pouvez lire : Behind the scenes of the Desktop Bridge

    Un des bénéfices cible principalement la gestion moderne via Microsoft Intune. Par défaut, Windows 10 ne permet le déploiement que des applications au format MSI (un seul fichier) ou des applications universelles. Avec Desktop App Converter, il devient possible de déployer la majorité des applications bien que le poste ne soit pas géré que de façon moderne (sans Co-Management avec Microsoft Intune).

    Notez que Microsoft Intune propose Intune Management Extension permettant d’exécuter des scripts PowerShell et par conséquent d’exécuter l’installation d’applications. Néanmoins, cette solution ne propose pour l’instant pas la gestion de repository de sources et doit être couplée avec des serveurs locaux ou des solutions de gestion de sources (Chocolatey).

    Aujourd’hui des milliers d’applications ont déjà été converties et sont proposées au travers du Microsoft Store. C’est par exemple le cas d’Office 365 Personal.

    Les prérequis de la conversion sont les suivants :

    • L’application doit fonctionner avec le .NET Framework 4.6.1.
    • L’application doit pouvoir s’installer de manière silencieuse (sans action d’un utilisateur). Note : Les outils tiers permettent de packager des applications qui ne peuvent être installée de manière silencieuse.
    • L’application ne doit pas nécessiter d’élévation de privilèges.
    • L’application ne doit pas installer de drivers ou de service.
    • L’application ne doit pas utiliser AppData pour communiquer avec d’autres applications.
    • L’application ne doit pas écrire dans le répertoire d’installation.

     

    Préparation de la machine de référence

    Maintenant que nous avons planté le décor, nous allons pouvoir passer dans le vif du sujet en commençant par préparer une machine de référence. Je vous recommande l’utilisation d’une machine dédiée qui répond aux prérequis suivants :

    • Windows 10 1607 (Anniversary Update) ou plus en édition Pro ou Enterprise. Pour bénéficier des dernières avancées, je vous invite à utiliser Windows 10 1709 (Fall Creators Update).
    • Un processeur 64-bit (x64)
    • Une machine ayant les instructions de virtualisation matériel et supportant la technologie Second Level Address Translation (SLAT)

    Récupérez la Windows Software Development Kit (SDK) for Windows 10 et procédez à l’installation :

    Passez les différents écrans et validez que l’ensemble des composants sont installés :

     

    Une fois le SDK installé, vous devez télécharger et installer l’application Desktop App Converter depuis le Microsoft Store.

     

    Vous devez ensuite télécharger l’image de base correspondant à la version de Windows 10 que vous utilisez pour Desktop App Converter. Sauvegardez l’image dans un dossier sur votre disque. Par exemple : C:\DesktopAppConverter\Images\

    Une fois ces prérequis validés, vous pouvez ouvrir le menu démarrer puis localiser Desktop App Converter. Cliquez droit faire More (Plus) puis Run as administration (Exécuter en tant qu’administrateur). Ceci est primordial pour permettre de réaliser les opérations nécessaires avec l’outil.

     

    Une fois l’outil lancé, vous devez installer l’image téléchargée. Cette opération installera notamment les fonctionnalités Windows dont notamment Containers.
    Pour ce faire, exécutez la commande : DesktopAppConverter.exe -Setup -BaseImage <CheminVersLimage>\<Image>.wim

    Un redémarrage peut être initié pour activer la fonctionnalité Containers, vous devez alors vous reconnecter. Une fenêtre PowerShell apparaîtra puis disparaîtra une fois l’opération terminée.

                                                                                                                                                                 

    Conversion de l’application

    Votre environnement est maintenant prêt à convertir/packager des applications. Vous devez donc récupérer les sources des applications que vous souhaitez packager. Dans le cadre de ce billet, j’ai pris l’exemple d’Adobe Reader. Vous devez cibler une application qui doit pouvoir s’installer de manière silencieuse et répondre aux prérequis précédents.

    Lancez Desktop App Converter en tant qu’administrateur. Exécutez la commande suivante :
    DesktopAppConverter.exe -Installer <CheminVersLapplication> -InstallerArguments "<Arguments>" -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "CN=<Nom de l’entreprise>" -Version <VersionSur4Digit> -MakeAppx -Sign -Verify

    Note : Desktop App Converter ne prend pas en charge Unicode ; ainsi, aucun caractère chinois ou caractères non-ASCII ne peut être utilisé avec l'outil.

     

    Desktop App Converter fait le travail de conversion en spécifiant un certain nombre de validations. Une fois terminé, il a généré le fichier APPX, les fichiers de journalisation et le certificat autosigné utilisé pour signer l’application.

    Dans le dossier PackageFiles, vous retrouvez les éléments essentiels du package dont notamment :

    • Le fichier AppxManifest.xml déclare les comportements de l’application : Dépendances, Logos, raccourcis, associations de fichiers, exceptions pare-feu, intégration avec l’explorateur de fichiers etc. Pour plus d’informations, je vous invite à lire : Integrate your app with Windows 10 (Desktop Bridge)
    • Le fichier Registry.dat contient la ruche avec les informations normalement créées dans la base de registre.
    • Le dossier VFS contient le système de fichiers tel qu’il aurait été créé par l’application.
    • Le dossier Assets contient les éléments essentiels comme le logo, etc.

     

    Note : Desktop App Converter adopte une approche très conservatrice. Si vous le souhaitez, vous pouvez consulter le dossier VFS et supprimer tous les fichiers dont votre installateur n'a pas besoin. Vous pouvez également consulter le contenu de Registry. dat et supprimer toutes les clés qui ne sont pas installées/nécessaires à l'application. Vous devrez alors regénérer le fichier APPX via la commande MakeAppx.

    Considération importante : Comme avec Microsoft Application Virtualization (App-V), vous devez supprimer tous les comportements inclus dans l’application et modifiant sa structure d’installation. Ainsi si l’application inclut un mécanisme de mise à jour automatique (AutoUpdater, etc.), il doit être neutralisé via les arguments d’installation. Dans le cas contraire, cela pose deux problèmes :

    • L’application demandera à l’utilisateur d’avoir les droits d’administration pour installer la mise à jour.
    • L’application installer/mettra à jour l’application dans le chemin d’installation par défaut. Elle ne mettra donc pas à jour l’application universelle.

    Vous devez donc gérer les mises à jour des versions indépendamment en repackageant l’application et en déployant la nouvelle version.

     

    Nous avons vu comment créer une application de manière simplifiée avec un certificat autogénéré. Cette solution n’est clairement pas idéale pour le monde de l’entreprise et doit être substituée à l’une d’elle (par ordre de préférence) :

    1. Achat d’un certificat de signature de code à une autorité publique (Exemple : Symantec, Digitcert, GlobalSign, etc.). Cette méthode est préférée car l’application est par défaut jugée fiable par le système dès lors que la machine dispose des autorités de certification racines publiques. Elle est donc déployable en l’état après signature.
    2. Utilisation d’une autorité de certification d’entreprise (Exemple : Active Directory Certificate Services, etc.) pour générer le certificat de signature de code nécessaire. Cette méthode permet de s’affranchir de l’achat du certificat publique. L’application est jugée fiable par le système dès lors que la machine dispose du certificat racine de l’autorité de certification de l’entreprise dans son magasin. Celui-ci peut être déployé par défaut par Active Directory ou Microsoft Intune (en mode moderne).
    3. Génération d’un certificat autosigné unique utilisé pour signer toutes les applications. Cette méthode doit être considérée en dernier recours. Vous pouvez générer un certificat de signature de code unique qui sera utilisé à chaque fois que vous devez convertir une application. Vous pouvez ensuite le déployer via Active Directory ou Microsoft Intune pour que les applications soient jugées fiables par le système.

    Quelle que soit la méthode ci-dessus, nous reviendrons sur la façon permettant de déployer le certificat par Microsoft Intune dans l’article suivant.

    Si vous souhaitez partir sur la 3ème méthode, voici comment générer un certificat autosigné avec le SDK de Windows 10 :

    1. Naviguez dans le répertoire d’installation du SDK : C:\Program Files (x86)\Windows Kits\10\bin\<Version>\x64
    2. Exécutez la commande : exe /n <Nom de l’organisation> /r /h 0 /eku"1.3.6.1.5.5.7.3.3,1.3.6.1.4.1.311.10.3.13" /e <DateDExpiration> /sv MyKey.pvk MyKey.cer
    3. Renseignez le mot de passe utilisé.

    1. Exécutez ensuite la commande pour créer le fichier PFX :
      Pvk2Pfx /pvk MyKey.pvk /pi <Mot de Passe précédent> /spc MyKey.cer /pfx MyKey.pfx /po <Mot de Passe pour le PFX>

     

    Une fois votre certificat de signature de code acquis ou généré, vous pouvez maintenant convertir l’application sans la signer avec la ligne de commande :

    DesktopAppConverter.exe -Installer <CheminVersLapplication> -InstallerArguments "<Arguments>" -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "<CN COMPLET du certificat>" -Version <VersionSur4Digit> -MakeAppx -Verify

    Note : J’attire votre attention sur le PublisherName qui doit correspondre au nom commun complet du certificat qui sera utilisé pour signer l’application. Par exemple : CN = MicrosoftTouch Company, O = MicrosoftTouch, L = LYON, S = France, C = FR. Si ce n’est pas le cas, la signature échouera avec l’erreur : « Error : SignerSign() failed. " (-2147024885/0x8007000b) "

    Outre les paramètres que nous avons vu jusqu’à maintenant, Desktop App Converter propose aussi :

    • -InstallerValidExitCodes <Int32> : Permet de spécifier un code de retour spécifique si l’application ne respecte pas les codes de retour de référence.
    • -AppFileTypes <String> : Permet de spécifier les extensions de fichiers à associer à l’application.
    • -AppDescription <String> : Permet de spécifier la description de l’application.
    • -PublishComRegistrations : Analyse tous les enregistrements COM faits par l’installeur et publie ceux qui sont valides dans le fichier Manifest.

    Si vous souhaitez packager une application qui n’a pas d’assistant d’installation et qui ne correspond qu’à un exécutable, voici la ligne de commande : DesktopAppConverter.exe -Installer <CheminVersLapplication>  -AppExecutable MyApp.exe -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "<CN COMPLET du certificat>" -Version <VersionSur4Digit> -MakeAppx -Verify

     

    Une fois le fichier APPX généré, vous pouvez le signer avec votre certificat via la procédure suivante :

    1. Naviguez dans le répertoire d’installation du SDK : C:\Program Files (x86)\Windows Kits\10\bin\<Version>\x64
    2. Exécutez la commande : exe sign /fd SHA256 /debug /a /f <CheminVersLeCertificat.pfx> <CheminVersL’Application.appx>

     

    Pour en apprendre plus, je vous invite à consulter le blog suivant : http://aka.ms/AppInstaller

    On retrouve des solutions payantes :

    • InstallShield par flexera
    • WiX par FireGiant
    • Advanced Installer par caphyon
    • InstallAware APPX Builder
    • Embacadero RAD, Builder
    • Cloudhouse

     

    Vous pouvez maintenant passer au déploiement de cette application convertie.

     

    • 9/1/2018

    Fin de support pour OCS 2007, DPM 2007 et SCVMM 2007

    Aujourd’hui, 9 janvier 2018 signe la fin du support des produits suivants :

    • Office Communications Server 2007
    • Office Communications Server 2007 R2
    • Windows 10 Mobile (Publié en Nov. 2015)
    • System Center Data Protection Manager 2007
    • System Center Virtual Machine Manager 2007    
    • 8/1/2018

    [Azure AD] Une série de Webinars sur Azure Active Directory

    Microsoft va procéder à des Webinars sur Azure Active Directory.                              

    • 8/1/2018

    Retrouvez-moi dans Office Café le 16 Janvier 2018 pour parler de la gestion moderne

    Retrouvez-moi dans Office Café le 16 Janvier 2018 pour parler de la gestion moderne de Windows 10 et des bénéfices qu’elle apporte. J’aurais l’occasion de donner mon avis sur ce changement majeur dans la gestion du poste de travail.

    Office Café, c’est quoi ?
    Votre rendez-vous mensuel en ligne pour découvrir les nouvelles solutions digitales qui vont booster l’efficacité de votre entreprise.

    Episode 4 : Comment simplifier la gestion de parc informatique tout en favorisant la créativité des collaborateurs ?

    72% des collaborateurs estiment que leur réussite au travail dépend de leur capacité à être créatif. Pour répondre aux attentes des collaborateurs de votre entreprise tout en bénéficiant d’une gestion simplifiée de votre parc informatique nous vous proposons de vous faire découvrir une nouvelle façon de gérer votre IT de façon plus intégrée et plus sécurisée. En effet avec les dernières offres Microsoft on constate une réduction de 20% du temps dédié à la gestion informatique.

    Microsoft vous présentera une démonstration de l’intégration d’un employé du premier allumage de son PC à son utilisation des outils de bureautique.

    Vous aurez la possibilité par la suite de regarder cette vidéo à la demande sur aka.ms/officecafe

    Inscrivez-vous à cet épisode

    • 7/1/2018

    Mise à jour (v7.0) de l’outil Sysmon de SysInternals

    Microsoft a mis à jour (v7.0) le célèbre outil Sysmon de SysInternals. Cette version apporte les changements suivants :

    • Journalise les informations de version de fichiers
    • Une option pour créer un dump d’un vieux schéma.
    • Une option pour créer un dump de tout l’historique des schémas.

    Télécharger Sysmon v7.0

    • 6/1/2018

    Le Correctif Cumulatif 8 pour Exchange Server 2016 est disponible

    L’équipe Exchange vient de publier le 8ème Cumulative Update (CU8) (15.01.1415.002) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Ce correctif cumulatif ajoute :

    • Le support de .NET Framework 4.7.1. Il est à noter que ce dernier commencera à être un prérequis à l’installation des correctifs cumulatifs à partir de Juin 2018.
    • Le support de l’authentification moderne hybride.

     

    Il apporte les changements suivants :

    Enfin, on retrouve un Changement de comportement en ce qui concerne la configuration des paramètres TLS et de cryptographie. Les mises à jour cumulatives précédentes écrasent la configuration existante d'un client. En raison des commentaires des clients, Microsoft a modifié le comportement du produit pour configurer les paramètres TLS et de cryptographie uniquement lorsqu'un nouveau serveur Exchange est installé. L'application d'une mise à jour cumulative n'écrasera plus la configuration existante du client.

     

    Télécharger :

    • 6/1/2018

    [SCCM] Support de TLS 1.2 et désactivation de SSL 3.0/TLS 1.0/1.1

    On commence à voir fleurir des questions et problématiques sur les forums à propos de TLS 1.2 et la désactivation de SSL 3.0/TLS 1.0/1.1 avec System Center Configuration Manager.

    Je souhaitais rappeler que le support de TLS 1.2 et la désactivation de SSL 3.0/TLS 1.0/1.1 n’est assuré qu’à partir de System Center Configuration Manager 1702 avec l’Update Rollup (KB 4019926).

    Si vous utilisez une version antérieure et vous devez mettre à niveau cette version sur un environnement où les algorithmes précédents (SSL 3.0/TLS 1.0/1.1) ont déjà été désactivés, vous devez les réactiver !

    Dans le cas contraire, vous rencontrerez des erreurs comme suit :

    *** [08001][18][Microsoft][ODBC SQL Server Driver][Shared Memory]SSL Security error3000 (0x0BB8)

    *** [01000][1][Microsoft][ODBC SQL Server Driver][Shared Memory]ConnectionOpen (SECCreateCredentials()).

    *** Failed to connect to the SQL Server, connection type: SERVERNAME.DOMAIN MASTER.

    *** [08001][18][Microsoft][ODBC SQL Server Driver][Shared Memory]SSL Security error

    *** [01000][1][Microsoft][ODBC SQL Server Driver][Shared Memory]ConnectionOpen (SECCreateCredentials()).

    *** Failed to connect to the SQL Server, connection type: SERVERNAME.DOMAIN.

     

    Lire Comment activer TLS 1.2 sur System Center Configuration Manager ?